Niski upload - podejrzenie infekcji.

[taxiarz]

Witam,

Mam problem z komputerem stacjonarnym. Upload powinien wynosić 8-10 Mbitów, a jest około 2 Mbity. Sprawdzana sieciówka pod Ubuntu LiveCD, prędkość około 8-9 Mbitów.

Proszę o sprawdzenie logów FRST.

Addition.txt

FRST.txt

Edytowane 6 Marca 2018 przez Rucek
Drobna korekta tytułu.

[Miszel03]

Nie jestem pewny niektórych wpisów w Harmonogramie zadań. Usunę je, a pliki docelowe dam do analizy w serwisie VirusTotal.
Oprócz tego: sprzątam system z resztek po oprogramowaniu. Zajmiemy się również nieaktualnymi danymi w Centrum Zabezpieczeń (Panda widnieje jako bieżący program, a zainstalowany jest ESET). 
 
Nie wiem jak to będzie miało się do połączenia - niewykluczone, że to ESET opóźnia upload. Temat po diagnostyce przeniosę do Sieci. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
ContextMenuHandlers1: [AcShellExtension.AcContextMenuHandler] -> [CC]{2E7A2C6C-B938-40a4-BA1C-C7EC982DC202} => -> Brak pliku
ContextMenuHandlers1: [ESET Smart Security - Context Menu Shell Extension] -> [CC]{B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> Brak pliku
ContextMenuHandlers6: [ESET Smart Security - Context Menu Shell Extension] -> [CC]{B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> Brak pliku
ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
ContextMenuHandlers6: [unlockerShellExtension] -> [CC]{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} => -> Brak pliku
Task: {81467EC4-1201-4353-8B82-6C623B7442ED} - \DealPly -> Brak pliku Task: {B0F4DD0B-A539-4632-83E0-35F3E07A0375} - System32\Tasks\obrapquru => C:\Windows\system32\rundll32.exe "C:\Windows\system32\riched32Q.dll",Virps
Task: C:\Windows\Tasks\obrapquru.job => rundll32.exe C:\Windows\system32\riched32Q.dll
File: C:\Windows\system32\riched32Q.dll
VirusTotal: C:\Windows\system32\riched32Q.dll 
HKLM\...\Policies\Explorer\Run: [14810] => c:\progra~2\mslpli.exe
File: c:\progra~2\mslpli.exe
VirusTotal: c:\progra~2\mslpli.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-2950158651-1325095086-3268382461-1003\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-2950158651-1325095086-3268382461-1003\...\Policies\Explorer: [HideSCAHealth] 1
SearchScopes: HKU\S-1-5-21-2950158651-1325095086-3268382461-1003 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKU\S-1-5-21-2950158651-1325095086-3268382461-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 
 
2. Zresetuj komponenty nieaktualnych danych z Centrum zabezpieczeń.

• Kliknij klawisz  + R > Wpisz frazę services.msc > kliknij ENTER.
• Na liście usług odnajdź Instrumentacja zarządzania Windows > kliknij na nią > z panelu bocznego wstrzymaj jej działanie.
• Przejdź do lokalizacji C:\WINDOWS\system32\WBEM\Repository i skasuj jej zawartość.
• Ponownie przejdź do Instrumentacja zarządzania Windows i uruchom usługę.
• Uruchom ponownie komputer. 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (wykryje komponenty KMSpico). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik Fixlog.

[taxiarz]

Dałem napraw frst, po restarcie od 15 minut jest ciągle "Zapraszamy". Tak ma być?

[Miszel03]

Dałem napraw frst, po restarcie od 15 minut jest ciągle "Zapraszamy". Tak ma być?

 

Jak wygląda sytuacja teraz?

 

------

 

Zauważyłem, że zdublowałeś tematy - KLIK.

Czy skrypt był powtarzany? Nie widzę błędów w moim skrypcie (zresztą na tamtym forum pomocnik zadał skrypt bardzo podobny do mojego), być może to był efekt tymczasowy?

 

Jeszcze się skonsultuje.

[taxiarz]

Po 30 minutach wykonany został reset. Uruchomił się system, ale posypała się zapora systemu windows, centrum bezpieczeństwa. Wszystko naprawione. Po usuwaniu infekcji upload wzrósł do maxa. Instrukcja punktu 2 wykonana. Bez punktu 3.  

[Miszel03]

Uruchomił się system, ale posypała się zapora systemu windows, centrum bezpieczeństwa. Wszystko naprawione.

 

mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona.
MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona.

 

To już było od początku, ale myślałem, że to domyślny twór ESET. 

Pokaż raport Farbar Service Scanner (FSS).

 

Wszystko naprawione. Po usuwaniu infekcji upload wzrósł do maxa. Instrukcja punktu 2 wykonana. Bez punktu 3.

 

Proszę wykonać pkt. 3 i pkt. 4.

[taxiarz]

Fixlog.txt po skanowaniu FRST już nie mam, kolega usunął. Niestety.

Ale mam kolejne logi. W załączeniu.

Addition.txt

FRST.txt

FSS.txt

LOG_malwarebytes.txt

Shortcut.txt

[Miszel03]

Usługi wyglądają OK.

Zagrożenia wykryte przez Malwarebytes daj do kasacji.

 

Czy wszystko jest już w na pewno porządku? 

[taxiarz]

Wszystko w porządku. Zagrożenia w malwarebytes dam do usunięcia.

Dziękuję serdecznie za pomoc!

[Miszel03]

Miło mi to słyszeć.

 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.