Wolny start komputera i przeglądarki.

[Łukasz]

Objawy zainfekowania:
Zaczęło się od wolnego startu przeglądarki Firefox.Chwilową poprawę zauważyłem po użyciu Ashampoo Internet Accelerator 3(niestety był zainfekowany).Następnie zaczęly wyskakiwać na stronach okienka np.public8media(po wpisaniu w Google wyskakiwała lista fałszywych stron).Dodam,że stałem się niechcący posiadaczem strony startowej nationzoom i chyba od tego momentu szybkość przeglądarki malała.

Wykonywane działania:
Skanowałem komputer przy pomocy Emsisoft Emergency,Malwarebytes Anti- Malware,HitmanPro i CureitDrWeb(ten ostatni wykrył i rzekomo zneutralizował 34 zagrożenia- głównie Adware,jednak po tym komputer startuje 3x wolniej).
Niestety nie posiadam zaktualizowanego antywirusa(mam ESET NOD32 Antivirus 5.2.9.12).
Proszę o odpowiedż i dokładny opis czynności,które mam wykonać-jestem zielony w tej materii.Z góry dziękuję.
Logi:
OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Komputer chyba z piwnicy wyciągnięty

Jest tu cała gama problemów od dysfunkcji WMI,po zarażenie komputera zeroaccessem i adwarem,zacznijmy w takim wypadku od syfu.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

HKLM\...\InprocServer32: [Default-wbemess] \\.\globalroot\systemroot\Installer\{21710577-9f11-337d-4425-eab5495c4c78}\n. ATTENTION! ====> ZeroAccess?
HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKCU\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess?
HKCU\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKCU\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
MountPoints2: {9efa3356-85c2-11e3-8a22-8a5eb86552ff} - L:\AutoRun.exe
HKU\Administrator\...\RunOnce: [_nltide_3] - C:\WINDOWS\system32\advpack.dll [ 2009-03-07] (Microsoft Corporation)
HKU\Administrator.DARKEDITION\...\RunOnce: [_nltide_3] - C:\WINDOWS\system32\advpack.dll [ 2009-03-07] (Microsoft Corporation)
HKU\Default User\...\RunOnce: [_nltide_3] - C:\WINDOWS\system32\advpack.dll [ 2009-03-07] (Microsoft Corporation)
HKU\UpdatusUser\...\RunOnce: [_nltide_3] - C:\WINDOWS\system32\advpack.dll [ 2009-03-07] (Microsoft Corporation)
Lsa: [Authentication Packages] msv1_0 nwprovau
Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <http://www.nationzoom.com/?type=hp&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX>
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch>
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = <http://www.nationzoom.com/?type=hp&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX>
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = <http://www.nationzoom.com/?type=hp&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX>
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = <http://www.nationzoom.com/web/?type=ds&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX&q={searchTerms>}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = <http://www.nationzoom.com/web/?type=ds&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX&q={searchTerms>}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = <http://www.nationzoom.com/?type=hp&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX>
URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe <http://www.nationzoom.com/?type=sc&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX>
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = <http://www.nationzoom.com/web/?type=ds&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX&q={searchTerms>}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = <http://www.nationzoom.com/web/?type=ds&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX&q={searchTerms>}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = <http://www.nationzoom.com/web/?type=ds&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX&q={searchTerms>}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = <http://www.nationzoom.com/web/?type=ds&ts=1389123267&from=ild&uid=HitachiXHDP725050GLA360_GEB530RE2KPLXB2KPLXBX&q={searchTerms>}
SearchScopes: HKCU - {54248DC9-5B27-4083-95CB-4E9120005E64} URL = <http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=0B760B11-803B-4835-97FA-3C1865F8E088&apn_sauid=FBC61E2C-C28F-4391-A70C-B105A43AA8C0>
BHO: RewardsArcade - {11111111-1111-1111-1111-110011041198} - No File
BHO: BuzzSearch - {5cf5a690-c8f4-488e-9d20-f21aef602d41} - No File
BHO: TweakMASTER Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\Programy\TweakMASTER\TweakBHO.dll (Hagel Technologies Ltd.)
BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
BHO: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
Toolbar: HKLM - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
Toolbar: HKCU - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll No File
Toolbar: HKCU - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
S4 ACT2_Service; C:\Programy\Ashampoo Core Tuner 2\ACT2Service.exe [x]
S4 AHDDC2; C:\Programy\Ashampoo HDD Control 2\AHDDC2_Service.exe [x]
S3 DfSdkS; "C:\Programy\Ashampoo WinOptimizer 8\DfsdkS.exe" [x]
S4 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.0.207\McCHSvc.exe" [x]
S4 Update BuzzSearch; "C:\Program Files\BuzzSearch\updateBuzzSearch.exe" [x]
S2 ACT2PM; \??\C:\Programy\Ashampoo Core Tuner 2\ACT2ProcessMonitor32.sys [x]
S1 BHDrvx86; \??\C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.4.0.40\Definitions\BASHDefs\20130903.002\BHDrvx86.sys [x]
S1 ccSet_N360; \SystemRoot\system32\drivers\N360\1404000.028\ccSetx86.sys [x]
S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x32.sys [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x]
S3 GMSIPCI; \??\I:\INSTALL\GMSIPCI.SYS [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 IDSxpx86; \??\C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.4.0.40\Definitions\IPSDefs\20130921.001\IDSxpx86.sys [x]
S3 NAVENG; \??\C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.4.0.40\Definitions\VirusDefs\20130921.005\NAVENG.SYS [x]
S3 NAVEX15; \??\C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.4.0.40\Definitions\VirusDefs\20130921.005\NAVEX15.SYS [x]
S1 SRTSP; \SystemRoot\system32\drivers\N360\1404000.028\SRTSP.SYS [x]
S1 SRTSPX; \SystemRoot\system32\drivers\N360\1404000.028\SRTSPX.SYS [x]
S0 SymDS; system32\drivers\N360\1404000.028\SYMDS.SYS [x]
S0 SymEFA; system32\drivers\N360\1404000.028\SYMEFA.SYS [x]
S1 SymIRON; \SystemRoot\system32\drivers\N360\1404000.028\Ironx86.SYS [x]
S1 SYMTDI; \SystemRoot\system32\drivers\N360\1404000.028\SYMTDI.SYS [x]
C:\WINDOWS\system32\config\Doctor Web.evt
C:\Documents and Settings\Mike\Doctor Web
C:\Documents and Settings\All Users\Application Data\Doctor Web
C:\WINDOWS\system32\Drivers\etc\HOSTS.ORG
C:\Documents and Settings\Mike\Application Data\cache.ini
C:\m.txt
C:\Documents and Settings\Mike\Application Data\newnext.me
C:\Documents and Settings\Mike\Local Settings\Application Data\Mobogenie
C:\Documents and Settings\Mike\Local Settings\Application Data\cache
C:\Documents and Settings\Mike\.android
C:\Documents and Settings\Mike\daemonprocess.txt
C:\Documents and Settings\All Users\Application Data\WPM
C:\Documents and Settings\Mike\user32.dll
C:\Documents and Settings\Mike\Local Settings\Temp\Quarantine.exe
C:\Documents and Settings\Mike\Local Settings\Temp\setup.exe
C:\Documents and Settings\Mike\Local Settings\Temp\uninst1.exe
Task: C:\WINDOWS\Tasks\ProgramRefresh-ATFST.job => C:\Program Files\File Type Assistant\TSASetup.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\ProgramUpdateCheck.job => C:\Program Files\File Type Assistant\tsassist.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job => C:\Program Files\Ask.com\UpdateTask.exe
Task: C:\WINDOWS\Tasks\SmartDefragUpdate.job => C:\Programy\Smart Defrag 2\AutoUpdate.exe
Task: C:\WINDOWS\Tasks\Torntv V7.0-chromeinstaller-dev.job => C:\Program Files\Torntv V7.0\Torntv V7.0-chromeinstaller.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Torntv V7.0-codedownloader.job => C:\Program Files\Torntv V7.0\Torntv V7.0-codedownloader.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Torntv V7.0-enabler.job => C:\Program Files\Torntv V7.0\Torntv V7.0-enabler.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Torntv V7.0-firefoxinstaller.job => C:\Program Files\Torntv V7.0\Torntv V7.0-firefoxinstaller.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Torntv V7.0-updater.job => C:\Program Files\Torntv V7.0\Torntv V7.0-updater.exe <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Odinstaluj:

Ask Toolbar
Ask Toolbar Updater
BuzzSearch 2013.11.07.232809
DealPly
Driver Booster
File Type Assistant
McAfee Security Scan Plus
SweetPacks Toolbar for Internet Explorer 4.6
TweakMASTER
WPM17.8.0.3297

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Zrób ponownie logi FRST+Addition i OTL bez extras

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i wklej:

Kod:

:reg
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters /s

Pokaż raport.

[Łukasz]

Wklejam loga,a resztę bojąc się wykonać coś pochopnie zrobię w następnej kolejności.

[tachion]

Zastosuj się do całej reszty.

[Łukasz]

W OTL pojawił się taki komunikat:The filename,directory name,or volume label syntax is incorrect.

[tachion]

A nie idzie każdego osobnego działania dawać osobno,wkleić na wklej.org i dać link

Uruchom systemlook jako administrator i wklej ponownie:

Kod:

:reg
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters /s

i kliknij look,pokaż raport

---

Dodano: 31 sty 2014, 23:05

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

SearchScopes: HKLM - DefaultScope value is missing.
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npVividasPlayer.dll ( )
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\browser\plugins\npVividasPlayer.dll ( )
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\nationzoom.xml
S3 N360; "C:\Program Files\Norton 360\Engine\20.4.0.40\ccSvcHst.exe" /s "N360" /m "C:\Program Files\Norton 360\Engine\20.4.0.40\diMaster.dll" /prefetch:1
C:\Documents and Settings\All Users\Application Data\IObit
C:\WINDOWS\system32\config\Doctor Web.evt
C:\Documents and Settings\Mike\Local Settings\Temp\Quarantine.exe

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[Łukasz]

Oto co udało? mi się z bólem wyrzeżbić:
SystemLook

[Aby zobaczyć linki, zarejestruj się tutaj]

Fixlog

[Aby zobaczyć linki, zarejestruj się tutaj]

Checkup

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Chociaż FRST już nie zgłasza problemów z WMI to nie wiem dlaczego systemlook nie pokazuje zawartości kluczy,wygląda jakby coś było źle wklejane.

W menu start uruchom wpisz: regediti następnie rozwiń poszczególne klucze: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters

zawartość tego klucza powinna być taka:

Kod:

"ServiceDllUnloadOnStop"= 0x0000000000 (0)
"ServiceDll"="%SystemRoot%\system32\wbem\WMIsvc.dll"
"ServiceMain"="ServiceMain"

Czy taka jest ?

i tak jak pisałem wklejaj na stronę

[Aby zobaczyć linki, zarejestruj się tutaj]

[Łukasz]

Pierwsza wartość to:Value not set

[tachion]

Sprawdź zawartość też ControlSet > ControlSet002 i ControlSet003 jeśli jest

[Łukasz]

W ControlSet002 jest jak w 001.

[tachion]

Do notatnika wklej i zapisz jako fix.reg

Kod:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00

fix.regz prawokliku myszki scal

uruchom komputer ponownie i sprawdź ponownie zawartość

[Łukasz]

Czy chodzi o komendę:Merge?

[tachion]

tak merge się zamysliłem

[Łukasz]

Może jetem ślepy,ale nie widzę takiej komendy.Proszę o sprecyzowanie.

[tachion]

klikasz prawym na fix. reg>. regto rozszerzenie nie może być .txt na samej górze powinna być opcja albo scal albo merge,obojętnie bo to jedno i to samo,zawartość powinna byc wprowadzona do rejestru.

[Łukasz]

Zrobiłem to,ale wpisy są bez zmian.

[tachion]

czyli zostały wprowadzone i zresetowałeś komputer ?

---

Dodano: 01 lut 2014, 16:31

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s
CMD: sc query Winmgmt
CMD: sc start Winmgmt
CMD: winmgmt /salvagerepository

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

[Łukasz]

Zrestartowałem,a miałem zresetować?

[tachion]

tak to po resecie teraz wklej to co podałem wyżej i wykonaj.