Losowe ściananie, zablokowany avast, etc.

[kedzik]

Witam!
Od wczoraj borykam się z pewnym problem, postaram się opisać cały przebieg jak najbardziej szczegółowo.
Problem zaczął się tak jakby w nocy z soboty na niedzielę, w tym czasie zostawiłem włączony na noc komputer z działającym w tle radiem open.fm (wersja ściągana na komputer, nie przeglądarkowa). Gdy rano się przebudziłem okazało się, że komputer jest wyłączony (wykluczam przegrzanie, bądź brak zasilania), uruchomiłem go ponownie, lecz po zalogowaniu się do Windows nie mogłem odpalić przeglądarki i komputer całkowicie się zawiesił, niestety nie miałem wtedy czasu na głębszą obserwację problemu i po prostu odłączyłem PC od zasilania. Po powrocie do domu (tj. wczorajszy wieczór) zauważyłem dziwne zachowanie, ciągłe zawieszanie się, które pojawiały się w sposób losowy (różne odstępy czasowe oraz różne długości zacięć), po chwili zauważyłem, że w prawym dolny rogu wyskoczyło powiadomienie, że Avast ma wyłączone ochrony, próbowałem je uruchomić lecz niestety bez żadnego skutku, w wypadku próby skanowania wyskakiwał błąd, że nie można go wykonać. Następnie spróbowałem przywrócić system do poprzedniego statu lecz tutaj również pojawił się błąd, który informował, że nie ma żadnych punktów przywracania. Kolejnym moim krokiem było przejście do trybu awaryjnego lecz nie było możliwości włączenia go metodą klasyczną (F8 podczas rozruchu) jedynie przez msconfig dało radę, lecz w tym trybie też nic nie zdziałałem. Następnie ściągnąłem program adwcleaner oraz Malwarebytes Anti-Malware i wykonałem kompletny skan znalazło kilka niechcianych wpisów lecz większość to typowe PUP (w razie potrzeby mogę udostępnić logi). Po tym zrobiłem reinstalację Avasta (tym razem osłony działały). Wykonałem jeszcze dodatkowy skan programem Rogue Killer, który znalazł jeden szkodliwy proces "Au_.exe" oraz dwa wpisy w rejestrze. Usunąłem również pliki tymczasowe. Na chwilę obecną wszystko wydaję się być ok i podczas pisania tego postu nie wystąpiło ani jedno zakłócenie pracy lecz obawiam się, że to może nastąpić, poza tym system tworzy już pkt przywracania systemu, natomiast włączanie trybu awaryjnego przez F8 wciąż nie działa. Poniżej przedstawiam logi wykonane po wszystkich procedurach opisanych tutaj przeze mnie. Z góry dziękuję za pomoc.


EDIT: Niestety ścianania wciąż występują, czasem konieczny reset

[jessica]

@Picasso miała już dziś zacząć pomagać, ale wygląda na to, że jeszcze nie całkiem wyzdrowiała.

 

Otwórz Notatnik i wklej w nim:

 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

S2 Util WebConnect; "C:\Program Files (x86)\WebConnect\bin\utilWebConnect.exe" [x]

C:\Users\Krzysiek\AppData\Local\Temp\ntdll_dump.dll

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj go.

 

Zrób nowe logi z FRST.

 

Error - 2013-12-01 22:00:08 | Computer Name = KrzysiekO | Source = Service Control Manager | ID = 7001

Description = Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji

 w sieci, której nie można uruchomić z powodu następującego błędu:   %%1068

Zrób log z Farbar Service Scanner.

 

jessi

[kedzik]

wykonane

Fixlog.txt

FRST.txt

FSS.txt

[jessica]

FSS nic ciekawego nie wykrył. Windows Defender jest wyłączony, ale to chyba sam go wyłączyłeś?

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL

O4 - Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xfire.lnk =  File not found

 

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-312489949-4146600406-2226856705-1001\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie

Daj go.

 

Na ostateczną ocenę musisz poczekać na @Picasso.

Nie wiem, kiedy zajrzy do Twego tematu.

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

 

jessi

[kedzik]

Wykonane, dziękuję za pomoc.

OTL PO SKRYPCIE.txt

[picasso]

kedzik

 

Po powrocie do domu (tj. wczorajszy wieczór) zauważyłem dziwne zachowanie, ciągłe zawieszanie się, które pojawiały się w sposób losowy (różne odstępy czasowe oraz różne długości zacięć), po chwili zauważyłem, że w prawym dolny rogu wyskoczyło powiadomienie, że Avast ma wyłączone ochrony, próbowałem je uruchomić lecz niestety bez żadnego skutku, w wypadku próby skanowania wyskakiwał błąd, że nie można go wykonać.

(...)

Po tym zrobiłem reinstalację Avasta (tym razem osłony działały).

Ja tu zakładam, że problemem był Avast per se, gdyż nic nie wskazuje na ingerencję infekcji. Wykonywane skrypty były natury kosmetycznej.

 

 

EDIT: Niestety ścianania wciąż występują, czasem konieczny reset

Avast tu nadal jest i nie jest niestety wykluczony jako przyczyna. Ponadto, w Dzienniku zdarzeń są błędy sterowników AMD:

 

[ System Events ]
 

Error - 2013-12-01 22:01:46 | Computer Name = KrzysiekO | Source = atikmdag | ID = 52236

Description = CPLIB :: General - Invalid Parameter
 

Error - 2013-12-01 22:01:46 | Computer Name = KrzysiekO | Source = atikmdag | ID = 43029

Description = Display is not active

 

 

---

I jeszcze są wpisy wymagające korekty (nie związane z powyższym), w tym błędna ścieżka Windows Defender (powinno być odwołanie do modułu 64-bit a nie 32-bit):

 

S3 WinDefend; %ProgramFiles(x86)%\Windows Defender\mpsvc.dll [x]

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SYSTEM\CurrentControlSet\services\WinDefend\Parameters /v ServiceDll /t REG_EXPAND_SZ /d "^%ProgramFiles^%\Windows Defender\mpsvc.dll" /f
S4 Util WebConnect;
S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [x]
BootExecute:
SearchScopes: HKLM - DefaultScope value is missing.

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj cache wtyczek Google Chrome: w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome.

 

3. Zrób nowy skan FRST i zaznacz, by powstał plik Addition, gdyż go wcale nie podałeś. Dołącz plik fixlog.txt a także te logi, gdyż nie wiadomo co narzędzia namieszały:

 

Następnie ściągnąłem program adwcleaner oraz Malwarebytes Anti-Malware i wykonałem kompletny skan znalazło kilka niechcianych wpisów lecz większość to typowe PUP (w razie potrzeby mogę udostępnić logi).

(...)

Wykonałem jeszcze dodatkowy skan programem Rogue Killer, który znalazł jeden szkodliwy proces "Au_.exe" oraz dwa wpisy w rejestrze.

 

 

.

[kedzik]

Wykonane, dodaję brakujące logi. Od wczoraj Windows pracuję stabilnie, nie wystąpiły żadne dziwne zawiechy.

Addition.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

mbam-log-2013-12-01 (23-21-30).txt

mbam-log-2013-12-01 (23-37-03).txt

mbam-log-2013-12-01 (23-38-06).txt

RKreport0_D_12022013_033043.txt

RKreport0_S_12022013_033030.txt

[picasso]

Wyniki skanerów to nic szczególnego: adware, dużo powiązanych wyników w Temp, a plik "Malwarebytes-AntiMalware(13117).exe to "Asystent pobierania" i unikać tego dziadostwa: KLIK.

 

Co do ostatniego fiksa, komenda Reg w skrypcie błędnie zaimportowała wpis (załączyły się znaki karetki ^), powinnam inaczej zastosować w zmiennej escape. Popraw inną metodą:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Util WebConnect]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\XFDriver64]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Do oceny wystarczy tylko log z Farbar Service Scanner, by potwierdzić naprawę ścieżki Windows Defender.

 

 

.

[kedzik]

Wykonane, załączam log

FSS.txt

[picasso]

Zadanie wykonane. Zaznaczyłeś, że problemów już nie notujesz, więc na zakończenie:

 

1. Przez SHIFT+DEL skasuj folder C:\FRST i składniki RogueKiller, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.