zacina się, duże zużycie CPU, chmurka - "Nie można nawiązać połączenia w usługą systemu Windows"

[frico]

Objawy zainfekowania:Przy uruchamianiu pojawia się komunikat - "Nie można nawiązać połączenia w usługą systemu Windows"
Po pewnym czasie od uruchomienia komputer "zacina" się - jakby się zawiesza, następuje b. duże zużycie procesora a myszka "kręci" kółeczko i niestety trzeba komputer uruchomić ponownie aby coś na nim zrobić.

Wykonywane działania: Przeskanowany Eset Smart Security, MalwareBytes Anty-Malware, Hitman pro - niby czysty
naprawialem - jak w linkach ponizej i nic:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Logi:
OTL
logfile -

[Aby zobaczyć linki, zarejestruj się tutaj]

extras -

[Aby zobaczyć linki, zarejestruj się tutaj]

i FRST -

[Aby zobaczyć linki, zarejestruj się tutaj]

addition -

[Aby zobaczyć linki, zarejestruj się tutaj]

Proszę o pomoc

[tachion]

Sam sobie mogłeś zaszkodzić ponieważ użyłeś combofixa.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

HKLM-x32\...\Winlogon: [Shell] explorer.exe [0 2011-02-25] ()
HKCU\...\Policies\Explorer: [NoInstrumentation] 1
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Biblia.lnk
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x2000DB209BF1CE01
SearchScopes: HKLM - DefaultScope value is missing.
FF HKCU\...\Firefox\Extensions: [[email protected]] - C:\Users\user\AppData\Roaming\IDM\idmmzcc5
FF Extension: IDM CC - C:\Users\user\AppData\Roaming\IDM\idmmzcc5
FF HKCU\...\SeaMonkey\Extensions: [[email protected]] - C:\Users\user\AppData\Roaming\IDM\idmmzcc5
FF Extension: IDM CC - C:\Users\user\AppData\Roaming\IDM\idmmzcc5
CHR HKLM-x32\...\Chrome\Extension: [jeaohhlajejodfjadcponpnjgkiikocn] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [x]
S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [x]
C:\Program Files (x86)\IObit
C:\Users\user\AppData\Roaming\IObit
C:\ProgramData\IObit
C:\Users\Default\AppData\Roaming\IObit
C:\Users\Default User\AppData\Roaming\IObit
C:\Users\user\Desktop\~WRL3132.tmp
C:\Users\user\AppData\Roaming\Alawar
C:\Program Files (x86)\CasualGameBox
C:\Windows\erdnt
C:\Program Files\trend micro
C:\ComboFix
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\NIRCMD.exe
C:\Windows\SWREG.exe
C:\Windows\SWSC.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
C:\Qoobox
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

[frico]

oto log

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Odinstaluj teraz Internet Download Manager

zrób ponowne skany OTL i FRST

[frico]

tyle czasu zajęło mi odinstalowywanie IDM - komp. się zawieszał, spowalniał itd
OTL
1.

[Aby zobaczyć linki, zarejestruj się tutaj]

2.

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

W uruchom wpisz cmd i uruchom jako administrator.

wklej tą zawartość i naciśnij enter

Kod:

sfc /scanfile=C:\Windows\SysWOW64\explorer.exe

[frico]

log CBS -

[Aby zobaczyć linki, zarejestruj się tutaj]

chyba czeka mnie reinstalacja win? - czy da się coś zrobić, aby to naprawić?

[tachion]

No ale to jest z wczoraj !
Co wyświetliło się w okienku z konsoli jak wkleiłeś komendę.

wklej poprawnie strony które dałeś

Ściągnij SystemLook

[Aby zobaczyć linki, zarejestruj się tutaj]

i w okienku wklej komende:

:filefind
explorer.exe

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij skanuj i przedstaw raport z niego.

Ściągnij Malwarebytes : Free Anti-Malware

[Aby zobaczyć linki, zarejestruj się tutaj]

zainstaluj,uruchom poczekaj aż zostanie zaktualizowany i następnie klik skanuj.

---

Dodano: 28 gru 2013, 19:11

I jeszcze skan tym programem

[Aby zobaczyć linki, zarejestruj się tutaj]

[frico]

log CBS -

[Aby zobaczyć linki, zarejestruj się tutaj]

SystemLook -

[Aby zobaczyć linki, zarejestruj się tutaj]

tdsskiller -

[Aby zobaczyć linki, zarejestruj się tutaj]

malwarebytes anty-malware -

[Aby zobaczyć linki, zarejestruj się tutaj]

mbar -

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

wejdź w tą lokalizacje C:\Windows\SysWOW64 i napisz mi jaką wielkość ma explorer.exe

z raportu wynika że jest zerowy

[frico]

tez to zauważyłem -
jest "0"
co dziwne plik jest bez modyfikacji - 2011-02-25

[tachion]

Ściągnij GrantPerms

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom jako administrator i wklej:

Kod:

C:\Windows\SysWOW64\explorer.exe

i kliknij Unlock,następnie z prawokliku usuń go z tej lokalizacji.

Ściągnij explorer.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

wypakuj na pulpit i skopiuj w tamtą lokalizację,sprawdź czy wkleiło jeśli jest to uruchom komputer ponownie.

w SystemLook wklej:

:filefind
explorer.exe

[frico]

log -

[Aby zobaczyć linki, zarejestruj się tutaj]

jest "0" - ale w innej lokalizacji

[tachion]

W tej C:\Windows\SysWOW64\explorer.exe--a---- 0 bytes [07:42 01/02/2012] [05:30 25/02/2011]D41D8CD98F00B204E9800998ECF8427E

i teraz wygląda że jest ok

Są jakieś widoczne zmiany w działaniu ?

[frico]

uruchomie ponownie i odpisze

---

Dodano: 28 gru 2013, 21:43

zamknął się szybko.
uruchomił się też ok! - nie było jakiegoś jednolitego niebieskiego czy też czarnego ekranu (poprzednio takie ekrany sie pojaiwały i były ok 5 sek)

przy uruchamianiu pozostała jeszcze chmurka - "Nie można nawiązać połączenia w usługą systemu Windows"
Może trzeba zrobić to:
Uruchomić komputer w trybie awaryjnym
start -> cmd i uruchom go jako administrator - i w trybie poleceń wpisać -> netsh winsock reset

Przy pisaniu tej informacji - nie zatrzymywał się/zawieszał kursor na jakiś czas.
O rezultacie - napisze jeszcze jutro gdy trochę posiedzę przy nim i coś porobię.
Dzięki.

[tachion]

Tak więc daj logi jeszcze raz z FRST i OTL

[frico]

frst -

[Aby zobaczyć linki, zarejestruj się tutaj]

otl
1.

[Aby zobaczyć linki, zarejestruj się tutaj]

2.

[Aby zobaczyć linki, zarejestruj się tutaj]

Wszystko chodzi szybciej - jakby normalnie

[tachion]

Ok nie notuje nawet problemów z explorerem w FRST

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\Users\user\Downloads\Compressed
C:\ProgramData\IDM
C:\Users\user\AppData\Local\Temp\Bit1248.tmp.exe
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

[frico]

frst -

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

Następnie usuń folder FRST z tej lokalizacji: C:\FRST

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.