Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

WIN 7 64 - podejrzenie infekcji wirusem, IE resetuje komputer.

piotermaj 27 Mar 2016 23:13 600 7
  • #1 27 Mar 2016 23:13
    piotermaj
    Poziom 5  

    Dobry wieczór.

    Zwracam się z uprzejmą prośbą o pomoc i sprawdzenie LOG z OTL i FRST.

    Próbowałem zainstalować Dr.Web CureIt!, niestety wyskakuje informacja, że nie mam wystarczających uprawnień. Przeskanowałem wersją Live CD (jeden plik zainfekowany).
    Malwarebytes Anti-Malware wykrył kilka zagrożeń, usunięte.
    AdwCleaner kolejne wykrył i usuną.
    TDSSKiller wykrył jeden plik, który skasowałem.
    Kaspersky rescue disk nie wykrył nic.
    ESET smart security nic nie wykryl.
    Avira też nic nie znalazła.

    Problem z IE nadal się powtarza. Niestety IE obsługuje rzeczy, których nie można zastąpić inną przeglądarką.
    Niestety nie udało mi się dojść co to za wirus jest na komputerze.

    Z góry dziękuję za udzieloną pomoc!

    0 7
  • Pomocny post
    #2 27 Mar 2016 23:41
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    Brak dostępu do procesu -> smss.exe
    Brak dostępu do procesu -> csrss.exe
    Brak dostępu do procesu -> wininit.exe
    Brak dostępu do procesu -> csrss.exe
    Brak dostępu do procesu -> services.exe
    Brak dostępu do procesu -> lsass.exe
    Brak dostępu do procesu -> lsm.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> winlogon.exe
    Brak dostępu do procesu -> atiesrxx.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> stacsv64.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> hpservice.exe
    Brak dostępu do procesu -> atieclxx.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> wlanext.exe
    Brak dostępu do procesu -> conhost.exe
    Brak dostępu do procesu -> spoolsv.exe
    Brak dostępu do procesu -> DpHostW.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> armsvc.exe
    Brak dostępu do procesu -> AESTSr64.exe
    Brak dostępu do procesu -> AppleMobileDeviceService.exe
    Brak dostępu do procesu -> AdminService.exe
    Brak dostępu do procesu -> mDNSResponder.exe
    Brak dostępu do procesu -> ekrn.exe
    Brak dostępu do procesu -> HPDrvMntSvc.exe
    Brak dostępu do procesu -> hpHotkeyMonitor.exe
    Brak dostępu do procesu -> mbamscheduler.exe
    Brak dostępu do procesu -> mbamservice.exe
    Brak dostępu do procesu -> pdisrvc.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> TeamViewer_Service.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> Ath_CoexAgent.exe
    Brak dostępu do procesu -> unsecapp.exe
    Brak dostępu do procesu -> WmiPrvSE.exe
    Brak dostępu do procesu -> WmiPrvSE.exe
    Brak dostępu do procesu -> iPodService.exe
    Brak dostępu do procesu -> tv_w32.exe
    Brak dostępu do procesu -> tv_x64.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> svchost.exe
    Brak dostępu do procesu -> SearchProtocolHost.exe
    Brak dostępu do procesu -> SearchFilterHost.exe
    Brak dostępu do procesu -> HPPA_Service.exe
    Brak dostępu do procesu -> hpCMSrv.exe
    Brak dostępu do procesu -> PresentationFontCache.exe
    Brak dostępu do procesu -> WmiPrvSE.exe
    Brak dostępu do procesu -> HPSA_Service.exe
    Brak dostępu do procesu -> IAStorDataMgrSvc.exe
    Brak dostępu do procesu -> LMS.exe
    Brak dostępu do procesu -> sppsvc.exe
    Brak dostępu do procesu -> wmpnetwk.exe
    Brak dostępu do procesu -> UNS.exe




    HKLM-x32\...\Run: [] => [X]
    Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X]
    HKU\S-1-5-21-3622325275-1410342324-19087746-1000\...\MountPoints2: E - E:\LaunchU3.exe -a
    HKU\S-1-5-21-3622325275-1410342324-19087746-1000\...\MountPoints2: {18e296b9-bf94-11e2-8ef7-9cb70d6d80d3} - E:\LaunchU3.exe -a
    Lsa: [Notification Packages] DPPassFilter scecli
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
    HKU\S-1-5-21-3622325275-1410342324-19087746-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.facebook.com/
    SearchScopes: HKU\S-1-5-21-3622325275-1410342324-19087746-1000 -> DefaultScope {744F99CE-6074-4E1B-A4F7-73EE6871B5F4} URL = hxxp://www.google.com/search?hl=pl&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3622325275-1410342324-19087746-1000 -> {744F99CE-6074-4E1B-A4F7-73EE6871B5F4} URL = hxxp://www.google.com/search?hl=pl&q={searchTerms}
    Toolbar: HKU\S-1-5-21-3622325275-1410342324-19087746-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku
    DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    2016-03-27 22:34 - 2016-03-27 22:34 - 00602112 _____ (OldTimer Tools) C:\Users\hp\Desktop\OTL.exe
    2016-03-27 18:52 - 2016-03-27 19:38 - 00000000 ____D C:\Windows\erdnt
    2016-03-27 18:37 - 2016-03-27 18:37 - 00000000 ____D C:\TDSSKiller_Quarantine
    2016-03-27 18:16 - 2016-03-27 21:12 - 00000000 ____D C:\AdwCleaner
    C:\Users\hp\CTX.DAT
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\hp\Desktop\
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 28 Mar 2016 09:05
    Acorus 20
    Spec od komputerów

    Zaloguj się jako administrator i wykonaj nowe logi z FRST.

    0
  • #4 28 Mar 2016 09:50
    piotermaj
    Poziom 5  

    Dzień dobry,

    @krzychupar
    Programy nie wykrywają już żadnych zagrożeń.

    Niestety problem z IE nie znikł.
    Można na nim pracować jednak po zminimalizowaniu i ponownym otwarciu wyskakuje „bluescreen” i automatyczne resetuje się komputer.

    Dziękuję za poświęcony czas na analizę.
    Załączam pliki.

    Mokrego poniedziałku.

    0
  • Pomocny post
    #5 28 Mar 2016 09:58
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X]
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-3622325275-1410342324-19087746-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #6 28 Mar 2016 15:22
    piotermaj
    Poziom 5  

    Niestety problem się powtarza.
    Ale odkryłem, że to nie musi być problem z IE.
    Komputer nie jest mój, na zasadzie prób i błędów szukałem przyczyny.
    Po zminimalizowaniu okna przeglądarki, w momencie kiedy się najedzie kursorem na ikonę IE pojawia się podgląd ładujących się stron. Gdy się chce wybrać jedną z nich wtedy wyskakuje „bluescreen” i komputer się resetuje. Nie trzeba klikać na ikonę IE.

    Osunąłem ikonę IE z pasku startu i nie pomogło.

    Trochę jestem w kropce. Nie wiem, w którym kierunku szukać przyczyny.
    Zapewne ilość wirusów/trojanów etc. jakie były na tym komputerze nie pomogła temu systemowi.

    0
  • #7 29 Mar 2016 11:10
    Kolobos
    Spec od komputerów

    To nie wina infekcji. Po odinstalowaniu eset problem nadal wystepuje? Sprawdz tez na koncie administratora.

    W logu widac bledy zwiazne z karta graficzna:
    ATI EEU failed to post message to CCC

    Probowales zmienic sterowniki na nowsze lub starsze?

    0
  • #8 31 Mar 2016 09:14
    piotermaj
    Poziom 5  

    Niestety komputera już nie mam.
    Postaram się poinstruować koleżankę.
    Dziękuję za naprowadzenie!

    Od momentu kiedy to już nie jest problem wirusa myślę, że mogę zamknąć temat.

    Dziękuję za pomoc w wyczyszczeniu log-ów.

    Pozdrawiam!

    0