Problem z explorer.exe*32

[kasik151]

Witam,

 

Od jakiegoś czasu zaobserwowałam że na moim laptopie ciągle chodzi wiatrak z prawie pełną mocą. Gdy włączyłam menadżer zadań zobaczyłam że procesor jest ciągle obciążony na 50 % mimo że wszystko jest wyłączone,  w procesach znalazłam program explorer.exe*32 który pochłania 50% wydajności procesora. Po zamknięciu tego procesu uruchamia sie samoczynnie po jakimś czasie ( gdy wyłączyłam go wiatrak przestał szybko chodzić i wrócił do normalnej pracy wolnej) Skanowałam komputer nodem32 lecz ten nie pomógł na tą dolegliwość.

Byłabym wdzięczna za pomoc.

Umieszczam w poście  wyniki z OTL i FRST.

Pozdrawiam

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[muzyk75]

Odinstaluj: DAEMON Tools Lite, Bonjour - śmieć od Apple. Jest jeszcze coś takiego: "(DATOM Dariusz Cielebąk)"- tutaj sterownik powoduje błędy.

 

Pobierz ADW-Cleaner: "Dział pomocy doraźnej"-->"Dezynfekcja: zbiór narzędzi usuwających"-->"Pobierz" . Po uruchomieniu kliknij "szukaj" , po zakończeniu skanu "usuń".  Reset komputera.

 

Pobierz: TFC Temp File Cleaner by Oldtimer: "Dział pomocy doraźnej"-->"Dezynfekcja kroki finalizujące temat"-->"Czyszczenie lokalizacji tymczasowych" Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych.
 

Zaktualizuj Java do wersji 7u45, Adobe Reader do wersji 11

 

Jak wszystko wykonasz załącz nowe logi z OTL, FRST, GMER.

[kasik151]

Przesyłam Logi z OTL, FRST i GMER'a

gmer.txt

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[muzyk75]

Odinstaluj: Akamai NetSession Interface Service

 

Otwórz notatnik i wklej:

 

S2 Kmm4xNT; No ImagePath
U3 kxliipob; \??\C:\Users\Sony\AppData\Local\Temp\kxliipob.sys [x]

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

Uruchom OTL --> "Własne opcje skanowania / skrypt" i wklej:

 

:OTL

IE - HKU\S-1-5-21-2597969092-256137632-775838836-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=PL&userid=90a8feb7-98de-45b1-9c24-83d01d897add&searchtype=ds&q={searchTerms}&installDate=19/07/2013
IE - HKU\S-1-5-21-2597969092-256137632-775838836-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=PL&userid=90a8feb7-98de-45b1-9c24-83d01d897add&searchtype=ds&q={searchTerms}&installDate=19/07/2013
IE - HKU\S-1-5-21-2597969092-256137632-775838836-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=PL&userid=90a8feb7-98de-45b1-9c24-83d01d897add&searchtype=hp&installDate=19/07/2013
IE - HKU\S-1-5-21-2597969092-256137632-775838836-1002\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=PL&userid=90a8feb7-98de-45b1-9c24-83d01d897add&searchtype=ds&q={searchTerms}&installDate=19/07/2013
IE - HKU\S-1-5-21-2597969092-256137632-775838836-1002\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=PL&userid=90a8feb7-98de-45b1-9c24-83d01d897add&searchtype=ds&q={searchTerms}&installDate=19/07/2013
IE - HKU\S-1-5-21-2597969092-256137632-775838836-1002\..\SearchScopes,DefaultScope =
IE - HKU\S-1-5-21-2597969092-256137632-775838836-1002\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=PL&userid=90a8feb7-98de-45b1-9c24-83d01d897add&searchtype=ds&q={searchTerms}&installDate=19/07/2013
O4 - HKU\S-1-5-21-2597969092-256137632-775838836-1000..\Run: [pwo6] C:\Users\Sony\AppData\Roaming\pwo6\svchost.exe ()
O4 - HKU\S-1-5-21-2597969092-256137632-775838836-1002..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Value error.)
[2013-11-08 17:03:17 | 000,000,000 | ---D | C] -- C:\Users\Sony\AppData\Roaming\pwo6

:Commands
[emptytemp]

Kliknij "Wykonaj skrypt"

 

Jak teraz zachowuje się laptop?

[kasik151]

po wykananiu wszystkich zalecanych czynności problem ustał. W menadżerze zadań nie uruchamia sie juz explorer.exe*32 i  laptop już się nie nagrzewa.

 

Dziękuje za pomoc

[kasik151]

Witam,

 

Niestety od paru dniu problem wrócił. Zauważyłam że komputer znowu jest bardzo obciążony  i okazało sie że to znowu ten nieszczęsny explorer.exe który bardzo obciąża mi komputer. Poniżej przesyłam Logi z OTL i mam pytanie czy można na przyszłość zabezpieczyć się przed tego typu zagrożeniem ?

OTL.Txt

Extras.Txt

[muzyk75]

Załącz logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/( zaznacz Addition - powstaną 2 logi )

[kasik151]

Przepraszam za moje niedopatrzenie. Poniżej logi z FRTS.

Pozdrawiam

Addition.txt

FRST.txt

[picasso]

- W kwestii poprzedniego podejścia: Infekcja nie została zauważona od razu. Przecież już w pierwszym logu widać wpis trojana w starcie (oraz powiązane procesy). Dopiero w poście #4 zaadresowano to w skrypcie OTL. Ale brak raportu z wynikami przetwarzania skryptu OTL, nie wiadomo jak to zostało przetworzone. Temat nie został także poprawnie ukończony.

- W kwestii nawrotu infekcji: zakładając, że ów skrypt do OTL to ruszył, to wygląda na to, że ponownie uruchomiono coś co ładuje infekcję. Czy uruchamiano jakiś szczególny crack?

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Users\Sony\AppData\Roaming\pwo6\svchost.exe
() C:\Users\Sony\AppData\Local\Temp\_MEI20762\bin\winlogon.exe
() C:\Users\Sony\AppData\Local\Temp\_MEI20762\bin\explorer.exe
HKLM-x32\...\Run: [Application Layer Gateway] - C:\Program Files (x86)\Common Files\alg.exe
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-2432516722-503974337-737974545-1000\...\Run: [pwo6] - C:\Users\Sony\AppData\Roaming\pwo6\svchost.exe [7321472 2014-01-28] ()
HKU\S-1-5-21-2432516722-503974337-737974545-1000\...\Run: [ChicaPasswordManager] - "C:\Program Files (x86)\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned
S2 Update Jump Flip; No ImagePath
C:\Program Files (x86)\Mobogenie
C:\Users\Sony\AppData\Local\genienext
C:\Users\Sony\AppData\Local\Mobogenie
C:\Users\Sony\AppData\Roaming\newnext.me
C:\Users\Sony\AppData\Roaming\pwo6
C:\Users\Sony\Documents\Chica Passwords

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Usuń szczątki adware:

- Przez Panel sterowania odinstaluj Jump Flip, o ile się da. Wpis wygląda na uszkodzony.

- Zresetuj Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

3. Uruchom AdwCleaner (najnowsza wersja). Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz log utworzony przez AdwCleaner.

 

 

.

[kasik151]

Nie przypominam sobie abym używała jakiegoś crack'a

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Finalizuj temat:

 

1. Porządki po narzędziach. Przez SHIFT+DEL (omija Kosz) skasuj:

 

C:\FRST

C:\Users\Sony\Desktop\FRST64.exe

C:\Users\Sony\Desktop\FRST-OlderVersion

C:\Users\Sony\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Upłynęło trochę czasu, więc porównaj czy nadal produkty Adobe, Java i Firefox wymagają aktualizacji: KLIK.

 

 

 

.