Skocz do zawartości

Nagłe problemy z internetem


Rekomendowane odpowiedzi

Witam Picasso.

 

Otóż mam taki problem. Od wczoraj nagle internet zaczął mi 'umierać'. Strony internetowe wczytują mi się po 2-3 minuty (żeby wejść i zalogować się tutaj spędziłem około 5 minut żeby włączyć stronę). Zastanawiam się czy może to być spowodowane jakaś infekcją.

Sprawa wygląda następująco. Nagle po prostu strony internetowe zaczęły wolno chodzić. Sprawdziłem transfer ściągając dowolny plik - w porządku. W grze też wszystko dobrze chodziło. Później zaczęły się problemy z całym internetem to znaczy bardzo powolne ściąganie czegokolwiek na próbę czy jakiekolwiek inne użytkowanie. Speedtest nawet nie wykrywa transferu. Dodam że na drugim komputerze wszystko chodziło w porządku stąd wnioskuję że to nie problem dostawcy - nic nie ściągane było na 2 komputerze ani nic.

Problem z pingiem znowu zaczął się teraz natomiast problem z otwieraniem stron występuje bez przerwy. Próbowałem 3 przeglądarek GC, Mozilla oraz IE. Więc jedynym według mnie logicznym wyjaśnieniem może być jakaś może infekcja.

Proszę o sprawdzenie.

 

ps. Może TO ma jakiś wpływ na to :

 

Ostatni problem

 

Nie mogłem się zalogować na tamte konto 5 minut strona myślała i nic stąd nowe konto.

OTL.Txt

Extras.Txt

GMer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Według logów znów się zainfekowałeś gdzieś. Przechodzisz do usuwania.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Documents and Settings\Userupdate001.exe
C:\Documents and Settings\User\Dane aplikacji\xklquwceq3xnh3lvyouznckzzhgby1xf2
C:\Documents and Settings\User\Dane aplikacji\xrsimisfeldhfwthq3shpjkeuulgylx22
C:\Documents and Settings\User\Dane aplikacji\si3y1rilwzueobrysgjci2qhviq3mkz2
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = "http://us.rd.yahoo.com/customize/ie/defaults/cs/msgr9/*http://www.yahoo.com/ext/search/search.html"
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2011-02-06 21:20:23 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\extensions\vshare@toolbar
[2011-02-06 21:20:30 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\searchplugins\web-search.xml
 
:Reg
[HKEY_USERS\S-1-5-21-583907252-1580818891-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssend"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Userupdate001.exe"=-
"C:\Documents and Settings\User\Dane aplikacji\xklquwceq3xnh3lvyouznckzzhgby1xf2\svcnost.exe"=-
"C:\Documents and Settings\User\Dane aplikacji\si3y1rilwzueobrysgjci2qhviq3mkz2\csrss.exe"=-
"C:\Documents and Settings\User\Dane aplikacji\xrsimisfeldhfwthq3shpjkeuulgylx22\svcnost.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza

Niestety nie poszło. Zmiana metody.

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile: 
"C:\Documents and Settings\Userupdate001.exe"
"C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\searchplugins\web-search.xml"
 
DeleteFolder: 
"C:\Documents and Settings\User\Dane aplikacji\xklquwceq3xnh3lvyouznckzzhgby1xf2"
"C:\Documents and Settings\User\Dane aplikacji\xrsimisfeldhfwthq3shpjkeuulgylx22"
"C:\Documents and Settings\User\Dane aplikacji\si3y1rilwzueobrysgjci2qhviq3mkz2"
"C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\extensions\vshare@toolbar"
 
DeleteRegValue: 
HKEY_USERS\S-1-5-21-583907252-1580818891-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssend
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Userupdate001.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\User\Dane aplikacji\xklquwceq3xnh3lvyouznckzzhgby1xf2\svcnost.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\User\Dane aplikacji\si3y1rilwzueobrysgjci2qhviq3mkz2\csrss.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\User\Dane aplikacji\xrsimisfeldhfwthq3shpjkeuulgylx22\svcnost.exe
 

 

Klik w Execute Now. Zatwierdź restart komputera.

 

2. Otwórz systemowy Notatniki i wklej do niego ten tekst:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]

"CustomSearch"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="explorer.exe"

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

 

3. Prezentujesz log z BlitzBlank oraz nowe logi z OTL.

 

 

 

Odnośnik do komentarza
Niestety nic z tego ciągle to samo wyskakuje. Że 12 linijka. Usuwam 12 to dalej że 12. Musiałbym wszystko usunąć.

 

No nie wiem, czy dobrze obliczyłeś która linia jest numerem 12. Blitzblank nie będzie przetwarzał wcale nieistniejących ścieżek, ponieważ zadawanie wpisów, które nie są obecne, jest nielogiczne. To, że OTL czy Avenger dopuszczają takie rzeczy, wcale nie znaczy, że jest to dobre.

 

 

Niestety ale według komunikatu na blue screenie wyłącza się jakiś ważny program.

 

Proszę wytwórz nowy log z OTL (nie zapomnij o Extras) opcji Skanuj i przedstaw tu sytuację na teraz.

 

 

PS. A Twoje dwa konta na forum scalę w jedno, ale to na końcu.

 

 

.

Odnośnik do komentarza

1. Skrypt do BlitzBlank:

 

DeleteFolder: 
"C:\Documents and Settings\User\Dane aplikacji\xrsimisfeldhfwthq3shpjkeuulgylx22"
"C:\Documents and Settings\User\Dane aplikacji\xklquwceq3xnh3lvyouznckzzhgby1xf2"
"C:\Documents and Settings\User\Dane aplikacji\si3y1rilwzueobrysgjci2qhviq3mkz2"
"C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\storage"
"C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\extensions\vshare@toolbar"
 
DeleteFile:
"C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\searchplugins\web-search.xml"

 

 

2. Po restarcie komputera otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\Documents and Settings\\Userupdate001.exe"=-

"C:\\Documents and Settings\\User\\Dane aplikacji\\xklquwceq3xnh3lvyouznckzzhgby1xf2\\svcnost.exe"=-

"C:\\Documents and Settings\\User\\Dane aplikacji\\si3y1rilwzueobrysgjci2qhviq3mkz2\\csrss.exe"=-

"C:\\Documents and Settings\\User\\Dane aplikacji\\xrsimisfeldhfwthq3shpjkeuulgylx22\\svcnost.exe"=-

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mssend"=-

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"KernelFaultCheck"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

 

3. Internet Explorer ma ustawione niedobre proxy (znowu, w poprzednim temacie było to samo):

 

IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:53798

Wejdź do Opcji internetowych i całkowicie wymaż to ustawienie.

 

 

4. Został jeszcze Firefox i szczątki po vShare. W pasku adresów wklep about:config, wyszukaj wartości keyword.URL + browser.search.defaultenginename i z prawokliku zresetuj do poziomu domyślnego (a to powinno być Google).

 

 

5. Wytwarzasz nowe logi OTL opcją Skanuj.

 

 

 

 

.

Odnośnik do komentarza
Niestety nie wiem co z tym proxy mam zrobić. Nie używam IE w ogóle nawet nie wiem w którym miejscu jest na komputerze natomiast w opcjach internetowych jedyna opcja jaką mam zaznaczoną to Automatycznie wykryj ustawienia.

 

Masz włączyć "Użyj proxy", wejść w Zaawansowane i wymazać wszystkie pola, by stały się czyste. Następnie odptaszkować "Użyj proxy".

 

Nie zresetowałeś także podawanych przeze mnie wartości w Firefox:

 

FF - prefs.js..browser.search.defaultenginename: "Web Search..."

FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="

 

vs.

 

Został jeszcze Firefox i szczątki po vShare. W pasku adresów wklep about:config, wyszukaj wartości keyword.URL + browser.search.defaultenginename i z prawokliku zresetuj do poziomu domyślnego (a to powinno być Google).

Powtórz to i dopiero wtedy zgłoś się tu z nową partią logów.

 

 

 

.

Odnośnik do komentarza

A widzisz, teraz tego nie ma. Wnioski: logi z OTL musiały być robione w czasie, gdy zmiana w jakiś sposób nie została jeszcze w ogóle zatwierdzona. Wykonaj końcowe kroki:

 

1. W OTL użyj Sprzątanie. Na dysku walają się obiekty od ComboFix dokładnie z czasu tamtego pierwszego tematu. Nie wiem jakim cudem, chyba wtedy jednak ominąłeś końcowe instrukcje, których już nie potwierdzałam. Czyli: wcale go nie odinstalowałeś jak należy plus nie użyłeś opcji Sprzątanie w OTL. W przeciwnym wypadku na dysku nie powinno zostać to co widzę.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Widzę na dysku katalogi Malwarebytes' Anti-Malware, ale brak programu na liście zainstalowanych. Program zainstaluj, wykonaj nim pełny skan i przedstaw czy jest coś dodatkowego wykryte.

 

I zadumaj się skąd to łapiesz. To już drugi raz.

 

 

 

.

Odnośnik do komentarza
1. W OTL użyj Sprzątanie. Na dysku walają się obiekty od ComboFix dokładnie z czasu tamtego pierwszego tematu. Nie wiem jakim cudem, chyba wtedy jednak ominąłeś końcowe instrukcje, których już nie potwierdzałam. Czyli: wcale go nie odinstalowałeś jak należy plus nie użyłeś opcji Sprzątanie w OTL. W przeciwnym wypadku na dysku nie powinno zostać to co widzę.

 

Użyłem wtedy sprzątania natomiast Combofix przypadkiem usunąłem wrzuceniem go do kosza więc już nie mogłem wykonać Twojego polecenia

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Widzę na dysku katalogi Malwarebytes' Anti-Malware, ale brak programu na liście zainstalowanych. Program zainstaluj, wykonaj nim pełny skan i przedstaw czy jest coś dodatkowego wykryte.

 

Mam taki zwyczaj żeby mieć jak najmniej na komputerze zainstalowane dlatego instalki trzymam sobie w folderze odpowiednim natomiast programy odinstalowywuje. Ale widać zostają po nich pozostałości dlatego może mogłabyś mi proszę poradzić czym w takim razie usuwać gry/programy żeby nie zostawał taki bajzel na komputerze no i co z tym combofixem ponownie ściągnąć i usunąć czy niech już zostanie ?

 

Podczas używania malware bytes - pełne skanowanie wyskoczył błąd mbam.exe Błąd aplikacji. Instrukcja spod 0x7c9108b3 odwołuje się do pamięci pod adresem "0xfffffff8".

 

 

 

No właśnie nie mam pojęcia skąd to może być. Ja się nie znam ale może jest coś ukryte jakiś wirus czy coś co ściąga po jakimś czasie coś ? Miałem w tym okresie sesje prawie nie siedziałem przy komputerze nie mówiąc o ściaganiu podejrzanych rzeczy więc naprawdę nie mam nawet pojęcia skąd to mogło się wziąć. Nawet podejrzenia.

Odnośnik do komentarza
Użyłem wtedy sprzątania natomiast Combofix przypadkiem usunąłem wrzuceniem go do kosza więc już nie mogłem wykonać Twojego polecenia

 

Należało więc pobrać ComboFix ponownie i wywołać to polecenie. Deinstalacja ComboFix a Sprzątanie w OTL nie są równoważne. Zataiłeś to wtedy, a wszystko co podaję w instrukcjach ma określony cel i pominięcie może czegoś ważnego nie wykonać.

 

 

Mam taki zwyczaj żeby mieć jak najmniej na komputerze zainstalowane dlatego instalki trzymam sobie w folderze odpowiednim natomiast programy odinstalowywuje. Ale widać zostają po nich pozostałości dlatego może mogłabyś mi proszę poradzić czym w takim razie usuwać gry/programy żeby nie zostawał taki bajzel na komputerze

 

Czy ja dobrze czytam co mówisz? Jak rozumiem Twój opis (wyprowadź mnie z błędu): "trzymasz instalki" i instalujesz w kółko, jeśli jest to potrzebne. Czy tak? Jeśli tak, podważam sens takich działań, bo ciągle mieszasz w rejestrze (usuwasz - przywracasz - usuwasz: przyczyniasz się do tworzenia luk w strukturze plików rejestru) oraz wpływasz na większy stopień fragmentacji danych na dysku. Zamiast "instalek" to prędzej zainteresuj się wersjami "portable", o ile dany program występuje w takiej wersji. A jeśli nie występuje: albo się decydujesz na dany program jako trwale zainstalowany albo wcale. Ponownie: wyprowadź mnie z błędu, jeśli źle odczytuję owe "instalki".

 

Na temat bezśladowego usuwania: w takim przypadku przydaje się (aczkolwiek i to nie ma gwarancji) program typu "deinstalator", który monitoruje całą instalację aplikacji i na bazie tych nagranych danych wykonuje w późniejszym czasie deinstalację. Przykłady programów z tą funkcją: darmowy ZSoft Uninstaller lub komercyjna wersja Revo Uninstaller (darmowa jest akurat pozbawiona tego monitora).

 

 

Podczas używania malware bytes - pełne skanowanie wyskoczył błąd mbam.exe Błąd aplikacji. Instrukcja spod 0x7c9108b3 odwołuje się do pamięci pod adresem "0xfffffff8".

 

Hmm, Tryb awaryjny?

 

 

PS. I decyduj jak połączyć Twoje konta na forum. Czy chcesz pozostać Marko, czy chcesz powrócić do Oczusa.

 

 

.

Odnośnik do komentarza
PS. I decyduj jak połączyć Twoje konta na forum. Czy chcesz pozostać Marko, czy chcesz powrócić do Oczusa.

 

TO już niech będzie to konto czyli Marko.

 

Log z Malwarebytes wrzucony.

 

 

Czy ja dobrze czytam co mówisz? Jak rozumiem Twój opis (wyprowadź mnie z błędu): "trzymasz instalki" i instalujesz w kółko, jeśli jest to potrzebne. Czy tak? Jeśli tak, podważam sens takich działań, bo ciągle mieszasz w rejestrze (usuwasz - przywracasz - usuwasz: przyczyniasz się do tworzenia luk w strukturze plików rejestru) oraz wpływasz na większy stopień fragmentacji danych na dysku. Zamiast "instalek" to prędzej zainteresuj się wersjami "portable", o ile dany program występuje w takiej wersji. A jeśli nie występuje: albo się decydujesz na dany program jako trwale zainstalowany albo wcale. Ponownie: wyprowadź mnie z błędu, jeśli źle odczytuję owe "instalki".

 

Dobrze rozumiesz, widzę że to byl błąd. Nie tyczy się to oczywiście wszystkich programów tylko tych właśnie typu Malwarebytes czyli takich do usunięcia czegoś jak już przypadkiem coś na komputerze występuje.

Czyli ponownie pobrać tego combofixa i zrobić to co mi zalecałaś tak ?

mbam-log-2011-02-12 (13-13-16).txt

Odnośnik do komentarza

Wyniki z MBAM do usunięcia, z wyjątkiem dwóch. PUP.RemoveWGA to tylko oznaczenie, że jest to "potencjalnie niepożądany program", a dlaczego to wiadome. Nie dowierzam też za bardzo w trojana w deinstalatorze Pando.

 

 

Czyli ponownie pobrać tego combofixa i zrobić to co mi zalecałaś tak ?

 

Tak, mimo że już sama się gubię w tym wątku i nie jestem pewna czy aktualne Sprzątanie w OTL aby tego nie ruszyło. To nie zaszkodzi jednak.

 

 

Nie tyczy się to oczywiście wszystkich programów tylko tych właśnie typu Malwarebytes czyli takich do usunięcia czegoś jak już przypadkiem coś na komputerze występuje.

 

Z tym bym nie przesadzała. Malwarebytes jest przydatny, a w Twojej sytuacji przy dwukrotnym zainfekowaniu uważam wręcz, że powinien na stałe zagościć. To tylko skaner na żądanie, nie zabiera zbyt dużo "zasobów".

 

 

TO już niech będzie to konto czyli Marko.

 

Zrobione.

 

 

 

.

Odnośnik do komentarza

 

No właśnie nie mam pojęcia skąd to może być. Ja się nie znam ale może jest coś ukryte jakiś wirus czy coś co ściąga po jakimś czasie coś ? Miałem w tym okresie sesje prawie nie siedziałem przy komputerze nie mówiąc o ściaganiu podejrzanych rzeczy więc naprawdę nie mam nawet pojęcia skąd to mogło się wziąć. Nawet podejrzenia.

 

To do tego skąd ja mogę to łapać. Czy jeszcze jakiś log się przyda czy już po sprawie bo będę dopiero w piątek z powrotem przy komputerze. I dziękuję za pomoc.

Odnośnik do komentarza

Z logami skończyłam na teraz.

 

(...) skąd ja mogę to łapać.

 

Nie wiem, ale:

- W pierwszym temacie były wyniki MountPoints2 jawnie wskazujące na podpięcie zainfekowanego nośnika USB, zaś w tym temacie niektóre wyniki z MBAM są opisane jako "Worm.Autorun" (co sugeruje dokładnie to samo = nośnik z autorun.inf).

- W pierwszym temacie były także ślady używania "dodatku" do Tibia (w rzeczywistości trojan).

- Jest też możliwe, że na którejś stronie internetowej (sklasyfikowanej jako nieszkodliwa) został udostępniony szkodliwy link, którego kliknięcie inicjuje infekcję. Takie rzeczy się dzieją ostatnio na Facebooku.

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

To znowu ja ale problem jest tym razem troszkę inny. Znowu pojawiły się problemy z internetem. Niesamowicie wolno chodzą strony internetowe i przeglądarki. Natomiast normalnie chodzą gry internetowe wymagające większą część prędkości którą posiadam a sam transfer jest także na normalnym poziomie. Włączenie strony internetowej zajmuje mi około 2-3 minut. Dodam że mam internet podłączony kablem od routera. Różnica jest taka że przedtem nie działał mi internet prawie w ogóle a teraz transfer jest na poziomie 100 % wszystko chodzi normalnie a gry cierpią. Czy tu potrzebne są jakieś logi czy może to jest wina jakiś ustawień ? Wszystko proxy mam wyłączone natomiast te dns mam ustawione na automatyczne odszukaj.

 

 

eDIT. LOG Z MALWARE dodaje. dodam, że nie używam kompa od ostatniej infekcji bo nie mam czasu. Czy jest to możliwe że coś nie jest usuwane i jest jakiś powrót do infekcji ?

 

Edit 2. A nie. Oglądałem 2 dni mecz gwiazd NBA do czego potrzebna była wtyczka vshare. Możliwe że przez to ?

mbam-log-2011-02-24 (20-57-55).txt

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...