Wolno działający internet

[Cisowiaka]

Witam tak jak w temacie, prosiłbym o pomoc

 

OTL.Txt

Extras.Txt

Gmer.txt

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Widzę tu infekcję, czyli rzekomy plik Microsoftu C:\ProgramData\wmc.exe w Harmonogramie zadań. Wg tematów na Google to może być infekcja, która ma związek z manipulacjami na kontach bankowych. I raport sugeruje, że ten szkodnik mógł wejść z nielegalnej paczki ... Kaspersky Antivirus 2013. Plik utworzony zaraz po pobraniu RAR i w tym samym czasie co pliki Kasperskiego, co jest zbyt dużym zbiegiem okoliczności:

 

2014-08-15 16:25 - 2014-08-15 16:25 - 00003020 _____ () C:\Windows\System32\Tasks\SYSTEM

2014-08-15 16:24 - 2014-08-15 16:24 - 00030784 ____S (Microsoft® Corporation) C:\ProgramData\wmc.exe

2014-08-15 16:24 - 2014-08-15 16:24 - 00001111 _____ () C:\Users\Public\Desktop\Kaspersky Anti-Virus 2013.lnk

2014-08-15 16:24 - 2014-08-15 16:24 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Anti-Virus 2013

2014-08-15 16:22 - 2014-08-15 16:22 - 00000000 ____D () C:\Program Files (x86)\Kaspersky Lab

2014-08-15 15:54 - 2014-08-15 15:04 - 180975546 _____ () C:\Users\asus\Downloads\Kaspersky.AV.2013.Pl-2014-08-10(1).rar

 

Pirackie wersje antywirusów to sprzeczność z zabezpieczeniami: "zabezpieczasz" system narażając się na backdoory i wyciek danych z systemu. Ten Kaspersky (nie najnowszy zresztą) będzie wyrzucany, nie biorę żadnej odpowiedzialności za niego i jest silne podejrzenie, że paczka wprowadziła infekcję.

 

Poza tym, są drobne odpadki adware w Google Chrome. Ale mam silne wątpliwości czy zdefiniowane szkodniki mają jakikolwiek związek ze spadkiem prędkości internetu. Przeprowadź następujące działania:

 

1. Odinstaluj Kaspersky Anti-Virus 2013.

 

2. Otwórz Notatnik i wklej w nim:

 

(Microsoft® Corporation) C:\ProgramData\wmc.exe
(Microsoft Corporation) C:\Windows\SysWOW64\reg.exe
Task: {D23B4F95-12F2-413D-A3A9-C55814ED46D3} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-15] (Microsoft® Corporation)
HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters).
HKLM-x32\...\Run: [] => [X]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
CHR RestoreOnStartup: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1400967366&from=wpc&uid=HitachiXHTS547550A9E384_J2160051CSLJTDCSLJTDX"
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
C:\ProgramData\wmc.exe
C:\ProgramData\.windows.sys
C:\ProgramData\*.bin
C:\Program Files\ESET
C:\Program Files\Common Files\Bitdefender
C:\Users\asus\Downloads\eset_smart_security-2014-08-10.rar
C:\Users\asus\Downloads\eset_smart_security-2014-08-10.rar.exe
C:\Users\asus\Downloads\Kaspersky.AV.2013.Pl-2014-08-10.rar
C:\Users\asus\Downloads\Kaspersky.AV.2013.Pl-2014-08-10(1).rar
C:\Windows\SysWow64\捵ꛉE
C:\Windows\SysWow64\蒠V
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: sc config "Internet Manager. RunOuc" start= demand
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączne (ręcznie je aktywujesz).

- Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy adware sweet-page.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakie zmiany w systemie.

 

 

.

[Cisowiaka]

(Microsoft Corporation) C:\Windows\SysWOW64\reg.exe

chciałem się zapytać, dana usługa zoztsała zatrzymana poprzez w/w wpis czy nie należy podać ścieżki do usunięcia ? 

 C:\Windows\SysWOW64\reg.exe

 

czy to są kodowane wpisy:

  

C:\Windows\SysWow64\捵ꛉE

C:\Windows\SysWow64\蒠V

[picasso]

chciałem się zapytać, dana usługa zoztsała zatrzymana poprzez w/w wpis czy nie należy podać ścieżki do usunięcia ?

Ta linia ma w zamiarze zabić tylko uruchomiony proces. Plik nie może być usuwany, to plik systemowy.

 

 

czy to są kodowane wpisy

Jak widać nazwy są w skali Unicode. Nie wiadomo co utworzyło takie dziwne pliki o krzaczastych nazwach, toteż je usuwam, ale pliki są stosunkowo stare. Podobne pliki mogą tworzyć stare wersje Avira (bug w systemie aktualizacji).

 

 

 

.

[Cisowiaka]

wielkie dzięki

[picasso]

Miałeś dostarczyć:

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakie zmiany w systemie.