Powolne połączenie z Internetem

[amstaff92]

Witam,
ostatnio dostałem pomoc więc tym razem również byłbym wdzięczny. Problemem jest długi czas oczekiwania na połączenie z Internetem (tzn. połączono ale nie działa). Zauważyłem proces svchost który wykazuje użycie procesora na poziomie 25% a później drugi z takim samym użyciem. W załączeniu przesyłam logi oraz screeny z procesów i usług.

 

Addition.txt FRST.txt GMER.txt Shortcut.txt

[picasso]

Cytat

Problemem jest długi czas oczekiwania na połączenie z Internetem (tzn. połączono ale nie działa).

 

Temat przenoszę do działu Windows, to nie jest problem infekcji, a wręcz przeciwnie - rzekomych zabezpieczeń przed infekcją. W systemie jest HOSTS Anti-Adware_PUPs, który wykonał katastrofalną edycję pliku Hosts. Plik Hosts mieli ponad 100 tysięcy wpisów. U Ciebie jest to obrazowane błędem o długiej odpowiedzi z usługi Klient DNS (Dnscache), co namacalnie ma skutek w postaci "słabego internetu". Przykładowy temat z forum pokazujący jakie skutki uboczne może mieć tak ogromna modyfikacja, a wpisów było dużo mniej: KLIK. Tego programu należy się pozbyć i zresetować plik Hosts. Program został już dawno temu wycofany z użytku, nie jest w ogóle aktualizowany i nie chroni przed bieżącymi zagrożeniami. Zastąpiono go Blockulicious DNS (orientacja na francuskich użytkowników): KLIK.

 

S2 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2014-04-14] () [Brak podpisu cyfrowego]
HKLM-x32\...\Run: [HOSTS Anti-Adware_PUPs] => C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe [302961 2014-04-14] ()

==================== Hosts - zawartość: ==========================

2009-07-14 04:34 - 2016-07-17 08:27 - 07263887 ____A C:\Windows\system32\Drivers\etc\hosts

127.0.0.1 08sr.combineads.info # hosts anti-adware / pups
127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 2010-fr.com # hosts anti-adware / pups
127.0.0.1 2012-new.biz # hosts anti-adware / pups
127.0.0.1 212link.com # hosts anti-adware / pups
127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups
127.0.0.1 24h00business.com # hosts anti-adware / pups
127.0.0.1 a.adorika.net # hosts anti-adware / pups
127.0.0.1 a.ad-sys.com # hosts anti-adware / pups
127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups
127.0.0.1 ad.adn360.com # hosts anti-adware / pups
127.0.0.1 adcash.com # hosts anti-adware / pups
127.0.0.1 adeartss.eu # hosts anti-adware / pups
127.0.0.1 adesoeasy.eu # hosts anti-adware / pups
127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups
127.0.0.1 adm.soft365.com # hosts anti-adware / pups
127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups
127.0.0.1 ads7.complexadveising.com # hosts anti-adware / pups
127.0.0.1 ads.adplxmd.com # hosts anti-adware / pups
127.0.0.1 ads.aff.co # hosts anti-adware / pups
127.0.0.1 ads.alpha00001.com # hosts anti-adware / pups
127.0.0.1 ads.cloud4ads.com # hosts anti-adware / pups
127.0.0.1 ads.egdating.net # hosts anti-adware / pups
127.0.0.1 ads.eorezo.com # hosts anti-adware / pups
127.0.0.1 ads.hooqy.com # hosts anti-adware / pups
127.0.0.1 ads.pornerbros.com # hosts anti-adware / pups
127.0.0.1 ads.realken.com # hosts anti-adware / pups
127.0.0.1 ads.regiedepub.com # hosts anti-adware / pups
127.0.0.1 ads.sucomspot.com # hosts anti-adware / pups

Wykryto więcej niż wyliczono: 101118 linii.


Dziennik System:
=============
Error: (09/26/2016 02:52:14 PM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Dnscache.

 

 

Cytat

Zauważyłem proces svchost który wykazuje użycie procesora na poziomie 25% a później drugi z takim samym użyciem. W załączeniu przesyłam logi oraz screeny z procesów i usług.

 

A to może być inny problem. Wprawdzie usługa Klient DNS (Dnscache), która się zawiesza, jest podmontowana na svchost, ale na innym wystąpieniu. To co pokazujesz na obrazku to inna grupa svchost. I tu prawdopodobnym delikwentem może być usługa Windows Update (wuauserv). Ostatnio sporo tematów na forum, a sprawę rozwiązuje instalacja łat: KLIK.

 

 

 

---

 

 

Czyli do wykonania usuwanie Hosts_Anti_Adwares_PUPs, a przy okazji innych odpadkowych wpisów i programów:

 

1. Odinstaluj stare wersje i śmieci: Adobe Flash Player 20 ActiveX, Adobe Shockwave Player 12.0, FileViewPro, Java 7 Update 45 (64-bit), Java 7 Update 67, Java 8 Update 20 (64-bit), Java 8 Update 25, Java SE Development Kit 8 Update 20 (64-bit), McAfee Security Scan Plus, Smart File Advisor 1.1.6, YTD Video Downloader 4.8.5.

 

Wszystkie programy z wyjątkiem Adobe i Java to programy z kategorii "PUP", instalacje niepożądane i przemycone w system w innym instalatorze. Deinstalacja Smart File Advisor usunie też Alcohol 52%. Należy Alcohol 52% przeinstalować przy całkowicie odciętym połączeniu sieciowym, by zapobiec instalacji tego śmiecia, instrukcje na spodzie: KLIK.

 

2. Usuń puste wpisy wtyczek Google Chrome poprzez reset cache wtyczek: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [HOSTS Anti-Adware_PUPs] => C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe [302961 2014-04-14] ()
S2 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2014-04-14] () [Brak podpisu cyfrowego]
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
Task: {0EAC5DA4-171F-4C1B-9674-D3BDC16DEC08} - System32\Tasks\{2A69CA78-34A4-4720-ABF3-FD1202EAE45E} => pcalua.exe -a D:\mateusz\PDFCombiner-Installation.exe -d D:\mateusz
Task: {143A9E6B-09D5-48F8-A324-377DE3DA570F} - System32\Tasks\{D353E3AE-5EFC-414F-9B73-52D3E94F350D} => pcalua.exe -a "C:\Program Files (x86)\FTdownloader V4.0\Uninstall.exe" -c /fromcontrolpanel=1
Task: {48892E71-E6DC-4B52-85F6-7843D5D937F2} - System32\Tasks\{EB700679-283B-4BBC-B73D-32E5274B4497} => pcalua.exe -a G:\MU1_04M_Full(Eng).exe -d G:\
Task: {53E01B1D-64E1-4FF5-989F-04C9D8C77B69} - \DealPlyUpdate -> Brak pliku <==== UWAGA
Task: {716F1038-BF53-47BE-BE06-21B7C2802454} - \Desk 365 RunAsStdUser -> Brak pliku <==== UWAGA
Task: {76FAE829-75EC-4439-8C8A-61F17E0A04D4} - System32\Tasks\{B4D08592-4010-46DB-B412-596B4304B52C} => pcalua.exe -a E:\Setup.exe -d E:\
Task: {80FB23B8-7F62-41C5-9D0B-036112A38250} - System32\Tasks\{1BF4EEE9-DA42-4EC8-82D0-CAFD23A96A83} => pcalua.exe -a "C:\Program Files (x86)\Desk 365\eUninstall.exe"
Task: {862DFEC7-AADD-4299-A198-5F1B035D79CE} - \BrowserDefendert -> Brak pliku <==== UWAGA
Task: {A4480555-0CF0-4D4A-81E5-C77EBBDF3DAB} - System32\Tasks\{FDBF44D6-19F5-4700-B2AA-65319175E89A} => D:\cs\cstrike.exe
Task: {E3C38427-31F3-4B3A-B003-1B4B06030D21} - System32\Tasks\{0BF0F1F6-3E1B-45EB-8ED3-86F5F7C00FA1} => pcalua.exe -a D:\mateusz\pulpit\aktywatory\AntiWPA_3.3.exe -d D:\mateusz\pulpit\aktywatory
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA
Task: {F9608788-A6A2-44BD-8ECA-B5D5D61F53C4} - \DealPly -> Brak pliku <==== UWAGA
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Kalendarz.lnk => C:\Windows\pss\Kalendarz.lnk.CommonStartup
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
MSCONFIG\startupreg: ApnTBMon => "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe"
MSCONFIG\startupreg: DAEMON Tools Lite => "D:\daemon\DAEMON Tools Lite\DTLite.exe" -autorun
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2288698525-1566227253-1269940816-1000\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.141\McAfeeMSS_IE.dll => Brak pliku
BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll => Brak pliku
BHO-x32: SimpleAdblock Class -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> C:\Program Files (x86)\Common Files\Simple Adblock\SimpleAdblock.dll => Brak pliku
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
FF HKLM-x32\...\Firefox\Extensions: [fmconverter@gmail.com] - C:\Program Files (x86)\Freemake\Freemake Video Converter\BrowserPlugin\Firefox
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
DeleteKey: HKCU\Software\Mozilla\SeaMonkey
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Users\Dorota\Downloads\13 stycznia 2015.lnk
Hosts:
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Potwierdź ustąpienie problemu z internetem.

 

[amstaff92]

Dziękuje za pomoc. Zamieszczam fixlog po wykonaniu usuwania.

 

Fixlog.txt

[picasso]

Fix pomyślnie wykonany, Hosts zresetowany. Czy po wykonaniu skryptu FRST ustąpił problem z internetem? Natomiast jeśli nadal jest obciążony ten drugi svchost hostujący usługę Windows Update, to już podałam link jakimi łatami należy się zainteresować.

[amstaff92]

Tak, problem z internetem ustąpił. Nie zauważyłem aby drugi svchost był jeszcze obciążony. Jeszcze raz dziękuje za pomoc.

[picasso]

Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST, folder "FRST" z Pulpitu oraz GMER i wszystkie logi narzędzi. Następnie wyczyść foldery Przywracania systemu: KLIK.

 

Temat rozwiązany. Zamykam.