Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Wirus z pendrive'a AUTORUN.INF i szalejący procesor




  • Zamknięty Temat jest zamknięty
10 odpowiedzi w tym temacie

#1 J7U

J7U

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 12 09 2011 - 17:16

Od jakiegoś czasu mam problem z szalejącym procesorem i chyba przez to komputer mi wolniej działa. Ponadto wydaje mi się, że przez pendrive dostał mi się do systemu tenże wirus przenoszony przez autorun.inf (antywirus wykrywa coś takiego jeśli dobrze pamiętam - Autorun.TS Trojan).
Miałem problemy z svchost.exe (było chyba z 8 procesów w Menedżerze Urządzeń o tej nazwie, a to chyba za dużo jak na Vistę). svchost.exe chyba uruchamiał plik WmiPrvSE.exe, który niesamowicie obciąża(ł) procesor. Nie wiem, czy to nadal dzieje się za jego sprawą, bo próbowałem wcześniej sobie z tym poradzić przy pomocy KillBox'a, ProcessExplorer'a, OTL'a, a Flash Disinfector nie działał (przynajmniej tak mi się wydaje, ponieważ kiedy próbowałem go uruchomić, to nic się nie działo). W konsekwencji działań z tymi programami z Menedżera Urządzeń poznikały wszystkie svchost.exe, ale procesor szaleje tak, jak wcześniej (no i chyba przez to wszystko wolniej działa), tj. pomimo, że czasem nic na nim nie robię, on nakręca się prawie do 100%, niekiedy setkę osiągając. Przychodzi to takimi falami: czasem zdarza się, że prawie w ogóle nie pracuje, ale jak już zacznie to wchodzi na 60%, 100%, itd. Wcześniej, gdy wszystko było w porządku, kiedy system nie wykonywał żadnych zadań, procesor miał na liczniku 0%, czasami tylko wchodząc na 1-2%, natomiast teraz prawie się to nie zdarza. Poczytałem trochę na ten temat i myślę, że te wszystkie problemy mogły być związane z tym wirusem z pendrive'a, bo niby jakoś to się łączy w wariant svchost.exe stąd: http://searchengines...ych-t94761.html, ale z drugiej strony nie wiem, czy pasuje specyfikacaja tego wariantu. Uruchomiłem zatem teraz ComboFix'a. Posiadam zewnętrzny dysk twardy (H:\), na którym był jedyny widoczny plik AUTORUN.INF. Na innych partycjach nie był widoczny plik autorun.inf (chyba powinien), na pendrive'ie również nie było go widać. Antywirus nie wykrywał nic, gdy wchodziłem na poszczególne partycje na twardym dysku, ale gdy wkładałem pendrive do portu USB już tak. Wykrywał też wirusa, gdy ekplorowałem zewnętrzny HDD. Po operacji ComboFix'em zniknął z zewnętrznego HDD plik AUTORUN.INF i antywirus nic nie wykrywa. Pendrive'a na razie nie wkładałem po ComboFix'ie.
Proszę o pomoc :)
Oto log z ComboFix'a: http://wklej.to/1cU66

Moje partycje:
C:\ - Dysk lokalny (partycja systemowa)
D:\
E:\
H:\ - Flash USB (pendrive) lub Zewnętrzny HDD, który był podłączony przy ComboFix'ie.

#2 SLAVOO

SLAVOO

    Very Good Rank

  • Użytkownicy +
  • 839 postów
  • Płeć:Mężczyzna
  • Lokalizacja:C:\boot.ini

Napisano 12 09 2011 - 17:22

Zapoznaj się z tym tematem: http://searchengines...-dziale-Wirusy/
i podaj odpowiednie logi. Inaczej pomoc nie będzie udzielona a post poleci do kosza.

..:: 99% problemów z komputerem siedzi na przeciwko monitora ::..
W dziale Wirusy i Spyware - Bezpieczeństwo w sieci, obowiązkowo podajemy logi z programów OTL i Gmer
Przed wykonaniem logów należy wyłączyć oprogramowanie emulujące napędy.
Opis jak to wykonać znajduje się TUTAJ.


#3 J7U

J7U

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 12 09 2011 - 18:52

Zastosowałem ComboFix’a kierując się tym:
http://searchengines...nac-t99908.html
http://searchengines...run-t91186.html
Mam nadzieję, że nic się nie popsuło...

Oto logi:
OTL:
http://wklej.org/id/593107/
http://wklej.org/id/593106/
GMER:
http://wklej.org/id/593108/
i jeszcze raz ComboFix (log był robiony, gdy jeszcze miałem zainstalowane DaemonTOOLS i jeden napęd był emulowany):
http://wklej.org/id/593110/

#4 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5772 postów
  • Płeć:Mężczyzna

Napisano 12 09 2011 - 19:28

Nie widzę tu infekcji.
Jeśli infekcja powróci, to użyjesz USBFix, >http://searchengines...67
Klikniesz w nim na:DELETION.
Dasz raport z tego usuwania.


Kosmetyka:
1) Ściągnij >Ad-Remover i kliknij w nim Clean
Pokaż raport z tego narzędzia.

2) Uruchom OTL i w dolne białe pole wklej to:

:OTL
O2 - BHO: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

:Files
C:\Users\Kamil\AppData\Local\Temp*.html


:Commands
[emptyflash]
[emptytemp]



Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.

#5 J7U

J7U

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 12 09 2011 - 20:55

AD-Remover: http://wklej.org/id/593202/

Raporty z usuwania OTL:
Za pierwszym razem OTL przestał działać i po restarcie wyświetliło się to:
http://wklej.org/id/593219/
Potem wykonałem czynność jeszcze raz i pokazało się to:
http://wklej.org/id/593220/

Log z OTL:
http://wklej.org/id/593233/
http://wklej.org/id/593230/

A wiadomo może, co jest z tym procesorem, bo komputer jest niezwykle spowolniony przez cały czas... Co z tym svchost.exe i WmiPrvSe.exe? Czy może to coś innego?

EDIT:
Tak właśnie wygląda wykres pracy procesora w stanie oczekiwania (włączone są tylko programy pracujące w tle, jak zawsze - antywirus, itp.):
Dołączona grafika

A oto log z OTL'a ze stycznia - wtedy nikt nie był w stanie mi pomóc. Nie wiem, czy w czymś on pomoże, ale by może rzuci jakieś światło na obraz tej sytuacji...
http://wklej.org/id/593322/
http://wklej.org/id/593323/

#6 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5772 postów
  • Płeć:Mężczyzna

Napisano 13 09 2011 - 01:40

[2011-01-08 23:41:22 | 002,097,152 | ---- | C] () -- C:\113.ROM
[2011-01-08 23:41:22 | 000,143,065 | ---- | C] () -- C:\phlash16.exe
[2011-01-08 23:41:22 | 000,000,037 | ---- | C] () -- C:\113.BAT
Znasz te powyższe?

Do Notatnika wklej:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ApnUpdater"=-
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
------------------------------------------------------------------------------------------------------------------

A wiadomo może, co jest z tym procesorem, bo komputer jest niezwykle spowolniony przez cały czas... Co z tym svchost.exe i WmiPrvSe.exe? Czy może to coś innego?

Moderator/ka przesunie temat do bardziej odpowiedniego działu Forum..

#7 J7U

J7U

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 13 09 2011 - 02:05

Tak. Znam te pliki. Służą do aktualizacji BIOS'a.
Zrobiłem jak napisałeś.

#8 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5772 postów
  • Płeć:Mężczyzna

Napisano 13 09 2011 - 08:10

W takim razie teraz czekaj na:

A wiadomo może, co jest z tym procesorem, bo komputer jest niezwykle spowolniony przez cały czas... Co z tym svchost.exe i WmiPrvSe.exe? Czy może to coś innego?
------------

Moderator/ka przesunie temat do bardziej odpowiedniego działu Forum..



#9 J7U

J7U

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 19 09 2011 - 21:20

Jeżeli ktoś jednak jest w stanie mi pomóc, to może pomogą screeny z Process Explorer'a. Zrzuty ekranu przedstawiają to, co odpowiada za cały problem, lecz ja nie wiem, jak się z tym uporać. Ponumerowałem je chronologicznie. Oto screeny:
1. zaburzenie
2,3,4. normalna praca
5. zaburzenie
6. chwilowe zaburzenie, lecz pomiędzy falami zaburzeń
7. zaburzenie

01
Dołączona grafika
02
Dołączona grafika
03
Dołączona grafika
04
Dołączona grafika
05
Dołączona grafika
06
Dołączona grafika
07
Dołączona grafika

Link do galerii:
http://imageshack.us/g/703/cpu01w.jpg/

A tu objaśnienie kolorów:
Dołączona grafika

#10 vigo5

vigo5

    Very Good Rank

  • Użytkownicy +
  • 961 postów

Napisano 20 09 2011 - 11:03

Przede wszystkim masz dużo zbędnych programów w autostarcie.
Program lub usługa działająca w tle może być przyczyną problemu.
Sprawdź czy problem występuje w czasie czystego rozruchu:
http://support.micro...om/kb/929135/pl
http://support.microsoft.com/kb/331796

Jeżeli chodzi o svchost to sprawdź które usługi korzystają z tego procesu:
http://www.howtogeek...-is-it-running/

Dodatkowo w Process Explorer możesz spróbować odczytać bardziej szczegółowe dane dotyczące obciążenia CPU:
Process Explorer -> Kliknij prawym na proces obciążający CPU -> Properties -> Threads -> CPU

#11 J7U

J7U

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 21 09 2011 - 21:46

Dziękuję bardzo :) Udało mi się odnaleźć przyczynę problemu. Długi okres sprawdzania przy pomocy tego: http://support.micro...om/kb/929135/pl dał efekty. Okazało się, że to pasek boczny Windows. Miałem tam 4 kartki z notatkami i gadżet z kursami walut. Wychodzi na to, że to jego sprawka.
Jeszcze raz bardzo dziękuję za Waszą pomoc :)




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych