sweet page i bardzo wolny komputer

[zyguu]

Witam, przeskanowałem komputer malware, tdss killer i zrobiłem jak w zaleceniu dwa logi które załączam wraz z prośbą o pomoc

Addition.txt

FRST.txt

[picasso]

Raporty z OTL nadal są obowiązkowe, choć głównym narzędziem jest FRST.

 

Do spowolnienia prędzej przyczynia się zdewastowana niepoprawna deinstalacja Trend Micro (brak takiego wejścia na liście zainstalowanych, a nadal czynny sterownik) lub zupełnie co innego. Adware sweet-page nie powinno mieć żadnego związku z muleniem, nie te obszary ingerencji. Ponadto, objaśnij co tu się w ogóle działo, bo widzę ślady używania AdwCleaner (a żaden log z jego działania nie dostarczony) oraz narzędzi związanych z usuwaniem infekcji ZeroAccess + świeżo zmodyfikowany plik systemowy services.exe sugerujący, że jednak coś w tym pliku było:

 

2014-01-16 13:19 - 2014-01-16 13:19 - 00000000 ____D C:\Users\Public\Desktop\CC Support

2014-01-16 13:08 - 2009-07-14 02:39 - 00328704 _____ (Microsoft Corporation) C:\Windows\system32\Services.exe
 

C:\Users\Asus\AppData\Local\Temp\ESETSirefefCleaner.exe

 

Przeprowadź następujące działania pod kątem usuwania sweet-page i wpisów odpadkowych:

 

1. Po pierwsze, FRST jest uruchomiony z niepoprawnej lokalizacji tymczasowej:

 

Running from C:\Users\Asus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SU7RJGQ3

 

Pobierz go ponownie i zapisz na Pulpicie. Otwórz Notatnik i wklej w nim:

 

StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No File
Toolbar: HKCU - No Name - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No File
CHR HKLM-x32\...\Chrome\Extension: [hphehadppenpmajgnkjdcopcfijjegaf] - C:\Program Files (x86)\Jump Flip\hphehadppenpmajgnkjdcopcfijjegaf.crx [2014-01-16]
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
HKU\Gość\...\Run: [swg] - "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
Task: {1D0033F7-0FFF-4743-9023-A83CD2A7D5FB} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-1720854903-721639992-1052711666-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {24E238C5-D358-4530-987F-543DAEA16018} - System32\Tasks\{CD9E8B49-D7EF-4321-A0CC-B224F9F04A79} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe
Task: {600C2D23-CFD2-43F0-825F-29228D388218} - \DealPly No Task File
Task: {8F5C2CBB-DBCB-4D6F-AECF-E53224F19CDF} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
Task: {B9A865E6-4BCB-4994-A26E-F81F6DF0DB6B} - System32\Tasks\{BDBF8BD8-8E77-4C2E-934E-EF0315049A4F} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe
S2 SfCtlCom; C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe [838528 2009-08-04] (Trend Micro Inc.)
R0 pavboot; C:\Windows\System32\Drivers\pavboot64.sys [30792 2010-06-22] (Panda Security, S.L.)
S3 ipswuio; System32\DRIVERS\ipswuio.sys [x]
S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [x]
C:\aaw7boot.log
C:\Program Files\SkanerOnline
C:\Program Files\Trend Micro
C:\ProgramData\Lavasoft
C:\Users\Asus\daemonprocess.txt
C:\Users\Asus\AppData\Local\Tem
C:\Windows\system32\ServiceFilter.ini
C:\Windows\System32\Drivers\pavboot64.sys
C:\Windows\System32\Tasks\{17D7BE86-F65A-4335-86FD-D92354FDBC53}
C:\Windows\SysWOW64\rp_stats.dat
C:\Windows\SysWOW64\rp_rules.dat
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST na Pulpicie. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Jump Flip (o ile będzie widoczne).
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasłanie zostaną naruszone.
• Ustawienia > karta Historia > wyczyść

3. Uruchom Trend Micro Diagnostic Toolkit.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowe skany: FRST (bez Addition), zaległe raporty z OTL oraz Farbar Service Scanner. Dołącz plik fixlog.txt.

 

 

 

.

[zyguu]

mam nadzieję że dałem wszystko i niczego nie schrzaniłem. Laik ze mnie ale ciesze się że trafiłem w te same ręce jak kilka lat temu ale forum o innej nazwie chyba bylo.

Fixlog.txt

FRST.txt

FSS.txt

OTL.Txt

OTL.Txt

[picasso]

Skrypt FRST przetworzony, a podany log z FRST pokazuje to samo co poprzednio. Zrób nowy log FRST z chwili obecnej. Podany OTL nie jest kompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została zaznaczona). Nie objaśniłeś mi też tego:

 

Ponadto, objaśnij co tu się w ogóle działo, bo widzę ślady używania AdwCleaner (a żaden log z jego działania nie dostarczony) oraz narzędzi związanych z usuwaniem infekcji ZeroAccess + świeżo zmodyfikowany plik systemowy services.exe sugerujący, że jednak coś w tym pliku było

Opisz dokładnie co robiłeś, co pokazywały skanery. Poza tym, dołączyłeś tu jakiś dziwny skrypt przetwarzany w OTL, kto podawał ten skrypt i gdzie?

 

 

Laik ze mnie ale ciesze się że trafiłem w te same ręce jak kilka lat temu ale forum o innej nazwie chyba bylo.

Owszem, wcześniej przez 7 lat działałam na innym forum. Opuściłam je i założyłam swoje własne forum fixitpc.pl.

 

 

 

.

[zyguu]

W załączniku zaległe log plus nowy

 

 

Takie dostalem wskazówki na innym forum, zanim nie natknąłem się na Panią:

 

 

 

Odinstaluj:

Jump Flip

Google Toolbar for Internet Explorer

Ad-Aware

Skaner on-line mks_vir

Trojan Remover 6.8.2

DealPly

 

Zainstaluj: http://ninite.com/java/

 

Uzyj:

http://kb.eset.com/esetkb/index?page=content&id=SOLN2895&locale=en_US

oraz:

http://kb.eset.com/library/ESET/KB%20Team%20Only/Malware/ServicesRepair.exe

 

Wykonaj skrypt w OTL:

 

:OTL

DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)

[2011-03-30 11:14:15 | 000,002,046 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16:64bit: - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16:64bit: - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

[2014-01-16 09:55:01 | 000,000,000 | ---D | C] -- C:\AdwCleaner

[2014-01-15 15:45:53 | 000,000,000 | ---D | C] -- C:\Users\Asus\.android

[2014-01-15 15:45:50 | 000,000,000 | ---D | C] -- C:\Users\Asus\AppData\Local\cache

[2011-06-19 19:59:59 | 000,182,168 | ---- | C] (Microsoft Corporation) -- C:\Program Files\trilogyiii.exe

[2014-01-15 15:40:30 | 000,001,081 | ---- | C] () -- C:\Users\Asus\Desktop\Continue 7-Zip Installation.lnk

[2013-06-03 11:28:29 | 000,000,004 | ---- | C] () -- C:\Users\Asus\AppData\Roaming\skype.ini

[2010-12-09 20:42:47 | 000,002,432 | ---- | C] () -- C:\Users\Asus\AppData\Local\TempITF368.html

[2010-12-09 20:42:47 | 000,002,089 | ---- | C] () -- C:\Users\Asus\AppData\Local\TempUyE368.html

[2011-11-17 07:41:18 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\@

[2011-11-17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\L

[2013-12-06 15:33:58 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\U

[2013-12-06 15:33:45 | 000,000,768 | ---- | M] () -- C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\U\00000001.@

[2013-12-06 15:33:45 | 000,000,768 | ---- | M] () -- C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\U\00000002.@

[2013-12-06 15:33:58 | 000,004,096 | ---- | M] () -- C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\U\80000000.@

[2013-12-06 15:33:58 | 000,004,096 | ---- | M] () -- C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\U\80000001.@

[2013-12-06 15:33:32 | 000,004,096 | ---- | M] () -- C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\U\800000cb.@

[2012-09-28 09:46:38 | 000,002,048 | -HS- | M] () -- C:\Users\Asus\AppData\Local\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\@

[2011-11-17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Users\Asus\AppData\Local\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\L

[2011-11-17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Users\Asus\AppData\Local\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}\U

[2009-07-14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

 

 

AdwCleanerS0.txt

Extras.Txt

FRSTnowy.txt

[picasso]

Ten skrypt miał bezsensowne punkty: usunięcie pliku C:\Windows\assembly\Desktop.ini Windows (to nie był ZeroAccess) oraz przetwarzanie pojedynczych składników ZeroAccess (to nie wszystko) zamiast kasacji całych folderów od góry (ta prezentacja w logu tak wygląda tylko dlatego, że OTL pomocniczo szuka plików ZeroAccess o nazwach małpka / L). I nie wiadomo czy te foldery nadal na dysku są, bo się działy rzeczy pomiędzy. Będę to sprawdzać.

 

Otwórz Notatnik i wklej w nim:

 

Folder: C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}
Folder: C:\Users\Asus\AppData\Local\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}
Reg: reg query HKCU\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[zyguu]

Proszę bardzo

Fixlog nowy.txt

[picasso]

Poprawki. Otwórz Notatnik i wklej w nim:

 

C:\Windows\Installer\{9982d713-0db2-4ba2-b619-cb6a9fa2dd1a}
Reg: reg delete HKCU\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

I wypowiedz się wyraźnie czy jest jakiś określony problem w systemie obecnie?

 

 

.

[zyguu]

z systemem wszystko wydaje się być w porządku. Chodzi plynnie. Na monitoringu widac ze pracuje ciagle 35 % pamieci i CPU tez ma wykres jak w czasie zawału ale to pewnie wynik naszych działań i zainstalowanych narzędzi. ciekawe czy przywracanie systemu się naprawiło (nie mozna bylo uruchomic bonie bylo punktów a punktow nie mozna bylo miec bo brakowało czegoś a windows update nie działał ) ale to inna historia.

 

te dzialania są  hmmm bardzo skuteczne lapek jakby odżył

Fixlog'.txt

[picasso]

Skrypt wykonany pomyślnie, ale zanim zadam czynniości końcowe chcę się upewnić, że nie ma tu usterek:

 

ciekawe czy przywracanie systemu się naprawiło (nie mozna bylo uruchomic bonie bylo punktów a punktow nie mozna bylo miec bo brakowało czegoś a windows update nie działał ) ale to inna historia.

Tu była infekcja ZeroAccess. Szkody po niej zostały naprawione, a raport FRST puntuje cały zbiór punktów Przywracania systemu:

 

==================== Restore Points =========================
 

01-12-2013 18:00:25 Kopia zapasowa systemu Windows

08-12-2013 19:44:40 Kopia zapasowa systemu Windows

15-12-2013 18:25:47 Kopia zapasowa systemu Windows

22-12-2013 18:00:26 Kopia zapasowa systemu Windows

26-12-2013 11:24:13 Zainstalowano: DRUKI Gofin 2.1.8.0

12-01-2014 18:20:15 Kopia zapasowa systemu Windows

15-01-2014 14:14:47 Installed Java 7 Update 51

16-01-2014 10:58:38 Removed Ad-Aware

 

Sprawdź czy uruchamia się Przywracanie systemu i czy pokazuje owe wyliczone punkty (ale nie uruchamiaj go przypadkiem, by cofnąć faktycznie system) oraz czy działa Windows Update.

 

 

.

[zyguu]

Więc tak:

Przywracanie systemu-  pokazał się punkt z dnia dzisiejszego o godzinie 11 z kawałkiem gdy kliknałem pokaz inne punkty to nie pokazało się więcej chyba ze cos robie źle

windows update chyba działa bo sciagneło sie 788 MB aktualizacji

[picasso]

Na zakończenie:

 

1. Przez SHIFT+DEL skasuj FRST i foldery:

 

C:\FRST

C:\Users\Public\Desktop\CC Support

 

W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Dokończ aktualizacje Windows. Popza tym, te pozycje z Twojej listy zainstalowanych do aktualizacji:

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.152 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.94 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera

Adobe Reader XI (11.0.03) (x32 Version: 11.0.03 - Adobe Systems Incorporated)

Gadu-Gadu 7.7 (x32 Version: - )

Google Chrome (x32 Version: 31.0.1650.63 - Google Inc.)

Java™ 6 Update 21 (64-bit) (Version: 6.0.210 - Oracle)

Java™ 6 Update 22 (64-bit) (Version: 6.0.220 - Oracle)

Microsoft Silverlight (Version: 5.1.10411.0 - Microsoft Corporation)

 

Stare Java 6 do całkowitej deinstalacji, nie potrzebujesz też Adobe Flash Player 11 Plugin (brak tu innych przeglądarek zewnętrznych niż Google Chrome). Stare słabo zabezoieczone Gadu-Gadu 7.7, ledwo obsługujące własną sieć, też do wymiany, proponowany alternatywny nowoczesny program WTW: KLIK.

 

 

 

.