Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Problem - Robak - obciążenie procesora 100%. Logi MBAM i OTL do sprawdzenia

bartoszkowy 28 Gru 2013 14:38 2685 19
  • #1 28 Gru 2013 14:38
    bartoszkowy
    Poziom 9  

    Witam.
    Posiadam system Windows 8.1 Pro (x64), na i7-2630QM 2.00GHz, 4GB RAM.
    Jakiś czas temu zainstalowałem nieznaną aplikację, która okazała się trojanem (wykrył go Eset Smart Security 7). Teoretycznie zablokował go, ale po tym fakcie przy uruchomieniu komputera pojawiała się informacja o infekcji w katalogu Bing Desktop (C:\ProgramData\Microsoft\BingDesktop\BingCore), którą to niby antywirus blokował za każdym razem ("Win32/Boaxxe.BE koń trojański").
    Eset wykrył również w pamięci operacyjnej plik z powyższego katalogu Bing Desktop ("odmiana zagrożenia Win32/PSW.Fareit.D koń trojański")
    Przeskanowałem wszystkie partycje dogłębnie Esetem, potem wyczyściłem CCleanerem, odpaliłem MBAM (Malwarebytes Anti-Malware) - wykrył 6 zagrożeń wszystkie usunął (log w załączniku).
    Potem odpaliłem OTL wszystko na skanowanie dokładne (log poniżej), odpaliłem też w nim czyszczenie.Teoretycznie żaden z programów jakimi skanowałem: Eset
    SS7, OTL, MBAM, Narzędzie Windows do usuwania złośliwego oprogramowania, nie wykrywa nic podejrzanego, ale...
    Obciążenie procesora mam cały czas na 100% co widzę w programie Core Temp, który mam na stałe w trayu. Sprawa wygląda tak: odpalam system i obciążenie mam 100%; włączam Menedżer zadań z Windows obciążenie spada praktycznie do 0% (widzę w Core Temp), w menedżerze żaden z procesów nie obciąża procesora znacząco, a na pewno nie na 100%. Po zamknięciu menedżera obciążenie momentalnie winduje na 100% i jest tak, aż do ponownego uruchomienia
    menedżera.

    Jeśli nie włączę menedżera to procesor przy jednostajnym obciążeniu 100% uzyskuje maksymalną temp. działania (według Core Temp i chyba specyfikacji jest to 100°C), a następnie Core Temp hibernuje system (tak go ustawiłem, żeby zapobiegać przegrzaniu procesora).
    Próbowałem wychwycić co to za proces poprzez zainstalowanie zewnętrznego odpowiednika menedżera zadań, czyli programu Process Explorer. W tym samym momencie, kiedy uruchamiam ten program obciążenie również spada do 0%, a po jego wyłączeniu wraca na 100%.

    Z całości wnioskuję, że jest to jakiś robak, który tak się zagnieździł, że trudno go zlokalizować, a ukrywa się przy próbie wychwycenia obciążającego procesu.

    Czy ktoś ma pomysł jak poradzić sobie z tym fantem ?

    Logi ze skanowania MBAM, OTL, OTL Extras w załączniku.

    0 19
  • #2 28 Gru 2013 18:45
    Kolobos
    Spec od komputerów

    Kto Ci kazał grzebać w opcjach OTL i zmieniać co Ci się podoba?

    Jedyne co masz zmienić to: wszyscy użytkownicy, lop oraz purity.

    0
  • #3 28 Gru 2013 23:42
    bartoszkowy
    Poziom 9  

    Sam sobie pozwoliłem zmienić opcje. Widzę, że niepotrzebnie. Podmieniłem więc log OTL według Twoich wytycznych.
    Będę wdzięczny za sprawdzenie.

    0
  • Pomocny post
    #4 29 Gru 2013 01:36
    Kolobos
    Spec od komputerów

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKU\S-1-5-21-582821417-291208966-1922715870-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = localhost:9051
    O4 - HKLM..\Run: [PDF Eight] C:\Program Files\PDFEight\PDF.exe File not found
    O4 - HKU\S-1-5-21-582821417-291208966-1922715870-1000..\Run: [crsscmgr] C:\Users\Bartosz\AppData\Roaming\Adobe\crsscmgr\crssc.exe (Microsoft)
    [2013-12-21 23:27:25 | 000,000,000 | ---D | C] -- C:\AdwCleaner

    0
  • #5 29 Gru 2013 09:43
    bartoszkowy
    Poziom 9  

    Kolobos: Dzięki wielkie! Problem ustąpił.

    Uchyl rąbka tajemnicy jak rozpoznałeś o które wpisy chodzi ? Ja podejrzewam ścieżkę C:\Users\Bartosz\AppData\Roaming\Adobe\crsscmgr\crssc.exe że to właśnie w tym procesie był bubel obciążający procesor na 100%.

    OTL usunął też całą kwarantannę i backup z programu AdwCleaner (w załączniku log po wykonaniu Twojego skryptu).

    Jeszcze raz dziękuję bardzo za pomoc.

    0
  • #6 29 Gru 2013 21:08
    Kolobos
    Spec od komputerów

    > Uchyl rąbka tajemnicy jak rozpoznałeś o które wpisy chodzi ?

    Spojrzalem i tyle ;)

    > Ja podejrzewam ścieżkę C:\Users\Bartosz\AppData\Roaming\Adobe\crsscmgr\crssc.exe że
    > to właśnie w tym procesie był bubel obciążający procesor na 100%.

    Masz racje.

    0
  • #7 05 Sty 2014 22:57
    bartoszkowy
    Poziom 9  

    Odświeżam temat.
    Chyba nawrót choroby, bo przy uruchomieniu systemu Eset wykrył i zablokował:

    Win32/Redyms.AF koń trojański w C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HpM3Util.exe

    Przeskanowałem MBAM, wykrył i usunął 5 zagrożen (znów w katalogu Adobe w roamingu - poprzednio tu był robak, który obciążał mi procka, patrz wyżej w postach).

    Przesyłam nowy log z MBAM i OTL - będę wdzięczny za ponowną diagnozę...

    0
  • #8 05 Sty 2014 23:04
    Kolobos
    Spec od komputerów

    Wykonaj skrypt w OTL:

    :OTL
    O4 - Startup: C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_09313414.lnk = File not found
    O4 - Startup: C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_77732974.lnk = File not found

    :Files
    C:\Users\Bartosz\AppData\Roaming\Adobe\crsscmgr\

    0
  • #9 08 Sty 2014 17:10
    bartoszkowy
    Poziom 9  

    To niestety nie koniec mojej przygody :(

    Mam MBAM Pro z włączoną ochroną w czasie rzeczywistym (czy jakoś tak) wykrywa mi co jakiś czas "Zablokowano dostęp do podejrzanej strony, adres IP x.x.x.x" - nieważne czy mam otwartą przeglądarkę www czy zamkniętą.

    Jest tego sporo - szczegóły w załączniku.

    Skanowanie MBAM (szybkie skanowanie) nie wykrywa zagrożeń.

    Zrobiłem skan w OTL - również w załączniku.

    Będę wdzięczny za dalsze wskazówki.
    Pozdrawiam.

    Dodatkowo ESET zanotował:

    Code:
    2014-01-05 20:35:05   Skaner przy uruchamianiu   plik   Pamięć operacyjna » C:\Users\Bartosz\AppData\Roaming\verison.dll   Win32/Redyms.AF koń trojański   wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie       
    

    2014-01-05 22:12:27   Ochrona systemu plików w czasie rzeczywistym   plik   C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HpM3Util.exe   Win32/Redyms.AF koń trojański   wyleczony przez usunięcie - poddany kwarantannie   TWRD29\Bartosz   Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\explorer.exe.

    2014-01-07 12:21:55   Ochrona systemu plików w czasie rzeczywistym   plik   C:\ProgramData\Microsoft\BingDesktop\BingCore\temp\tmp8021.exe   odmiana zagrożenia Win32/TrojanDropper.Agent.QLR koń trojański   wyleczony przez usunięcie - poddany kwarantannie   TWRD29\Bartosz   Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację: C:\Windows\explorer.exe.

    2014-01-07 20:05:07   Ochrona systemu plików w czasie rzeczywistym   plik   C:\Users\Bartosz\AppData\Local\Google\Chrome\User Data\Default\fnmioboglppojbhpgbfeibnbfkccdofl\6.0.0\background.js   Win32/Boaxxe.BE koń trojański   wyleczony przez usunięcie - poddany kwarantannie   TWRD29\Bartosz   Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.

    0
  • #10 08 Sty 2014 19:19
    Kolobos
    Spec od komputerów

    Wszystko wyglada ok.

    0
  • #11 08 Sty 2014 19:36
    bartoszkowy
    Poziom 9  

    Spójrz na plik protection-log-2014-01-07.txt - na profilu Bartosz widać blokowanie dostępu z explorer.exe na różne IP, ale ten sam port: 6881 ---> czy to nie jest jeszcze jakiś robak ?

    Dodatkowo po zaktualizowaniu (z 1 dnia) MBAM wykrył:
    Wykrytych plików: 1
    C:\$Recycle.Bin\S-1-5-21-582821417-291208966-1922715870-1000\$RPDAS5V\tmp8891.exe (Trojan.Agent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

    Wcześniej plik tmp8891.exe usunąłem z kwarantanny Eset (stąd znalazł się w $Recycle.Bin

    Zrobiłem pełne skanowanie MBAM wszystkich partycji - nic nie wykrył.
    Zastanawia mnie to blokowanie niebezpiecznej witryny. Myślisz, że powinienem się tym przejmować czy MBAM jest nadwrażliwy ?

    Załączam jeszcze log z RogueKillerX64 - program znaleziony na anglojezycznym forum MBAM.

    Duży problem jest z softem pod Win8. W starszych wersjach w takich przypadkach odpalalem Combofixa i w większości przypadków dawał sobie radę... Póki co nie ma wsparcia Combofixca dla Win8 niestety...

    0
  • #14 08 Sty 2014 22:14
    Kolobos
    Spec od komputerów

    Nie widac nic ciekawego w tych logach.

    0
  • #15 10 Sty 2014 08:34
    bartoszkowy
    Poziom 9  

    Dziś przy starcie MBAM wyrzucił:
    2014/01/10 08:09:08 +0100 TWRD29 Bartosz DETECTION C:\ProgramData\Microsoft\BingDesktop\BingCore\temp\tmpF27B.exe Trojan.Ransom.ED QUARANTINE

    I kilka minut później:
    2014/01/10 08:15:43 +0100 TWRD29 Bartosz IP-BLOCK 198.23.143.149 (Type: outgoing, Port: 6881, Process: explorer.exe)

    Odpaliłem skanowanie MBAM - nic nie wykryło, ale pod koniec skanowania pojawiło się okno o błędzie pliku (patrz załącznik) - nie odpalałem żadnego pliku. Błąd pojawił się ok. 10 minut po starcie systemu.

    Zawsze powtarza się ta sama ścieżka:
    C:\ProgramData\Microsoft\BingDesktop\BingCore\temp\ ---> zmienia się nazwa pliku.

    Wcześniej wykrył w tym katalogu Eset, teraz Eset nic, a zgłasza MBAM.

    Znaleziony plik mam w kwarantannie. Jeśli go stamtąd usunę to trafi do $Recycle.Bin i znów go wykryje MBAM - tak się koło zamyka.
    Tak jak pisałem wcześniej MBAM cały czas wyrzuca komunikaty o blokowaniu podejrzanej witryny i jest to proces explorer.exe .
    Z czego stwierdzam, że coś się zagnieździło w explorer.exe
    Może prześlę plik explorer jeśli można go zdiagnozować/porównać z innym ???

    Zastanawiam się na formatem i postawieniem windy od zera chociaż to bardzo pracochłonne, bo mam wiele projektów otwartych na laptopie także naprawdę chciałbym tego uniknąć.

    Czy ma ktoś pomysł co mógłbym jeszcze zrobić z tym fantem ? Będę BARDZO wdzięczny za pomoc.

    Pozdrawiam.
    Bartosz.

    0
  • #16 10 Sty 2014 12:13
    Kolobos
    Spec od komputerów

    Nic nie robic, to zapewne falszywy alarm. Uzywasz jakiegos klienta sieci bittorrent?

    0
  • #17 10 Sty 2014 20:18
    bartoszkowy
    Poziom 9  

    Używałem uTorrenta - dzięki temu załapałem syfa o którym mowa w pierwszym poście.

    Jeśli jesteś pewien, że to fałszywy alarm to dziękuję Ci w takim razie za wszelką cierpliwą pomoc!!! :)

    0
  • #18 29 Sty 2014 20:20
    bartoszkowy
    Poziom 9  

    Witam ponownie.
    Zmieniłem antywirusa na Kaspersky. Co prawda nie znajduje już zagrożenia, ale co minutę blokuje próbę połączenia do tego samego hosta (szczegóły w załączniku).
    Czy może ktoś mi powiedzieć jak znaleźć usługę, która próbuje się połączyć ?
    Według kaspersky jest to explorer.exe, ale on sam chyba nie łączyłby się z hostem qwertytraff.org (?)

    Będę wdzięczny za wszelkie sugestie.

    0
  • #20 30 Sty 2014 16:30
    bartoszkowy
    Poziom 9  

    Temat już nieaktualny.
    Rozwiązanie znalazłem na anglojęzycznym forum Kaspersky.

    Należało usunąć katalog C:\programdata\microsoft\bingdesktop\bingcore, który był zablokowany przez explorer.exe i usunięcie go umożliwił program unlocker.
    Po usunięciu tego katalogu i wszystkich podfolderów blokowana domena qwertytraf.org przestała występować w logach Kaspersky.

    Reasumując stwierdzam, że Kaspersky lepiej poradził sobie niż Eset z moim problemem. Co prawda nie był w stanie go samemu zlokalizować, ale oficjalne forum umożliwiło mi dojście do rozwiązania problemu.

    Czy uważasz, że moje loginy i hasła mogą być zagrożone jeśli był przez pewien czas robak (blokowany przez Kaspersky, ale przez jakieś 3 tygodnie nieblokowany przez Eset) ?

    0