Zwalniający internet / nieskuteczne usuwanie Avira

[rafal1234]

Witam, od jakiegos czasu mam problem ze zwolnionym internetem, mysle ze to moze byc pozostalosc po security shield.

Chyba podobny problem wczoraj byl opisywany, avira po wlaczeniu kompa cos pokazuje, niby usuwam, ale nic nie daje. Mam log z OTL,

przy skanowaniu gmer'em resetuje mi kompa, mam tylko kawalek, ktory skopiowalem zanim zresetowalo.

OTL.Txt

Extras.Txt

gmer.txt

[Landuss]

System jest zaprawiony infekcją ZeroAccess w najnowszej wersji co potwierdza log z Gmer:

 

Library		 c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1096]	 0x45670000															  

Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1480] 0x45670000

 

Wykonaj jeszcze jeden log na warunku dostosowanym - Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

 

Klik w Skanuj i przedstaw raport.

[rafal1234]

wiec tak wkleilem we wlasne opcje skanowania to co bylo podane, nacisnalem skanuj, a pozniej jak sie skonczylo to wykonaj skrypt, nie wiem czy tak to mialo byc. daje log po wykonaniu skryptu:

 

Error: Unable to interpret <HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s> in the current context!

Error: Unable to interpret <HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s> in the current context!

Error: Unable to interpret <HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s> in the current context!

Error: Unable to interpret </md5start> in the current context!

Error: Unable to interpret <services.exe> in the current context!

Error: Unable to interpret </md5stop> in the current context!

 

OTL by OldTimer - Version 3.2.44.0 log created on 06032012_230202

 

Wczesniej wrzucalem te logi na inne forum, nie dostawalem odpowiedzi wiec wrzucilem je tutaj, tam mi kazali robic OTL ze sprzatania, ale sie powstrzymalem i nic nie wciskalem, licze na rozwiazanie sprawy tutaj:)

[picasso]

rafal1234, nie wykonałeś polecenia prawidłowo. To nie jest skrypt usuwający to dopiero skanowanie rozpoznawcze. Po wklejeniu tego do okna masz użyć opcję Skanuj a nie Wykonaj skrypt.

[rafal1234]

juz poprawione, powinno byc dobrze

OTL.Txt

[picasso]

Prócz jawnej infekcji ZeroAccess będą także usuwane odpadki usługowe.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f
reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{56762DEC-6B0D-4AB4-A8AD-989993B5D08B}" /f
reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" /f
sc delete wmplayer
sc delete hogbhac
sc delete ATE_PROCMON
sc delete AvFlt
sc delete BTWUSB
sc delete BTWDNDIS
sc delete BTKRNL
sc delete BTDriver
sc delete btaudio
sc delete ENTECH
sc delete EagleNT
sc delete d347prt
sc delete d347bus

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\Windows\Installer\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}
"C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}"
"C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\529C5366000173E2000022860CDF108C"
 
Execute: 
C:\fix.bat

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Wklej wprost do posta zawartość raportu BlitzBlank. Wygeneruj nowe logi z GMER oraz OTL. W OTL zaznacz wszystkie opcje na Użyj filtrowania, w polu Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Klik w Skanuj (a nie Wykonaj skrypt).

 

 

 

.

[rafal1234]

Log z gmer'a jak bedzie konieczny to wrzuce popoludniu, bo on sie dlugo robil mi zawsze, ogolnie juz jest poprawa, internet dziala jak nalezy. Jeszcze dla kosmetyki dorzuce wszystko i chcialbym jakies rady dostac odnosnie antywirusa i usprawnienia komputera zeby sie nie zamulal i zawieszal bez powodu:)

 

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\U\800000cb.@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\rafal\ustawienia lokalne\dane aplikacji\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\rafal\ustawienia lokalne\dane aplikacji\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\rafal\ustawienia lokalne\dane aplikacji\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\rafal\ustawienia lokalne\dane aplikacji\{1aadbf42-d6cb-2797-c720-e1cc8db803dd}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\all users.windows\dane aplikacji\529c5366000173e2000022860cdf108c", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\all users.windows\dane aplikacji\529c5366000173e2000022860cdf108c\529C5366000173E2000022860CDF108C", destinationFile = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

OTL.Txt

[picasso]

GMER możemy sobie chyba darować. BlitzBlank wykonał co należy, skan dostosowany nie zwraca już żadnych wyników uprzednio obecnych, a Ty sam potwierdzasz polepszenie statusu Windows. Do wykonania kolejne czynności:

 

1. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełny skan za pomocą Malwarebytes Anti-Malware (zainstalowany). Przedstaw wyniki.

 

 

.

 

 

[rafal1234]

zrobilem co trzeba, wrzucam raport ze skanowania. Podczas tego skanowania(mozliwe ze nie ma to zwiazku), ale avira cos znajdywala. nie wiem czy wszystko jest w porzadku. Fajne jest to że komputer teraz uruchamia sie bardzo szybko, ale za to podlaczenie internetu trwa dlugo, kiedys szybciej, da rade cos na to poradzic?

mbam-log-2012-06-04 (15-12-31).txt

[picasso]

Skaner dopatrzył się trojana w starej (bo tego tu na forum nie usuwaliśmy) kwarantannie OTL C:\_OTL, czyli obiekt nieczynny. I możliwe, że:

 

 

Podczas tego skanowania(mozliwe ze nie ma to zwiazku), ale avira cos znajdywala. nie wiem czy wszystko jest w porzadku.

 

... podczas uzyskiwania przez MBAM dostępu do plików Avira się interesowała właśnie kwarantanną OTL. Kwarantannę OTL należy usunąć, używając opcję Sprzątanie w programie.

 

 

za to podlaczenie internetu trwa dlugo, kiedys szybciej, da rade cos na to poradzic?

 

W Dzienniku zdarzeń widnieje taki oto pasujący do objawów błąd zależności:

 

Error - 2012-05-31 13:40:46 | Computer Name = LECH | Source = Service Control Manager | ID = 7001
Description = Usługa Pomoc TCP/IP NetBIOS zależy od usługi NetBios przez TCP/IP,
 której nie można uruchomić z powodu następującego błędu:   %%1058

 

Start > Uruchom > devmgmt.msc, w menu Widok zaznacz opcję "Pokaż ukryte urządzenia". Pojawi się gałąź "Sterowniki niezgodne z Plug and Play". W niej wyszukaj NetBios przez TCP/IP i z dwukliku przejdź do Właściwości, w karcie Sterownik w sekcji Uruchamianie ustaw Typ na Systemowy. Zresetuj system i podaj rezultaty czy nadal notujesz problemy. Przy negatywnych wynikach dostarcz log z Farbar Service Scanner (wszystkie opcje zaznaczone).

 

 

 

.

[rafal1234]

Więc tak, przestawiłem typ na systemowy i po włączeniu nic się nie zmieniło, od momentu pojawienia się ikon na pulpicie do podłączenia internetu minęło 7 minut, po 9 minutach natomiast przestał "mielić" i zaczął normalnie chodzić. W menedżerze zadań użycie procesora dochodziło do 25% gdy podczas gdy nic nie robiłem na kompie. Wrzucam log z FSS

FSS.txt

[picasso]

Wg Farbar Service Scanner z rejestru zostały skasowane (zapewne przez infekcję) ważne wartości usługi Zapory systemu Windows oraz w całości klucz Centrum zabezpieczeń. Nieobecność prawidłowych wartości Zapory to przypuszczalny powód dla długiego podłączania sieci.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000000ee
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Zresetuj system i podaj wyniki czy ustąpiły niepożądane objawy.

 

 

 

.

[rafal1234]

niestety nic nie dało, teraz wlaczal sie 7 minut

[picasso]

Wygeneruj dla potwierdzenia prawidłowego wykonania akcji nowy log z Farbar Service Scanner. Przetestuj czy problem z długim podłączaniem sieci występuje w stadium czystego rozruchu: KB310353.

[rafal1234]

wiec tak, uruchomilem ten czysty rozruch, bylo dobrze, ale polaczenia do siecie nie mozna wtedy uzyskac(prztnajmniej ja to tak zrobilem ze nie mialem)

Daje jeszcze raz FSS, poprzedni FIX zapisalem na pulpicie, jest to obojetne, czy powinien byc bezposrednio na C?

FSS.txt