Objawy zainfekowania:
Ogólne spowolnienie systemu, wiesza się program explorer.exe, spowalnia internet,
Wykonywane działania:
Na stałe zainstalowane Avira i Malwarbytes Anti-Malware (działają w trybie real time protection), ostatnio (3 dni temu) skanowanie i usuwanie infekcji programem AdwCleaner (po problemie ze stroną startową sweet.com), regulanie czyszczony rejestr programem regcleaner
Logi:
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL Extras:
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
(APN) C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe
(APN LLC.) C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe
() C:\Program Files\SPB Backup\SPBBackupSync.exe
HKLM\...\Run: [ServoApp] - [x]
HKLM\...\Run: [MFP Manager] - [x]
HKLM\...\Run: [ApnTBMon] - C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1778640 2013-12-20] (APN)
HKLM\...\Run: [UserFaultCheck] - %systemroot%\system32\dumprep 0 -u
HKCU\...\Run: [ABBYY Screenshot Reader Bonus] - [x]
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\SPB Backup Sync.lnk
ShortcutTarget: SPB Backup Sync.lnk -> C:\Program Files\SPB Backup\SPBBackupSync.exe ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Avira SearchFree Toolbar - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
Toolbar: HKLM - Avira SearchFree Toolbar - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
Toolbar: HKCU - Avira SearchFree Toolbar - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
R2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-12-20] (APN LLC.)
S2 FlingService; "C:\Program Files\NCH Software\Fling\fling.exe" -service [x]
R1 AFD; \SystemRoot\System32\drivers\afd.sys [x]
R0 sptd; \SystemRoot\System32\Drivers\sptd.sys [x]
R1 VgaSave; \SystemRoot\System32\drivers\vga.sys [x]
S4 WS2IFSL; \SystemRoot\System32\drivers\ws2ifsl.sys [x]
C:\Documents and Settings\bartek\Ustawienia lokalne\Dane aplikacji\Thinstall
C:\Documents and Settings\bartek\Dane aplikacji\Thinstall
C:\Documents and Settings\bartek\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\bartek\daemonprocess.txt
C:\Documents and Settings\bartek\Ustawienia lokalne\Dane aplikacji\genienext
C:\doa5
C:\doa
C:\Documents and Settings\bartek\Dane aplikacji\skype.ini
C:\Documents and Settings\bartek\Ustawienia lokalne\Temp\avgnt.exe
C:\Documents and Settings\bartek\Ustawienia lokalne\Temp\ICReinstall_OTL_3.2.70.2 (25180).exe
C:\Documents and Settings\bartek\Ustawienia lokalne\Temp\KMP_3.2.0.0.exe
C:\Documents and Settings\bartek\Ustawienia lokalne\Temp\Quarantine.exe
C:\Documents and Settings\bartek\Ustawienia lokalne\Temp\tmp2F8.exe
C:\Documents and Settings\bartek\Ustawienia lokalne\Temp\VobSub_2.23.exe
C:\Documents and Settings\bartek\Ustawienia lokalne\Temp\_is1.exe
C:\Documents and Settings\bartek\Ustawienia lokalne\Temp\_is160.exe
C:\Documents and Settings\bartek\Ustawienia lokalne\Temp\_is9C.exe
AlternateDataStreams: C:\WINDOWS:5BF35743E0C738B2
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1940DBE8
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSIServer => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh advfirewall reset
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
Avira SearchFree Toolbar
Java™ 6 Update 26
McAfee Security Scan Plus
PIT Format 2011
PIT Format 2012
PIT-OPP 2012
Użyj AdwCleanera jeszcze raz i pokaż raport.
Cytat: Odinstaluj:
Avira SearchFree Toolbar
Nie chcę tego odinstalowywać bo obecność tego paska jest warunkiem ochrony antywirusowej webprotect programu awira. Proszę, jeśli to możliwe podać jeszcze raz zawartość pliku fixlist.txt tak by nie powodowała odinstalowania tego awira search.
Dziękuję
damton napisał(a):Cytat: Odinstaluj:
Avira SearchFree Toolbar
Nie chcę tego odinstalowywać bo obecność tego paska jest warunkiem ochrony antywirusowej webprotect programu awira. Proszę, jeśli to możliwe podać jeszcze raz zawartość pliku fixlist.txt tak by nie powodowała odinstalowania tego awira search.
Dziękuję
" Wilk syty i owca cała "
[Aby zobaczyć linki, zarejestruj się tutaj]
piszę z telefonu bo po wykonaniu skryptu z frst i restarcie straciłem internet. po restarcie pojawia się komunikat "Nie zainstalowano warstwy transportowej TCP/IP
co robić
Hmm no to ciekawe.
Sprawdź na C:\Windows\System32\Drivers czy masz taki plik systemowy
afd.syschociaż wątpię że go nie będzie bo on się powinien odrodzić.
do notatnika wklej:
Kod:
reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh firewall reset
netsh winsock reset
netsh int ip reset c:\resetlog.txt
pause
zapisz jako fix.bat i uruchom jako administrator
następnie zrób restart
przywróciłem system z punktu przywracania systemu... co teraz robić? cała zabawa od początku?
Co się tyczy aviry jak widać ochrona działa
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 13 sty 2014, 0:37
No zrób logi FRST i OTL
po przywróceniu z punktu przywracania internet wrócił
Dodano: 12 sty 2014, 23:40
czy możemy ten temat zawiesić do piątku... dzisiaj muszę już znikać... cały tydzień pracy i brak czasu przede mną,... możemy do wątku powrócić w piątek?
Hmm zastanawia mnie czemu takie coś nastąpiło komenda na reset reguł i tak była błędna bo zapomniałem że to xp a tu misi być inna
Dodano: 13 sty 2014, 0:43
No ja też pracuje cały tydzień
Ale ok
no właśnie... pytanie czy po kolejnej zabawie z FRST nie powróci problem z internetem
Hmm no to się zobaczy,ewentualnie będzie się naprawiać szkody obiecać nie mogę bo trudno przewidzieć konsekwencje jakie będą.
do przeczytania zatem... w piątek dodam tu post i będziemy kontynuować wątek
Dobry wieczór.
Podaję logi nowe:
otl:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodaję też log z ostatniego skanowania programem Mawarebytes Antimalware
[Aby zobaczyć linki, zarejestruj się tutaj]
...a z ostatnio zaobserwowanych problemów to jeszcze pliki Word uruchamiają i zamykają się niezwykle długo (około pół minuty).
Jest 2 razy extras z otl i brakuje loga z FRST
frst:
[Aby zobaczyć linki, zarejestruj się tutaj]
frst addition:
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 17 sty 2014, 21:34
w międzyczasie rozwiązałęm problem długiego startu worda... trzeba było wyłączyć dodatek pdf architect add on...
Jeśli nie używasz to możesz go odinstalować,ale przed tym sprawdź w menadżerze zadań (Alt-Ctrl-Delete) procesach czy powoduje jakieś znaczne obciążenie procesora.
W międzyczasie zrobiłem restart systemu i jest masakra podczas uruchamiania. Uruchamianie zatrzymuje się przez proces HelperService.exe który pożera 50% procesora i tak sobie trwa dopóki go (tego HelperService.exe) nie wyłączę menedżerem zadań. I wtedy dopiero uruchamia się system do końca (znaczy reszta programów z autostartu)
Co to jest ten HelperService.exe?