Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wolno działający internet

Cisowiaka

Przez Cisowiaka
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Widzę tu infekcję, czyli rzekomy plik Microsoftu C:\ProgramData\wmc.exe w Harmonogramie zadań. Wg tematów na Google to może być infekcja, która ma związek z manipulacjami na kontach bankowych. I raport sugeruje, że ten szkodnik mógł wejść z nielegalnej paczki ... Kaspersky Antivirus 2013. Plik utworzony zaraz po pobraniu RAR i w tym samym czasie co pliki Kasperskiego, co jest zbyt dużym zbiegiem okoliczności:

 

2014-08-15 16:25 - 2014-08-15 16:25 - 00003020 _____ () C:\Windows\System32\Tasks\SYSTEM

2014-08-15 16:24 - 2014-08-15 16:24 - 00030784 ____S (Microsoft® Corporation) C:\ProgramData\wmc.exe

2014-08-15 16:24 - 2014-08-15 16:24 - 00001111 _____ () C:\Users\Public\Desktop\Kaspersky Anti-Virus 2013.lnk

2014-08-15 16:24 - 2014-08-15 16:24 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Anti-Virus 2013

2014-08-15 16:22 - 2014-08-15 16:22 - 00000000 ____D () C:\Program Files (x86)\Kaspersky Lab

2014-08-15 15:54 - 2014-08-15 15:04 - 180975546 _____ () C:\Users\asus\Downloads\Kaspersky.AV.2013.Pl-2014-08-10(1).rar

 

Pirackie wersje antywirusów to sprzeczność z zabezpieczeniami: "zabezpieczasz" system narażając się na backdoory i wyciek danych z systemu. Ten Kaspersky (nie najnowszy zresztą) będzie wyrzucany, nie biorę żadnej odpowiedzialności za niego i jest silne podejrzenie, że paczka wprowadziła infekcję.

 

Poza tym, są drobne odpadki adware w Google Chrome. Ale mam silne wątpliwości czy zdefiniowane szkodniki mają jakikolwiek związek ze spadkiem prędkości internetu. Przeprowadź następujące działania:

 

1. Odinstaluj Kaspersky Anti-Virus 2013.

 

2. Otwórz Notatnik i wklej w nim:

 

(Microsoft® Corporation) C:\ProgramData\wmc.exe
(Microsoft Corporation) C:\Windows\SysWOW64\reg.exe
Task: {D23B4F95-12F2-413D-A3A9-C55814ED46D3} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-15] (Microsoft® Corporation)
HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters).
HKLM-x32\...\Run: [] => [X]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
CHR RestoreOnStartup: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1400967366&from=wpc&uid=HitachiXHTS547550A9E384_J2160051CSLJTDCSLJTDX"
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
C:\ProgramData\wmc.exe
C:\ProgramData\.windows.sys
C:\ProgramData\*.bin
C:\Program Files\ESET
C:\Program Files\Common Files\Bitdefender
C:\Users\asus\Downloads\eset_smart_security-2014-08-10.rar
C:\Users\asus\Downloads\eset_smart_security-2014-08-10.rar.exe
C:\Users\asus\Downloads\Kaspersky.AV.2013.Pl-2014-08-10.rar
C:\Users\asus\Downloads\Kaspersky.AV.2013.Pl-2014-08-10(1).rar
C:\Windows\SysWow64\捵ꛉE
C:\Windows\SysWow64\蒠V
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: sc config "Internet Manager. RunOuc" start= demand
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączne (ręcznie je aktywujesz).

- Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy adware sweet-page.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakie zmiany w systemie.

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano

chciałem się zapytać, dana usługa zoztsała zatrzymana poprzez w/w wpis czy nie należy podać ścieżki do usunięcia ?

Ta linia ma w zamiarze zabić tylko uruchomiony proces. Plik nie może być usuwany, to plik systemowy.

 

 

czy to są kodowane wpisy

Jak widać nazwy są w skali Unicode. Nie wiadomo co utworzyło takie dziwne pliki o krzaczastych nazwach, toteż je usuwam, ale pliki są stosunkowo stare. Podobne pliki mogą tworzyć stare wersje Avira (bug w systemie aktualizacji).

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...