Dziwny problem z pobieraniem i internetem

[deepack321]

Witam, od jakiegoś czasu mam problem z prędkością internetu, pomimo dosyć dobrego łącza, jak również prędkość sciągania nie powala. Dodaje logi dla szerszego obrazu sytuacji.

 

extras: http://wklej.org/id/1094031/

 

otl: http://wklej.org/id/1094032/

 

[Anonim8]

Odinstaluj z panelu programów te śmieci BrowserDefender i Delta Toolbar

[deepack321]

I to już wszystko ?

[Kate]

Nie ponieważ nie przejrzał* jeszcze nikt upoważniony raportów i nie podjął decyzji. Usunięcie toolbar'ów to nie wiele pewnie jeszcze będzie trzeba po nich posprzątać.

[picasso]

Po odinstalowaniu wymienionego adware:

 

1. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

od jakiegoś czasu mam problem z prędkością internetu, pomimo dosyć dobrego łącza, jak również prędkość sciągania nie powala

Wątpię, by te objawy miały przyczynę w adware. Jeśli powyższe czyszczenie nie wpłynie na sytuację, prędzej podejrzanym jest Norton Internet Security.

 

 

 

.

[deepack321]

log z AdwCleaner - http://wklej.org/id/1095714/

 

otl: http://wklej.org/id/1095717/

[picasso]

Byłam nieobecna (wakacje).

 

Pojawiły się w systemie nowe infekcje. Poproszę o raporty z FRST.

 

 

.

[deepack321]

Addition - http://wklej.org/id/1116817/

FRST - http://wklej.org/id/1116818/

[picasso]

Prócz adware i robaka Gamarue, tu są także ślady najnowszej wesji rootkita ZeroAccess (wpis udający Google Update, zablokowany znakami zerowymi null).

 

1. Przez Panel sterowania odinstaluj adware WinZipper.

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Policies\Explorer\Run: [33228] c:\progra~2\dxyoquq.exe [726016 2010-11-20] ( (DAMN))
HKCU\...\Run: [Google Update*] - [x] 
HKCU\...\Run: [Microsoft Windows Hosting Service] - C:\Users\Konrad\AppData\Local\Temp\csrss.exe [866816 2013-07-27] (Crintsoft) 
HKCU\...\CurrentVersion\Windows: [Load] c:\users\konrad\dxdcnasry.exe 
R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [303680 2013-08-22] (Wsys Co., Ltd.)
S3 MSICDSetup; \??\D:\CDriver.sys [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2834902B349D5046&affID=119357&tsp=4954
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
FF SelectedSearchEngine: delta-homes
FF Homepage: hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\delta-homes.xml
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972
C:\Users\Konrad\AppData\Local\Google\Desktop
C:\ProgramData\dxiltldju.exe
C:\ProgramData\dxyoquq.exe
C:\ProgramData\dxyvoajto.exe
C:\ProgramData\eSafe
C:\Windows\DeleteOnReboot.bat
CMD: del /q C:\Users\Konrad\*.exe
CMD: rd /s /q C:\Users\Konrad\AppData\Local\Temp

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Pobierz najnowszą wersję AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowe logi: skan OTL (bez Extras), skan FRST (bez Addition), Farbar Service Scanner. Dołącz plik fixlog.txt oraz log utworzony przez AdwCleaner.

 

 

 

.

[deepack321]

1. fixlog.txt - http://wklej.org/id/1117162/

2. W najnowszej wersji AdwCleaner nie ma opcji "usuń"

3. OTL - http://wklej.org/id/1117165/

4. FRST - http://wklej.org/id/1117168/

5. FSS - http://wklej.org/id/1117169/

[picasso]

Infekcje nie zostały usunięte do końca. Ale zanim przejdę dalej jest mi potrzebne kilka rzeczy.

 

2. W najnowszej wersji AdwCleaner nie ma opcji "usuń"

Angielska wersja "Clean". Tak więc czy użyłeś tej opcji? Widzę, że na dysku powstał katalog programu:

 

==================== One Month Created Files and Folders ========
 

2013-08-26 21:58 - 2013-08-26 21:58 - 00000000 ____D C:\AdwCleaner

2013-08-26 21:57 - 2013-08-26 21:58 - 00994642 _____ C:\Users\Konrad\Downloads\AdwCleaner (1).exe

 

Jeśli nie uruchamiałeś czyszczenia, na razie pomiń, bo proszę o dwie rzeczy które są potrzebne do rozszerzenia detekcji FRST:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer C:\Users\Konrad\Desktop\policies.reg
CMD: copy C:\Users\Konrad\AppData\Roaming\Mozilla\Firefox\Profiles\kg6amu0b.default\prefs.js C:\Users\Konrad\Desktop\prefs.js

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Na pulpicie powstaną dwa pliki: prefs.js oraz policies.reg. Oba zapakuj do ZIP, umieść na jakimś hostingu i podaj mi link do paczki.

 

 

 

.

[deepack321]

1. Nie, najnowsza  wersja AdwCleaner różni się wyglądałem od pozostałych, w opcjach jest Clean, ale nieaktywny (więc nie wykonałem).

2. http://www.sendspace.pl/file/e37acf9f577211ce4e1bc53

[picasso]

OK. Lecimy dalej:

 

1. Wyczyść przeglądarki:

- Google Chrome: w zarządzaniu wyszukiwarkami przestaw domyślną na Google, po tym skasuj z listy delta-homes. Wyczyść Historię.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

- Następnie uruchom AdwCleaner, użyj opcję Scan, gdy ukończy zastosuj Clean.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\Users\Konrad\*.exe
C:\Users\Konrad\AppData\Local\Temp\csrss.exe
Unlock: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Unlock: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Reg: reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 301548880 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 3212083974 /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowe skany: OTL (bez Extras) + FRST (bez Addition). Dołącz fixlog.txt oraz log z usuwania z katalogu C:\AdwCleaner (ma w nazwie oznaczenie literą S).

 

 

.

[deepack321]

1. AdwCleaner - http://wklej.org/id/1117288/

2. FRST (fixlog.txt) - http://wklej.org/id/1117290/

3. Zrobione

4. OTL - http://wklej.org/id/1117292/

5. FRST (skan) - http://wklej.org/id/1117293/

[picasso]

Jeszcze poprawki. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 301548880 /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

.

[deepack321]

1. fixlog.txt - http://wklej.org/id/1117378/

[picasso]

Zrobione. Idziemy dalej:

 

1. W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższe foldery.

 

C:\FRST

C:\Users\Konrad\Desktop\Stare dane programu Firefox

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób pełne skanowanie Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[deepack321]

C:\FRST - nie znalezione

C:\Users\Konrad\Desktop\Stare dane programu Firefox - Usunięte

 

2. zrobione

3. http://wklej.org/id/1117474/

[picasso]

Czyli kończymy:

 

1. Zaktualizuj wszystkie przeglądarki: KLIK.

 

Internet Explorer Version 9
 

==================== Installed Programs =======================
 

Google Chrome (Version: 28.0.1500.95)

Mozilla Firefox 23.0 (x86 pl) (Version: 23.0)

 

2. Prewencyjnie zmień hasła logowania w serwisach (była infekcja o predyspozycjach ich łowienia).

 

 

 

.