Problemy z internetem

[piter1113]

Komputer praktycznie jest nie do użytku z powodu kłopotu z internetem.

Sprawia wrażenie jakby był problem z wysyłaniem pakietów. Klip na youtube ściąga się w miarę szybko natomiast wysłanie logów na wklej.eu nie było możliwe po kilku próbach. (Dlatego zostały wysłane ze smarfona).

Przed wizytą na forum na włansą rękę próbowałem usunąć to nortonem,kasperksim i combofixem.

 

Jesli kogos nurtuje dlaczego jest hale to wyjasnienia na pw.

 

http://wklej.eu/inde...p?id=c95c5be398

http://wklej.eu/inde...p?id=59088620ee

http://wklej.eu/inde...p?id=ed32c8487d

[picasso]

Temat przenoszę wstępnie do działu Windows 7 (pod zmienionym tytułem), bo nie widzę tu powodów infekcyjnych. Zacznijmy od podstaw, skąd tu koncepcja "uciążliwego wirusa", dowody dostarcz dlaczego ten kierunek rozważań obrałeś. Na przyszłość na temat uruchamiania ComboFix: KLIK. Skoro uruchamiałeś ComboFix, to gdzie jest raport z wynikami jego pracy? A log z GMER zrobiony w nieprawidłowym środowisku, przy czynnym Alcoholu i emulacji SPTD: KLIK.

 

Póki co, to tu w raportach żadnych oznak czynnej infekcji (tylko drobnostki = to nie może mieć wpływu na system). Natomiast są różne inne rzeczy przedstawiające wątpliwą kondycję Twojego systemu:

 

1. Mam bardzo duże podstawy sądzić, że masz problem z tym:

 

Jesli kogos nurtuje dlaczego jest hale to wyjasnienia na pw.

 

Nie, nie mam wątpliwości co Ty kręcisz. I właśnie, to co widać u Ciebie w GMER jako rootkity (te ukryte procesy bump.exe + cmd.exe + reszta bezimiennej zgraji) to jest negatywny skutek "aktywatora". Ma on niepożądany wpływ na zachowanie procesów i w określonych częstotliwościach odpala w procesach sekwencje własne, co może doprowadzić do fajerwerków. Proszę, z forum co to dziadostwo robi z systemem: KLIK / KLIK / KLIK / KLIK. Hale (to zresztą przestarzała aplikacja) do usunięcia = wtedy ustąpią blokady w procesach dręczące zasoby.

 

2. W Dzienniku zdarzeń powtarza się taki błąd:

 

Error - 2012-09-21 04:24:29 | Computer Name = PITER | Source = Microsoft-Windows-TaskScheduler | ID = 413
Description = Usługa Harmonogram zadań nie może załadować zadań podczas uruchamiania
usługi. Dane dodatkowe: Wartość błędu: 2147549183.

 

Jest uszkodzone któreś z zadań harmonogramu. Nie wykluczam powiązania z delikwentem hale.

 

3. Katastrofalny poziom wolnego miejsca na dysku systemowym:

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 129,93 Gb Total Space | 1,99 Gb Free Space | 1,53% Space Free | Partition Type: NTFS
Drive D: | 2,44 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive E: | 19,53 Gb Total Space | 5,00 Gb Free Space | 25,61% Space Free | Partition Type: NTFS
Drive K: | 74,31 Gb Total Space | 15,37 Gb Free Space | 20,69% Space Free | Partition Type: NTFS
Drive O: | 74,31 Gb Total Space | 62,32 Gb Free Space | 83,85% Space Free | Partition Type: NTFS

 

Ledwie 2GB to alarm. Nie wiadomo czy ten skrawek jest nawet dostateczne zdefragmentowany. Brak miejsca może wyjaśniać problemy z pracą systemu. Dla przykładu "świetne" samopoczucie innego Windows 7 przy podobnej poprzeczce wolnego: KLIK.

 

4. System w ogóle nie aktualizowany:

 

Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)

 

To jednak nie może być wzdrożone natychmiast, gdyż nie przejdzie to przy punkcie 3.

 

 

---

Na początek czyszczenie wstępne, byśmy się odczepili od brudu powierzchownego. Diagnostykę Harmonogramu zadań i miejsca na dysku przeprowadzę potem.

 

1. Odinstaluj hale. Powody zostały dostatecznie objaśnione, nie chodzi tu o aspekty "moralne" zagadnienia lecz syf w zasobach i obniżenie wydajności komputera. To co pokazuje GMER nie jest w żadnym wypadku normalne.

 

2. Odinstaluj adware Ask Toolbar, BabylonObjectInstaller, QuickStores-Toolbar 1.1.0, uTorrentControl2 Toolbar. Otwórz Firefox i w Dodatkach powtórz usuwanie QuickStores-Toolbar.

 

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-10-19 06:10:18 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\AJdMjhD77Iel
[2011-10-19 06:10:17 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\EIfgtfhD1Hrh
[2011-10-16 12:57:45 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\Edg0t1hEEhj1
[2011-10-16 12:57:38 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\grfL0feHIAeF
[2011-10-12 10:39:39 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\ifLigjthhedI
[2011-09-27 09:11:24 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\rjttKgdMMi1A
[2011-09-25 22:53:27 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\fDhfd7JFFy7F
[2011-09-22 17:35:24 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\dh1dg0766Ai6
[2011-09-22 05:42:17 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\KHtKh7fJJgDj
[2011-09-21 17:40:50 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\E6HFDGieedLe
[2011-09-21 12:09:51 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\gEig1HKff6Af
[2011-09-19 22:07:31 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\K1Jrdldtg71E
[2011-09-18 08:43:22 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\EdG1yFHEdhJE
[2011-09-17 22:30:20 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\tJytjgdllIFl
[2011-09-17 10:11:17 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\Edg1yFHEEhjE
[2011-09-15 04:51:01 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\gkDgLy0rrJGr
[2011-09-14 23:27:44 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\k0jhEMErf801
[2011-09-14 01:27:18 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\fDhfE7JFFt71
[2011-09-13 23:26:32 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\liflJr6LLH07
[2011-09-07 09:42:38 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\dFged6ifFEh8
[2011-09-06 15:04:36 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\EgG6rht6jEgr
[2011-09-02 23:46:45 | 000,000,000 | -H-- | C] () -- C:\Users\piter\AppData\Roaming\Eg767KrII1yi
SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SBSDWSCService)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe -- (RoxLiveShare9)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\piter\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Files
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

5. Uruchom Autoruns i zdeaktywuj ze startu niektóre zbędniki. Konkretnie w karcie Logon odznacz te pozycje:

 

O4 - HKLM..\Run: [b2C_AGENT] C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe (LG Electronics)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [NeroCheck] C:\Windows\System32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE (PowerISO Computing, Inc.)
O4 - HKLM..\Run: [TkBellExe] c:\program files\real\realplayer\Update\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [unlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe ()
O4 - HKCU..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe ()
O4 - HKCU..\Run: [skyDrive] C:\Users\piter\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe (Microsoft Corporation) 

 

A w karcie Services te:

 

SRV - [2012-07-17 14:55:12 | 000,044,696 | ---- | M] (Cucusoft, Inc.) [Auto | Running] -- C:\Program Files\Cucusoft\AutoUpdate\AutoUpdateSrvc.exe -- (CS_AutoUpdate)
SRV - [2009-07-14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 4 + AdwCleaner z punktu 3. Jeśli nadal jest na dysku log z ComboFix, przedstaw go (nie uruchamiaj narzędzia ponownie!).

 

 

.