Liczba postów: 9
Liczba wątków: 1
Dołączył: 25.12.2013
Reputacja:
0
Witam serdecznie,
Objawy zainfekowania:
Zwiększona wydajność procesora, czego następstwem jest ciągła praca wiatraka chłodzącego w notebooku.
Zainfekowany prawdopodobnie podczas pobierania plików z torrentów, już podczas pobierania komputer wyraźnie zmienił tryb pracy. Obciążenie pracy procesora objawia się m.in w użytkowaniu (np. podczas uruchomionych gier, które zwalniają).
Wykonywane działania:
W zasadzie brak. Skanowanie za pomocą Aviry, nie znaleziono nic podejrzanego (tym bardziej w folderze, do którego pobierane były pliki).
Dodam, iż menedżerze zadań nie widać żadnych podejrzanych procesów.
Logi:
Logi z programu OTL
OTL.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Logi z programu FRST
FRST.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Proszę o pomoc 
A poza tym Wesołych Świąt życzę
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Zanim tachion sprawdzi Ci logi, powiedz mi kiedy laptop był czyszczony. Może to też wina kurzu w środku?
Liczba postów: 9
Liczba wątków: 1
Dołączył: 25.12.2013
Reputacja:
0
Całkiem niedawno, tydzień, dwa tygodnie temu, ponieważ denerwowała mnie głośna praca wiatraczka. Wyczyściłem i od tego momentu wszystko dalej w porządku.
Jeśli logi nic nie wykażą, to najwyżej dam nową pastę chłodzącą do procesora.
Liczba postów: 125
Liczba wątków: 5
Dołączył: 23.01.2010
Reputacja:
1
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: (APN LLC.) C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe
HKLM\...\Run: [AdslTaskBar] - rundll32.exe stmctrl.dll,TaskBar
HKLM\...\Run: [VNT] - C:\Program Files\VNT\vntldr.exe [202192 2013-12-20] (APN LLC.)
HKLM\...\RunOnce: [PIP] - C:\DOCUME~1\AGNIES~1\USTAWI~1\Temp\Offercast_AVIRAV7_.exe -pid AVIRAV7 -rebootRetry [1326512 2013-12-25] (Ask.com)
MountPoints2: {7db6b256-332a-11e1-9ddd-00234ee2135f} - E:\_AUTORUN\AUTORUN.EXE
Startup: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Autostart\AutorunsDisabled ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\AutorunsDisabled ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about�blank
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.lenovo.com/
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\IEXPLORE.EXE http://pl.v9.com/?utm_source=b&utm_medium=imb
SearchScopes: HKLM - DefaultScope value is missing.
FF Plugin HKCU: @tools.google.com/Google Update;version=3 - C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
FF Plugin HKCU: @tools.google.com/Google Update;version=9 - C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
FF Extension: FTdownloader V4.0 - C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\5yxj362v.default\Extensions\[email protected]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\5yxj362v.default\extensions\[email protected]
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://pl.v9.com/?utm_source=b&utm_medium=imb
CHR Plugin: (Google Update) - C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
CHR Plugin: (Microsoft Office 2010) - C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL No File
CHR Plugin: (Microsoft Office 2010) - C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File
CHR HKLM\...\Chrome\Extension: [bebnnlollpcjnfpkafhoclljaojgnfok] - C:\Program Files\FTDownloader.com\FTDownloader10.crx
CHR HKLM\...\Chrome\Extension: [pcoohmdcpejoeggdnihdfhohjgdbllgm] - C:\Documents and Settings\All Users\Dane aplikacji\AskPartnerNetwork\Toolbar\AVIRA-V7C\CRX\ToolbarCR.crx
S3 RSUSBSTOR; System32\Drivers\RTS5121.sys [x]
S3 Rts516xIR; system32\DRIVERS\Rts516xIR.sys [x]
S3 SymIM; system32\DRIVERS\SymIM.sys [x]
S3 SymIMMP; system32\DRIVERS\SymIM.sys [x]
S3 USBCCID; system32\DRIVERS\Rts5161ccid.sys [x]
R2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-12-20] (APN LLC.)
C:\Program Files\VNT
C:\Program Files\AskPartnerNetwork
C:\Documents and Settings\All Users\Dane aplikacji\AskPartnerNetwork
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\VNT
C:\WINDOWS\Tasks\Go for FilesUpdate.job
C:\Documents and Settings\Agnieszka\set_env.bat
C:\Documents and Settings\Default User\set_env.bat
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\AskSLib.dll
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\avgnt.exe
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\Offercast_AVIRAV7_.exe
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\sfamcc00001.dll
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
Przywróć hosts do poziomu domyslnego za pomocą tego programu:
[Aby zobaczyć linki, zarejestruj się tutaj]
Zaznacz zgadzam się po lewej stronie następnie kliknij dalej.
W google chrome,pasku adresów wklep: chrome�//extensionsi usuń jesli widoczne (Avira SearchFree Toolbar plus Web Protection)
Odinstaluj: Avira SearchFree Toolbar
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] kliknij Szukaji następnie Usuń
pokaż raport
Liczba postów: 9
Liczba wątków: 1
Dołączył: 25.12.2013
Reputacja:
0
1. Fixlog.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
2. hosts przywrócone
3. Nie miałem tego w rozszerzeniach, właściwie to mam tam tylko Dokumenty Google 0.5i Time Counter 1.3.2
4. Avira odinstalowana
5.ADwCleaner[S1] .txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Jeśli nic nie ma, to najprawdopodobniej coś z chłodzeniem procesora, ponieważ bez przerwy ten przekracza temperaturę, po której włącza sie wiatrak.
Dziekuję za sprawdzenie logów!
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Dziwne ale tu się nic nie wykonało prawie czy było to zrobione na tym samym koncie co log FRST ?
Zrób skan ponowny FRST i przedstaw log
Liczba postów: 9
Liczba wątków: 1
Dołączył: 25.12.2013
Reputacja:
0
To jeszcze raz.
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Hmm wygląda to teraz tak jakby skrypt był wykonany raz i powtórzony jeszcze raz,za chwilę powtórka.
Dodano: 26 gru 2013, 21:48
Do notatnika wklej i zapisz jako fixlist.txt
Kod: MountPoints2: {7db6b256-332a-11e1-9ddd-00234ee2135f} - E:\_AUTORUN\AUTORUN.EXE
Startup: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Autostart\AutorunsDisabled ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\AutorunsDisabled ()
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport.dll" No File
Toolbar: HKLM - Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport.dll" No File
CHR Plugin: (Google Update) - C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
CHR Plugin: (Microsoft Office 2010) - C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL No File
CHR Plugin: (Microsoft Office 2010) - C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File
C:\Documents and Settings\All Users\Dane aplikacji\Avira
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\Quarantine.exe
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\sfamcc00001.dll
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\temp\sfareca00001.dll
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
Dodano: 26 gru 2013, 22:09
Następne działania:
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] kliknij skanuj i przedstaw raport z niego.
Ściągnij program Malwarebytes Anti-Malware [Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom poczekaj aż się zaktualizuje i kliknij Skanuj
Poza tym po uruchomieniu komputera ponownie poczekaj z 2 minuty wejdź w Menadżerze zadań alt-ctrl-deletei napisz czy jakiś proces nie obciąża za mocno procesora.
Podaj temp.w idle jak i pod stresem ściągając chociażby program OCCT [Aby zobaczyć linki, zarejestruj się tutaj]
Klik w zakładkę CPU OCCT i następnie on,zanotuj temperature.
Liczba postów: 9
Liczba wątków: 1
Dołączył: 25.12.2013
Reputacja:
0
fixlog.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
TDSSKiller jednak coś znalazł:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Znowu wykonanie skryptu zostało wykonane po raz któryś Ran by Agnieszka at 2013-12-26 21:12:27 Run:5
Nie rozumiem czemu ?
Rozumiem że dobrze umieszczasz plik fixlist. txtktóry powinien się znajdowaćobok programu ściągniętego FRST końcówka oznaczona na czarno czyli .txtto rozszerzenie
Jeśli w opcjach folderów zakładka widok nie będziesz miała odznaczone ukryj rozszerzenia znanych typów plików to nie będzie to rozszerzenie widoczne.
Liczba postów: 9
Liczba wątków: 1
Dołączył: 25.12.2013
Reputacja:
0
Tak robię. Tworzę plik fixlist.txt i do niego wklejam zawartość podaną przez Ciebie. Znów otrzymuję:
[Aby zobaczyć linki, zarejestruj się tutaj]
To już szóste uruchomienie.
Malwarebytes to mój trzeci skan, za pierwszym znalazło parę śmieci. Za trzecim skanem nic nie wykryło:
[Aby zobaczyć linki, zarejestruj się tutaj]
Żadnych dziwnych procesów w menedżerze. Pracę procesora, a raczej jego temperatury monitoruję za pomocą programu SpeedFan.
Byle jaki ruch wykonany na komputerze powoduje wzmożoną pracę procesora i wzrost temperatury taki, że od razu włącza się chłodzenie. Przy siedzeniu tylko na chromie, wiatrak chodzi cały czas. Wcześniej tak nie było.
Może jednak coś schrzaniło się z chłodzeniem?
Co do CPU OCCT:
Jałowo, czyli komputer pozostawiony sam sobie po włączeniu systemu - temp. procesora oscyluje 48-49-50
Przy 50 stopniach włącza się chłodzenie, i schładza do 48.
Przy pracy - przeglądarka, gry temp. sięga 55-57 zaś wiatrak próbuje schłodzić procesor. Dlatego chodzi cały czas.
Przy obciążeniu w programie CPU OCCT temperatura procesora sięgnęła 68 stopni.
(w CPU OCCT temp. podawana jest o 5 stopni wyższa niż w programie SpeedFan)
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
No to kolejny skan bo nie potrzebnie ten sam skrypt wbity został po raz kolejny.
Co do temp.nie ma takiej biedy jescze i wydaje mi się że jest jeszcze w miarę normalnie jak na laptopa
Liczba postów: 9
Liczba wątków: 1
Dołączył: 25.12.2013
Reputacja:
0
To dlaczego wiatrak chodzi cały czas? Albo temp. pracy procesora jest nieprawidłowa, albo coś schrzaniło się pracą wiatraczka (nieprawidłowy odczyt temperatury).
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
addidion.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 925
Liczba wątków: 11
Dołączył: 12.08.2013
Reputacja:
118
@pelikanek
powiedz jaki procesor i kolejna sprawa jaki wiatrak ?
wiatrak na radiatorze zawsze cały czas chodzi. To nie samochodowa chłodnica.
Liczba postów: 9
Liczba wątków: 1
Dołączył: 25.12.2013
Reputacja:
0
@ dolar444
[Aby zobaczyć linki, zarejestruj się tutaj]
Ogólnie sprawa jest taka, że wcześniej wiatrak chodził tylko jak coś mocniej przypracował, teraz chodzi praktycznie na okrągło.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
He chodzi ponieważ jest taka a nie inna temp.
Oczywiście nałóż pastę jeszcze raz,załóż radiator i zobaczysz czy będzie poprawa,polecam podstawki chłodzące pod lapki.
Log teraz wygląda ok
W AdwCleanerkliknij Odinstaluj i usuń folder po nim z C:\AdwCleaner
Tak samo z C:\FRST
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] i kliknij Start.
Wklej na stronę raport z SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Liczba postów: 925
Liczba wątków: 11
Dołączył: 12.08.2013
Reputacja:
118
na logach to ja się nie znam ale tachion tam pomoze.
Co do temperatur to są w normie jak na laptopa czy notebook.
Używasz podkładki chłodzącej ?
Pastę pod procka wymieniałeś ? Od dawna chodzi na tej paście ?
Można kupić jakaś lepszą i nałożyć jej.
Liczba postów: 9
Liczba wątków: 1
Dołączył: 25.12.2013
Reputacja:
0
Cóż, więc jednak dam tej pasty. Pasta od nowości (chyba 3 lata) nie była wymieniana. Chyba najwyższy czas to zrobić. Więc jednak żadne wirusy, tylko sprzęt.
Dziękuję za pomoc @ tachion i @ dolar444
!
Pozdrawiam, temat chyba do zamknięcia.
Dodano: 27 gru 2013, 13:15
A jednak nie. Teraz pojawiły się dwa problemy.
Komputer po zamknięciu resetuje się jak i nie działa stan wstrzymania, podczas zamknięcia klapy notebooka. Bawienie się w opcjach zasilania nie pomogło, przywrócenie wartości domyślnych w biosie również. Przeinstalowanie sterowników nic nie daje....
|
