Okresowe sprawdzenie systemu - odczuwalne spowolnienie internetu

[fabios]

Witam

 

Dzieje się coś niepokojącego, dlatego zdecydowałem się na założenie posta. Głównie chodzi o okresowe sprawdzenie kondycji systemu WIN XP. Są też niepokojące objawy co do infekcji gdyż skaner CUREIT natknął się na jakieś śmieci i oczywiście je usunął. Mimo to nadal odczuwam spowolnienie podczas korzystania z internetu. Zapora Arcavir również blokuje jakieś połączenia. Dla spokoju chciałbym by ktoś z fachowców obejrzał logi. Z góry dziękuję za poświęcony czas.

 

Cureit log

OTL log

OTL Extras log

 

[picasso]

W skład obowiązkowych logów wchodzi GMER. Widzę, że przymierzałeś się do narzędzia ESETSirefefRemover.exe. Jaki powód?

 

 

Są też niepokojące objawy co do infekcji gdyż skaner CUREIT natknął się na jakieś śmieci i oczywiście je usunął.

 

Infekcja nie została zdowodowana przez CureIt:

 

Total 4 files are infected
 
-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------
C:\System Volume Information\_restore{8F6115EA-36F5-4F8D-81C2-720103785267}\RP1111\A0216256.exe - quarantined
C:\System Volume Information\_restore{8F6115EA-36F5-4F8D-81C2-720103785267}\RP1152\A0219856.exe - quarantined
C:\System Volume Information\_restore{8F6115EA-36F5-4F8D-81C2-720103785267}\RP1181\A0222348.exe - deleted
C:\Documents and Settings\as\Moje dokumenty\Pobieranie\gg10.exe - deleted

 

Instalator GG10 skasowany , infekcja wątpliwa, ale usuwanie uważam za jak najbardziej słuszne, program adware. Pozostałe wyniki z katalogu System Volume Information (Przywracania systemu) są niemożliwe do oceny, bo to już kopie pliki zrobione przez Przywracanie systemu pod zmienionymi nazwami (oryginały całkiem gdzie indziej). A poza tym one nie mają znaczenia, to izolowany magazyn. Foldery Przywracania systemu zbiorczo czyści się w ten sposób: KLIK. Na razie tego nie rób, bo to na końcu się prowadzi, a mamy tu do roboty:

 

 

Natomiast infekcja tu rzeczywiście jest, całkiem gdzie indziej, oto wpis startowy trojana:

 

O4 - HKU\S-1-5-21-117609710-413027322-725345543-1003..\Run: [uvved] C:\Documents and Settings\as\Dane aplikacji\Wymy\pehe.exe ()

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-117609710-413027322-725345543-1003..\Run: [uvved] C:\Documents and Settings\as\Dane aplikacji\Wymy\pehe.exe ()
[2012-12-15 11:39:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\as\Dane aplikacji\Wymy
[2012-12-15 11:39:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\as\Dane aplikacji\Syit
[2012-12-15 11:39:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\as\Dane aplikacji\Anupah
[2012-12-11 19:55:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\as\Dane aplikacji\Sinik
[2012-12-11 19:55:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\as\Dane aplikacji\Idfivi
DRV - [2012-04-18 20:42:29 | 000,135,952 | ---- | M] (trend_company_name) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tmrkb.sys -- (tmrkb)
DRV - [2012-04-18 20:42:27 | 000,205,072 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tmcomm.sys -- (tmcomm)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GtVUsb)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GTSCSER)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GTPTSER)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GTMSERUSB)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GTMNDISIRPXP)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GTMMDMUSB)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GTFFBUS)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (ew_hwusbdev)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Wyczyść Firefox z adware i starych naleciałości po upgradach: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER.

 

 

 

.

[fabios]

Tak... zapomniałem o GMER ale zaraz po utworzeniu postu zrobiłem go. A ESETSirefefRemover.exe nie kojarzę, być może robiłem coś profilaktycznie. Zamieszczam poniżej log GMER i zabieram się do roboty. Dziękuję i oczekuję dalszych wskazówek.

 

GMER log

 

I w międzyczasie nowy log OTL

[picasso]

Zadania pomyślnie wykonane. Kolejne czynności:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (wybierz darmową wersję a nie próbną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[fabios]

Zrobione. Podczas skanowania Arcavir zgłosił alert w ścieżce: \\?\Volume{aa4ef9ba-8e66-11dd-af1e-806d6172696f}\Program Files\AMT\HookAPINT.dll. Plik wysłałem do analizy. Reszta zagrożeń w logu MALWAREBYTES. Pliki, które znalazł na pulpicie są mi potrzebne do usuwania WGA z systemów (legalizacji), więc chyba nie są zagrożeniem, natomiast tych innych nie kojarzę. Zapewne świństewka.

 

mbam-log-2012-12-16

[picasso]

Podczas skanowania Arcavir zgłosił alert w ścieżce: \\?\Volume{aa4ef9ba-8e66-11dd-af1e-806d6172696f}\Program Files\AMT\HookAPINT.dll. Plik wysłałem do analizy.

 

To wygląda na fałszywy alarm na komponentach odtwarzacza MP3: KLIK / KLIK.

 

 

Reszta zagrożeń w logu MALWAREBYTES. Pliki, które znalazł na pulpicie są mi potrzebne do usuwania WGA z systemów (legalizacji), więc chyba nie są zagrożeniem, natomiast tych innych nie kojarzę. Zapewne świństewka.

 

MBAM wykrywa legalizatory z oczywistych względów. Nie rozwijam wątku. Natomiast pozostałe wyniki kierujące na katalog Thinstall z Blaze Video Magic 2.0 to fałszywy alarm. Był tu uruchamiany Blaze w wersji rzekomo portable, robionej metodą wirtualizacji Thinstall. Ten katalog wścieka MBAM, zresztą inne antywirusy też. Mimo że to nie jest groźne, w ramach porządków dysku skasuj przez SHIFT+DEL cały folder:

 

C:\Documents and Settings\as\Dane aplikacji\Thinstall

 

Sprawa wygląda na ukończoną. Tak więc czy problemy nadal występują?

 

 

 

.

[fabios]

Wszystko zrobione jednak prędkość korzystania z netu raczej się nie zmieniła, czyli wciąż zamula. Zauważyłem, że przy otwarciu internet explorera pojawiają się dwa procesy iexplorer.exe. Czy to normalne? Zrzut w linku.

 

Menadżer procesów.jpg

[picasso]

Wszystko zrobione jednak prędkość korzystania z netu raczej się nie zmieniła, czyli wciąż zamula.

 

Na wszelki wypadek jeszcze sprawdź co powie Kaspersky TDSSKiller. Upewnij się, że problemu nie tworzy ArcaBit (nakłada filtr na urządzenia sieciowe). A w przypadku braku rezultatów załóż nowy temat w dziale Sieci, podając dane o które proszą zasady tamtejszego działu.

 

 

Zauważyłem, że przy otwarciu internet explorera pojawiają się dwa procesy iexplorer.exe. Czy to normalne?

 

To normalne. U mnie tak samo. Procesy iexplore.exe jeszcze bardziej się mogą rozmnożyć, bo IE8 do IE10 ma technikę separacji kart do nowych procesów: KLIK.

 

 

 

.

[fabios]

TDSSKiller nic nie wykrył. Arcavir'a używam długo, właściwie od początków jego istnienia, więc te spowolnienie raczej nie jest tego przyczyną chyba, że coś wymyślili podczas kolejnej aktualizacji.

W międzyczasie otrzymałem też odpowiedź od Arcabit odnośnie wysłanego pliku do analizy: \\?\Volume{aa4ef9ba-8e66-11dd-af1e-806d6172696f}\Program Files\AMT\HookAPINT.dll. Treść w odnośniku TU. Nie ukrywam, że bez twojej aprobaty Picasso waham się przed użyciem narzędzia ComboFix.

[picasso]

Jak mówię: to jest komponent od odtwarzacza, coś takiego było podłączone. Jeśli tego już nie ma, po prostu przez SHIFT+DEL skasuj z dysku folder C:\Program files\AMT. A co do "porad" ArcaBit:

 

 

prosze tez dodatkowo sprawdzic komputer programem combofix

i odeslac folder c:\qoobox

 

Ale po co. Poproś o uzasadnienie o cóż im chodzi. Nie ma aktualnie żadnych podstaw do uruchomienia. A taki tekst od producenta antywirusa nasuwa mi duże wątpliwości na temat jakości udzielanej pomocy.

 

 

Arcavir'a używam długo, właściwie od początków jego istnienia, więc te spowolnienie raczej nie jest tego przyczyną chyba, że coś wymyślili podczas kolejnej aktualizacji.

 

Mówię: sprawdź. ArcaVir nakłada filtr na kartę sieciową, a można to podejrzeć we Właściwościach połączenia w Panelu sterowania. W zestawie komponentów używanych przez połączenie powinien stać ABndis Driver.

 

 

.

[fabios]

Oczywiście wszystkie poprzednie twoje wskazówki wykonałem jak i tę z usunięciem folderu C:\Program files\AMT.

 

ABndis Driver rzeczywiście jest. Czy coś należałoby z tym zrobić?

 

Poproś o uzasadnienie o cóż im chodzi...

 

Oczywiście to zrobię

[picasso]

ABndis Driver rzeczywiście jest. Czy coś należałoby z tym zrobić?

 

Wstępny test: odznacz to w komponentach połączenia + restart systemu. Sprawdź jak się zachowuje sieć z wyłączonym filtrem ArcaBit.

 

 

 

.

[fabios]

...jak się zachowuje sieć z wyłączonym filtrem ArcaBit.

 

Bez zmian. Po restarcie system próbował instalować nowe urządzenie ale anulowałem.

[picasso]

To załóż temat w dziale Sieci, podając wymagane dane: KLIK. Zlinkuj tu do tematu, by nie padła prośba o ponowne logi z OTL.

[fabios]

Dobrze, robi się... i bardzo dziękuję za dotychczasową pomoc. Pozdrawiam