Win32/Kryptik.CRNT - Przymulony i cały czas "pracujący" FF + padł Shockwave Flash

[markym]

Podczas pracy FF obok strzałki prawie bez przerwy pojawia się "kółeczko" oznaczające chyba że FF cały czas coś "rzeźbi".Skacze też wskaźnik CPU prawie na 100 - potem opada, rośnie itd Przy przełączaniu między oknami zostaje czasem część informacji/obrazów z poprzednio wyświetlanej karty (czyżby jakieś kłopoty z kartą graficzną). Na dodatek padł jeszcze Shockwave Flash - jakby zaczynał coś wczytywać ale nigdy nie rusza. Odinstalowałem go i zainstalowałem na nowo - nic to nie dało. Na IE Shockwave Flash działa ale tam on chyba jet jakiś "inny". Zastanawiałem się też czy to przymulenie nie jest spowodowane zbyt wysoką temperaturą. Czasem z "wiatraczka" naprawdę bucha. Kiedyś to było raz konserwowane jakąś specjalną "pastą" czy tak jakoś. Może trzeba jeszcze raz?

 

Czy widać w logach coś podejrzanego czy też

 

Przesyłam logi i coś co zostało po skanie online NODem 32

 

A tak btw Picasso pamiętasz ?  https://www.fixitpc.pl/topic/18493-błąd-80070003-usługi-windows-update/

 

pzdro i z góry dzięki za zainteresownie i rady

 

m

gmerr.txt

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

Shortcut.txt

nod32.txt

[picasso]

GMER zrobiłeś w niewłaściwych warunkach, tzn. przy czynnym sterowniku SPTD od DAEMON Tools Lite. Owszem, są tu oznaki infekcji - wpis EucubEpivn.dat w starcie oraz zablokowane oprogramowanie zabezpieczające w oparciu o polityki oprogramowania. Ale infekcja nie wygląda na czynną, gdyż jej plik usuwał właśnie skaner ESET. Przypuszczalna droga infekcji: exploit Java. W tym temacie będzie więc usuwanie odpadków po infekcji oraz wpisów pustych. To raczej nie ma związku z opisywanymi problemami. Akcja:

 

 

1. Na początek odinstaluj starsze wersje oraz zbędniki: Acrobat.com, Adobe AIR, Adobe Shockwave Player 11.5, Java 7 Update 55, Windows Live Toolbar.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Lavasoft 
HKLM Group Policy restriction on software: C:\Program Files\ESET 
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee 
HKU\S-1-5-21-300751917-3985659210-3560172915-1003\...\Run: [EucubEpivn] => regsvr32.exe "C:\ProgramData\EucubEpivn\EucubEpivn.dat"
HKU\S-1-5-18\...\RunOnce: [AutoLaunch] => C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly
Task: {8C86B6DC-108A-4FB9-9902-1DC702D854C5} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
S2 RoxLiveShare10; "C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe" [X]
FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gazeta.pl/0,0.html?p=133
HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://msn.gazeta.pl/?ocid=OIE9HP
HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com.pl/0SEPLPL/SAOS01?FORM=TOOLBR
HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=133
SearchScopes: HKU\S-1-5-21-300751917-3985659210-3560172915-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
C:\Program Files\mozilla firefox\plugins
C:\ProgramData\EucubEpivn
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Get Video Conferencing.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\McAfee Install.lnk
C:\Users\marek\AppData\Roaming\Systweak
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

Podczas pracy FF obok strzałki prawie bez przerwy pojawia się "kółeczko" oznaczające chyba że FF cały czas coś "rzeźbi".Skacze też wskaźnik CPU prawie na 100 - potem opada, rośnie itd Przy przełączaniu między oknami zostaje czasem część informacji/obrazów z poprzednio wyświetlanej karty (czyżby jakieś kłopoty z kartą graficzną). Na dodatek padł jeszcze Shockwave Flash - jakby zaczynał coś wczytywać ale nigdy nie rusza. Odinstalowałem go i zainstalowałem na nowo - nic to nie dało. Na IE Shockwave Flash działa ale tam on chyba jet jakiś "inny".

Z raportów nic nie wynika, a IE owszem korzysta z zupełnie innej instalacji (Adobe Flash Player 15 ActiveX). Sprawdź jak się zachowuje Firefox, gdy:

- We wtyczkach wyłączysz wszystko z wyjątkiem wtyczki FlashPlayer.

- W Rozszerzeniach wyłączysz tymczasowo Classic Theme Restorer.

 

 

Zastanawiałem się też czy to przymulenie nie jest spowodowane zbyt wysoką temperaturą. Czasem z "wiatraczka" naprawdę bucha. Kiedyś to było raz konserwowane jakąś specjalną "pastą" czy tak jakoś. Może trzeba jeszcze raz?

Pod tym kątem załóż nowy temat w dziale Hardware.

 

 

A tak btw Picasso pamiętasz ?

Powtarzałam już kilka razy, że jestem świadoma jakie tematy nie są rozwiązane i nie ma potrzeby przypominania się. Jeśli się nie wypowiadam, to znaczy, że na ten moment nie mam nic do powiedzenia (nie zanalizowane dane, brak koncepcji etc.).

 

 

 

.

[markym]

Dear Picasso,

 

Pkt 1, 2 i 3 wykonane - logi poniżej.

 

 

Z raportów nic nie wynika, a IE owszem korzysta z zupełnie innej instalacji (Adobe Flash Player 15 ActiveX). Sprawdź jak się zachowuje Firefox, gdy:

- We wtyczkach wyłączysz wszystko z wyjątkiem wtyczki FlashPlayer.

- W Rozszerzeniach wyłączysz tymczasowo Classic Theme Restorer.

 

Wyłączyłem wszystko oprócz FlashPlayer i FF jakby już nie muli ale wciąż nie odtwarza filmów (np w you tube), nie działa też player (np w tvp sport) oparty na silverlight (próbowałem i na włączonej i na pytającej o aktywację wtyczce) - a na IE wszystko hula   co z tym zrobić, jeszcze raz odinstalować i zainstalować tego Shockwave??

 

Wyłączenie Classic Theme Restorer moim zdaniem nic nie daje (a poza tym wygląd FF jest wtedy dla mnie nie do zniesienia  )

 

 

Powtarzałam już kilka razy, że jestem świadoma jakie tematy nie są rozwiązane i nie ma potrzeby przypominania się. Jeśli się nie wypowiadam, to znaczy, że na ten moment nie mam nic do powiedzenia (nie zanalizowane dane, brak koncepcji etc.).

 

Ja tylko myślałem, że może coś sknociłem z tym ProcessMonitor (albo linkiem do niego - dlatego dałem drugi)

 

pozdro

 

m

FRST.txt

Fixlog.txt

[picasso]

Wpisy infekcji niby pomyślnie przetworzone, a one wróciły = infekcja jest nadal czynna. Powtórka:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee 
HKLM Group Policy restriction on software: C:\Program Files\ESET 
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Lavasoft 
HKU\S-1-5-21-300751917-3985659210-3560172915-1003\...\Run: [EucubEpivn] => regsvr32.exe "C:\ProgramData\EucubEpivn\EucubEpivn.dat"
FF Homepage: hxxp://www.gazeta.pl/0,0.html
C:\ProgramData\EucubEpivn
C:\Program Files\Java
C:\Program Files\Windows Live Toolbar
Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
File: C:\Program Files\ThinkPad\Utilities\BTVLOGEX.DLL
Folder: C:\Program Files\Common Files\Nokia\MPlatform
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart - opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

Wyłączyłem wszystko oprócz FlashPlayer i FF jakby już nie muli ale wciąż nie odtwarza filmów (np w you tube), nie działa też player (np w tvp sport) oparty na silverlight (próbowałem i na włączonej i na pytającej o aktywację wtyczce) - a na IE wszystko hula

- Adobe Flash: czy chodzi cały czas o ten efekt "jakby zaczynał coś wczytywać ale nigdy nie rusza"?

- Silverlight: co się pokazuje?

 

Na razie to zostawiam, bo w pierwszej kolejności musi zostać usunięta infekcja, nie wiadomo jaki ona ma wpływ i musi być czyste pole do rozważań.

[markym]

Dear Picasso,

 

Pkt 1 i 2 wykonano - logi poniżej

 

 

- Adobe Flash: czy chodzi cały czas o ten efekt "jakby zaczynał coś wczytywać ale nigdy nie rusza"?

- Silverlight: co się pokazuje?

 

Na razie to zostawiam, bo w pierwszej kolejności musi zostać usunięta infekcja, nie wiadomo jaki ona ma wpływ i musi być czyste pole do rozważań.

 

Po wykonaniu pkt 1 wszystkie objawy ustąpiły - działają filmiki na you tube i te oparte na Silverlight

Więc to chyba było spowodowane infekcją - ale oczywiście czekam na fachową analizę

 

Obecnie wszystkie dodatki w FF mam na "nigdy nie aktywuj" oprócz Shockwave Flash i Silverlight Plug-in, które są na "pytaj o aktywację".

 

Czy zostawić je tak czy też coś przestawić bo może spowodować uciążliwości w użytkowaniu - mam na myśłi Adobe Acrobat (podglą/druk dokumentów) ewentualnie RayV Plugin (czy mi się wydaje czy to jest jakiś rodzaj kodeka do filmów albo do Sopcast) ??

 

.

FRST.txt

Fixlog.txt

[picasso]

No to mamy z głowy. Finalizujemy sprawy:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Pobrany GMER dokasuj ręcznie.

 

2. Proponuję wypróbować darmową wersję Malwarebytes Anti-Exploit, w celu podstawowego zabezpieczenia przed podobnymi przypadkami.

 

 

Obecnie wszystkie dodatki w FF mam na "nigdy nie aktywuj" oprócz Shockwave Flash i Silverlight Plug-in, które są na "pytaj o aktywację".

 

Czy zostawić je tak czy też coś przestawić bo może spowodować uciążliwości w użytkowaniu - mam na myśłi Adobe Acrobat (podglą/druk dokumentów) ewentualnie RayV Plugin (czy mi się wydaje czy to jest jakiś rodzaj kodeka do filmów albo do Sopcast) ??

Tu już wg uznania, choć im mniej ładuje się wtyczek w Firefox, tym lepiej. Z tych pozostałych, jeśli używane, możesz ustawić je na "Pytaj o aktywację". RayV Plugin powinno służyć do odtwarzania materiałów strumieniowych platformy RayV, nie wiem czy to jeszcze działa, gdyż w tym roku RayV przejęte zostało przez Yahoo.

[markym]

DelFix zastosowany - log poniżej

 

Przywracaniem systemu - zrobione

 

Gmer - wykasowany

 

Czy ten Malwarebytes Anti-Exploit nie będzie się z niczym kłócił ani niczego blokował ?

 

tak czy inaczej DZIĘKI - no nie mogę się powstrzymać - JESTEŚ WIELKA !!!!    - chociaż słyszałaś to już pewnie z 1000 razy, ale jeśli ktoś zasługuje to nigdy dość

 

pzdro

 

m

DelFix.txt

[picasso]

DelFix skasował plik nie pochodzący od narzędzi: C:\Users\marek\Downloads\Info !!!.txt. Czy to było coś ważnego?

 

 

Czy ten Malwarebytes Anti-Exploit nie będzie się z niczym kłócił ani niczego blokował ?

Nie powinien, to inny typ ochrony niż klasyczny "antywirus", w wersji darmowej ograniczony tylko do określonych przeglądarek i ich dodatków. Aczkolwiek nigdy nic nie wiadomo z żadnym softem. Po prostu sprawdź jak to działa u Ciebie.

[markym]

odnośnie info !!!.txt nie mam pojęcia co to mogło być - przypuszczam że nie można już tego odzyskać albo za wiele by było z tym zachodu

 

co do Malwarebytes w wolnej chwili podziałam

[picasso]

Ostatecznie możesz spróbować czy plik odzyska Recuva Portable. Program pobierz na i uruchom z innego dysku niż C (czyli ten z którego odzyskiwanie ma nastąpić), np. pendrive.

[markym]

niestety Recuva stwierdził że plik nie do odzyskania

 

jakieś inne sugestie czy też dać sobie spokój?

[picasso]

Skoro nie możesz sobie nawet przypomnieć co to był za plik, to wnioskuję, że nie taki ważny? Szkoda inwestować czas w rzecz, która może być nieistotna. Porażka jednego programu do odzyskiwania danych oznaczałaby próbowanie kolejnych.

[markym]

racja - odpuszczamy