program przestał działać

[macqo0024]

Cyklicznie przy rozpakowywaniu archiwów (winrar) lub korzystaniu z programu IDM (internet download manager) muszę restartować ww. programy z powodu zaprzestania ich reagowania. Sporadycznie (raz na 50 akacji) dzieje się to również z explorerem.exe.

 

Problem występuje od dłuższego czasu (około 2 miesiące ), lecz dopiero teraz stał się uciążliwy (prawie kaźda akcja IDM i Winrar).

 

Windows 7 64bit Pro.

Eset nie wskazuje na żadną infekcję wirusową; sprawdzałem również narzędziem Microsoftu spójność instalacji (nie pamiętam dokładnie nazwy). Wszędzie brak wyników.

Uprzejmie proszę o pomoc.

 

 

FRST.txt

kaspersky TDSSKiller.txt

Shortcut.txt

Addition.txt

[picasso]

Jeśli chodzi o problem główny, z raportów nic konkretnego nie wynika. Ale jeśli chodzi o infekcję, to zaprezentowałeś przecież skan z Kasperskiego, a w nim obiekt który nadal jest aktywnie uruchomiony w systemie (wpis startowy i masa procesów Java):

 

HKLM\...\Run: [system_jconsole.jar] => C:\Program Files\Java\jre1.8.0_131\bin\javaw.exe -jar "C:\ProgramData\Comms\jconsole.jar"

 

 

1. Odinstaluj Driver Booster. To program typu "PUP", wątpliwej reputacji, jest nawet wykrywany przez MBAM. Sterowniki aktualizuje się precyzyjnie ręcznie a nie "na oko" automatami.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [system_jconsole.jar] => C:\Program Files\Java\jre1.8.0_131\bin\javaw.exe -jar "C:\ProgramData\Comms\jconsole.jar"
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {0ED2792E-65E5-474A-9137-6682BBBD192B} - System32\Tasks\{20E29486-81D5-41A1-BF5B-9F30E732ADFA} => D:\RavenShield\system\ravenshield.exe
Task: {108ED360-B2F8-40B4-8EAF-63A31AD510EB} - System32\Tasks\{3158FCAB-1254-4AA0-B86E-9B2199809009} => C:\Windows\system32\pcalua.exe -a E:\Pulpit\PULPIT\programy\GSAutoClicker-Setup.exe -d E:\Pulpit\PULPIT\programy
Task: {184886F2-B8B3-4F87-9383-5A364BE6A4E8} - System32\Tasks\{939D57EA-BDE4-43D0-883A-06A77FA8AA3F} => C:\Windows\system32\pcalua.exe -a K:\R3Setup.exe -d K:\
Task: {3E5EA80A-35B3-4E66-B707-7C8FDB9B50B2} - System32\Tasks\{5024C6F3-3316-42AD-8EFE-7602907E4DAC} => C:\Windows\system32\pcalua.exe -a D:\RavenShield\system\Setup.exe -d D:\RavenShield\system
Task: {47BCC617-A6A8-40B9-B5CE-AE356954B34A} - System32\Tasks\{4F6719C5-AF32-4106-8F4E-CB76F537B918} => D:\Games\Mass Effect 3\Binaries\Win32\MassEffect3.exe
Task: {711FC4A2-7FDD-4B0E-819C-B4E5D17E9A8C} - System32\Tasks\{12B20674-4654-4A89-AF1E-8297BC9D3108} => D:\Grand Theft Auto\gtawin\gtawin.exe
Task: {807C1806-8F82-4D15-8D40-D876710A5D43} - System32\Tasks\{26A4B03C-3C35-42DC-90D9-051ABC6EFF1F} => D:\Grand Theft Auto\gtawin\gtawin.exe
Task: {8ABE5765-862D-44B9-A585-A8D203A0783E} - \Auslogics\Driver Updater\Start Driver Updater оn Maciej logon -> Brak pliku <==== UWAGA
Task: {C120646B-16B0-406C-8633-21806B80DC24} - System32\Tasks\{3726490B-F8D0-4068-BF9A-4642640E2561} => D:\RavenShield\system\ravenshield.exe
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKCU\Software\Mozilla\SeaMonkey
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Folder: C:\ProgramData\Comms
C:\ProgramData\Comms\jconsole.jar
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Partition Master 12.0
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSave Manager v3
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kamimachi site E
C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\System Profile
C:\Users\Maciej\Desktop\Sexy Beach 3 - Complete English Edition.lnk
C:\Users\Maciej\Desktop\SubtitleCreator.lnk
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome sugeruję pozbyć się rozszerzenia Stylish (z userstyles.org). To rozszerzenie zostało przejęte przez producenta adware (SimilarSites), ma wstawione programy śledzące/analityczne i nie jest godne zaufania. Więcej informacji: KLIK.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. I wypowiedz się w/w usuwanie przyniosło jakieś wymierne skutki.

[macqo0024]

po wykonaniu skryptu, usunięciu driver boostera i resecie chrome, usunięciu stylish testowo wypakowałem kilka archiwów (na razie bez zacinki)

 

Fixlog.txt

HitmanPro_20170914_1738.txt

[picasso]

Ale przecież wykonałeś poprzednie stare instrukcje Miszela, która ja usunęłam jako nieaktualne (nie adresowały wielu wpisów). Wpis apletu Java w ogóle nie ruszony. Do wykonania mój skrypt, a po tym nowe skany FRST. Oczywiście te dane już w nowym poście.

[macqo0024]

nie ten upload :]

 

FRST.txt

Fixlog.txt

Addition.txt

[picasso]

Wszystko poprawnie wykonane, malware Java usunięte. Drobne poprawki:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

Task: {F077E2D2-C294-4E9A-BAFB-E8EDAF43440D} - System32\Tasks\Driver Booster SkipUAC (Maciej) => C:\Program Files (x86)\IObit\Driver Booster\4.4.0\DriverBooster.exe
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\KVRT_Data
RemoveDirectory: C:\ProgramData\Comms
RemoveDirectory: C:\ProgramData\ProductData
StartBatch:
del /q C:\TDSSKiller.3.1.0.15_14.09.2017_16.46.49_log.txt
netsh advfirewall reset
EndBatch:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

 

2. I coś jest nie tak z instalacją GameSave Manager v3. Były w raporcie notowane puste skróty (już usunęłam), ale jeszcze poniższy plik jest uszkodzony. Odinstaluj / przeinstaluj ten program.

 

Niektóre zerobajtowe pliki/foldery:
==========================

C:\Windows\System32\gs_mngr_3.exe

 

[macqo0024]

save manager usunięty

 

Fixlog.txt

[picasso]

Kończymy:

1. Przez SHIFT+DEL (omija Kosz) skasuj cały folder C:\FRST oraz FRST i jego logi z E:\Pobrane\Programs.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Zaktualizuj poniższe programy (linki ww/w temacie). Zaś uTorrent polecam zamień nie-reklamodawczym qBittorrent.
 

==================== Zainstalowane programy ======================

µTorrent (HKU\S-1-5-21-1532438688-69712199-1985089998-1000\...\uTorrent) (Version: 3.5.0.43916 - BitTorrent Inc.)
Adobe Flash Player 26 PPAPI (HKLM-x32\...\Adobe Flash Player PPAPI) (Version: 26.0.0.151 - Adobe Systems Incorporated)
Java 8 Update 131 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180131F0}) (Version: 8.0.1310.11 - Oracle Corporation)

 

[macqo0024]

all green (done)

polecisz jeszcze jakiś program do czyszczenia (rejestr, temp itp) ?

@down

dobrze wiedzieć

@topic sprawę chyba można uznać za zamkniętą

po testuję jeszcze pare dni aby się upewnić.

[picasso]

Programy do czyszczenia rejestru (oraz "jednoklikowe" konserwacje) nie są tu polecane. Użycie czyścicieli nie podnosi wydajności, zaś algorytm wykrywania wadliwych wpisów podatny na fałszywe alarmy i można sobie zaszkodzić. Na forum były przykłady, gdy trzeba było odkręcać cały system po zbyt przedsiębiorczym czyścicielu. Obecnie to nawet część z nich jest wykrywana jako "potencjalnie niepożądana aplikacja" w programie MBAM.

[macqo0024]

Ok. Testowałem sytuację przez tydzień. Stan niezmienny. programy dalej się zawieszają. Remaping pomoże ?