Witam serdecznie,
Objawy zainfekowania:
Zwiększona wydajność procesora, czego następstwem jest ciągła praca wiatraka chłodzącego w notebooku.
Zainfekowany prawdopodobnie podczas pobierania plików z torrentów, już podczas pobierania komputer wyraźnie zmienił tryb pracy. Obciążenie pracy procesora objawia się m.in w użytkowaniu (np. podczas uruchomionych gier, które zwalniają).
Wykonywane działania:
W zasadzie brak. Skanowanie za pomocą Aviry, nie znaleziono nic podejrzanego (tym bardziej w folderze, do którego pobierane były pliki).
Dodam, iż menedżerze zadań nie widać żadnych podejrzanych procesów.
Logi:
Logi z programu OTL
OTL.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Logi z programu FRST
FRST.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Proszę o pomoc
A poza tym Wesołych Świąt życzę
Zanim tachion sprawdzi Ci logi, powiedz mi kiedy laptop był czyszczony. Może to też wina kurzu w środku?
Całkiem niedawno, tydzień, dwa tygodnie temu, ponieważ denerwowała mnie głośna praca wiatraczka. Wyczyściłem i od tego momentu wszystko dalej w porządku.
Jeśli logi nic nie wykażą, to najwyżej dam nową pastę chłodzącą do procesora.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
(APN LLC.) C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe
HKLM\...\Run: [AdslTaskBar] - rundll32.exe stmctrl.dll,TaskBar
HKLM\...\Run: [VNT] - C:\Program Files\VNT\vntldr.exe [202192 2013-12-20] (APN LLC.)
HKLM\...\RunOnce: [PIP] - C:\DOCUME~1\AGNIES~1\USTAWI~1\Temp\Offercast_AVIRAV7_.exe -pid AVIRAV7 -rebootRetry [1326512 2013-12-25] (Ask.com)
MountPoints2: {7db6b256-332a-11e1-9ddd-00234ee2135f} - E:\_AUTORUN\AUTORUN.EXE
Startup: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Autostart\AutorunsDisabled ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\AutorunsDisabled ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about�blank
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.lenovo.com/
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\IEXPLORE.EXE http://pl.v9.com/?utm_source=b&utm_medium=imb
SearchScopes: HKLM - DefaultScope value is missing.
FF Plugin HKCU: @tools.google.com/Google Update;version=3 - C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
FF Plugin HKCU: @tools.google.com/Google Update;version=9 - C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
FF Extension: FTdownloader V4.0 - C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\5yxj362v.default\Extensions\[email protected]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\5yxj362v.default\extensions\[email protected]
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://pl.v9.com/?utm_source=b&utm_medium=imb
CHR Plugin: (Google Update) - C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
CHR Plugin: (Microsoft Office 2010) - C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL No File
CHR Plugin: (Microsoft Office 2010) - C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File
CHR HKLM\...\Chrome\Extension: [bebnnlollpcjnfpkafhoclljaojgnfok] - C:\Program Files\FTDownloader.com\FTDownloader10.crx
CHR HKLM\...\Chrome\Extension: [pcoohmdcpejoeggdnihdfhohjgdbllgm] - C:\Documents and Settings\All Users\Dane aplikacji\AskPartnerNetwork\Toolbar\AVIRA-V7C\CRX\ToolbarCR.crx
S3 RSUSBSTOR; System32\Drivers\RTS5121.sys [x]
S3 Rts516xIR; system32\DRIVERS\Rts516xIR.sys [x]
S3 SymIM; system32\DRIVERS\SymIM.sys [x]
S3 SymIMMP; system32\DRIVERS\SymIM.sys [x]
S3 USBCCID; system32\DRIVERS\Rts5161ccid.sys [x]
R2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-12-20] (APN LLC.)
C:\Program Files\VNT
C:\Program Files\AskPartnerNetwork
C:\Documents and Settings\All Users\Dane aplikacji\AskPartnerNetwork
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\VNT
C:\WINDOWS\Tasks\Go for FilesUpdate.job
C:\Documents and Settings\Agnieszka\set_env.bat
C:\Documents and Settings\Default User\set_env.bat
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\AskSLib.dll
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\avgnt.exe
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\Offercast_AVIRAV7_.exe
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\sfamcc00001.dll
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport z tego działania.
Przywróć hosts do poziomu domyslnego za pomocą tego programu:
[Aby zobaczyć linki, zarejestruj się tutaj]
Zaznacz zgadzam się po lewej stronie następnie kliknij dalej.
W google chrome,pasku adresów wklep:
chrome�//extensionsi usuń jesli widoczne
(Avira SearchFree Toolbar plus Web Protection)
Odinstaluj: Avira SearchFree Toolbar
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
kliknij
Szukaji następnie
Usuń
pokaż raport
1. Fixlog.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
2. hosts przywrócone
3. Nie miałem tego w rozszerzeniach, właściwie to mam tam tylko
Dokumenty Google 0.5i
Time Counter 1.3.2
4. Avira odinstalowana
5.ADwCleaner[S1] .txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Jeśli nic nie ma, to najprawdopodobniej coś z chłodzeniem procesora, ponieważ bez przerwy ten przekracza temperaturę, po której włącza sie wiatrak.
Dziekuję za sprawdzenie logów!
Dziwne ale tu się nic nie wykonało prawie czy było to zrobione na tym samym koncie co log FRST ?
Zrób skan ponowny FRST i przedstaw log
To jeszcze raz.
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Hmm wygląda to teraz tak jakby skrypt był wykonany raz i powtórzony jeszcze raz,za chwilę powtórka.
Dodano: 26 gru 2013, 21:48
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
MountPoints2: {7db6b256-332a-11e1-9ddd-00234ee2135f} - E:\_AUTORUN\AUTORUN.EXE
Startup: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Autostart\AutorunsDisabled ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\AutorunsDisabled ()
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport.dll" No File
Toolbar: HKLM - Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport.dll" No File
CHR Plugin: (Google Update) - C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
CHR Plugin: (Microsoft Office 2010) - C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL No File
CHR Plugin: (Microsoft Office 2010) - C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File
C:\Documents and Settings\All Users\Dane aplikacji\Avira
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\Quarantine.exe
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\sfamcc00001.dll
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\sfareca00001.dll
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport z tego działania.
Dodano: 26 gru 2013, 22:09
Następne działania:
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
kliknij skanuj i przedstaw raport z niego.
Ściągnij program Malwarebytes Anti-Malware
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom poczekaj aż się zaktualizuje i kliknij Skanuj
Poza tym po uruchomieniu komputera ponownie poczekaj z 2 minuty wejdź w Menadżerze zadań
alt-ctrl-deletei napisz czy jakiś proces nie obciąża za mocno procesora.
Podaj temp.w idle jak i pod stresem ściągając chociażby program OCCT
[Aby zobaczyć linki, zarejestruj się tutaj]
Klik w zakładkę CPU OCCT i następnie on,zanotuj temperature.
fixlog.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
TDSSKiller jednak coś znalazł:
[Aby zobaczyć linki, zarejestruj się tutaj]
Znowu wykonanie skryptu zostało wykonane po raz któryś Ran by Agnieszka at 2013-12-26 21:12:27 Run:5
Nie rozumiem czemu ?
Rozumiem że dobrze umieszczasz plik fixlist. txtktóry powinien się znajdowaćobok programu ściągniętego FRST końcówka oznaczona na czarno czyli .txtto rozszerzenie
Jeśli w opcjach folderów zakładka widok nie będziesz miała odznaczone ukryj rozszerzenia znanych typów plików to nie będzie to rozszerzenie widoczne.
Tak robię. Tworzę plik fixlist.txt i do niego wklejam zawartość podaną przez Ciebie. Znów otrzymuję:
[Aby zobaczyć linki, zarejestruj się tutaj]
To już szóste uruchomienie.
Malwarebytes to mój trzeci skan, za pierwszym znalazło parę śmieci. Za trzecim skanem nic nie wykryło:
[Aby zobaczyć linki, zarejestruj się tutaj]
Żadnych dziwnych procesów w menedżerze. Pracę procesora, a raczej jego temperatury monitoruję za pomocą programu SpeedFan.
Byle jaki ruch wykonany na komputerze powoduje wzmożoną pracę procesora i wzrost temperatury taki, że od razu włącza się chłodzenie. Przy siedzeniu tylko na chromie, wiatrak chodzi cały czas. Wcześniej tak nie było.
Może jednak coś schrzaniło się z chłodzeniem?
Co do CPU OCCT:
Jałowo, czyli komputer pozostawiony sam sobie po włączeniu systemu - temp. procesora oscyluje 48-49-50
Przy 50 stopniach włącza się chłodzenie, i schładza do 48.
Przy pracy - przeglądarka, gry temp. sięga 55-57 zaś wiatrak próbuje schłodzić procesor. Dlatego chodzi cały czas.
Przy obciążeniu w programie CPU OCCT temperatura procesora sięgnęła 68 stopni.
(w CPU OCCT temp. podawana jest o 5 stopni wyższa niż w programie SpeedFan)
No to kolejny skan bo nie potrzebnie ten sam skrypt wbity został po raz kolejny.
Co do temp.nie ma takiej biedy jescze i wydaje mi się że jest jeszcze w miarę normalnie jak na laptopa
To dlaczego wiatrak chodzi cały czas? Albo temp. pracy procesora jest nieprawidłowa, albo coś schrzaniło się pracą wiatraczka (nieprawidłowy odczyt temperatury).
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
addidion.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
powiedz jaki procesor i kolejna sprawa jaki wiatrak ?
wiatrak na radiatorze zawsze cały czas chodzi. To nie samochodowa chłodnica.
He chodzi ponieważ jest taka a nie inna temp.
Oczywiście nałóż pastę jeszcze raz,załóż radiator i zobaczysz czy będzie poprawa,polecam podstawki chłodzące pod lapki.
Log teraz wygląda ok
W
AdwCleanerkliknij Odinstaluj i usuń folder po nim z
C:\AdwCleaner
Tak samo z
C:\FRST
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
i kliknij Start.
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
na logach to ja się nie znam
ale tachion tam pomoze.
Co do temperatur to są w normie jak na laptopa czy notebook.
Używasz podkładki chłodzącej ?
Pastę pod procka wymieniałeś ? Od dawna chodzi na tej paście ?
Można kupić jakaś lepszą i nałożyć jej.
Cóż, więc jednak dam tej pasty. Pasta od nowości (chyba 3 lata) nie była wymieniana. Chyba najwyższy czas to zrobić. Więc jednak żadne wirusy, tylko sprzęt.
Dziękuję za pomoc i
!
Pozdrawiam, temat chyba do zamknięcia.
Dodano: 27 gru 2013, 13:15
A jednak nie. Teraz pojawiły się dwa problemy.
Komputer po zamknięciu resetuje się jak i nie działa stan wstrzymania, podczas zamknięcia klapy notebooka. Bawienie się w opcjach zasilania nie pomogło, przywrócenie wartości domyślnych w biosie również. Przeinstalowanie sterowników nic nie daje....