Problem z PUP.Optional

[grzesznik]

Witam 
Dziękuję ze wejście w temat i mam nadzieje że mi pomożesz :) przed sobotnim meczem z San Marino , inaczej będę musiał oglądać na telefonie. 
Sprawa wygląda tak. Po włączeniu Chrome miałem 15 sekund i komputer zaczął  mulić. 
Próbowałem  używać Malwarebytes i Adw-clenaer pomogły o tyle, że mogę na chwile mieć włączoną Chrome .Strasznie przycina przy oglądaniu youtuba czy jakiś filmów online.  A  poprawnie wyłączam komputer to raz na 5 razy . Bo inaczej to może cie 3h sam wyłączać.  

Winowajca znaleziony przez  malwarrebytes :

PUP.Optional.Delta
PUP.Optional.Conduit

Eset jak nie widział zagrożenia, tak dalej pokazuje że wszytko OK  (a od kilku lat jestem dumnym posiadaczem płatnej wersji ) 

 

Logi robione w  trybie awaryjnym, inaczej się zawieszał. 
PS. Trochę komputer zapuściłem . Kiedyś używałem CCleanera , Malwarebytes , Combofixa, hiJackThis . Więc teraz , może być trochę gruzu do ogarnięcia . 
PS 2 . Teraz NIE używałem combofix'a 

Addition.txt FRST.txt Shortcut.txt

[Krzesimierz]

Witaj,

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

GroupPolicy: Ograniczenia - Chrome <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {D8584CE1-41F8-4B31-957C-EC0B8E33BE99} - System32\Tasks\{F60D94E1-5C35-4897-B1B7-F023AEEB6474} => C:\Windows\system32\pcalua.exe -a D:\Temp\jre-8u144-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== UWAGA

HKLM-x32\...\Run: [] => [X]

2021-10-05 21:12 - 2017-05-17 20:04 - 000035840 ___SH C:\Users\Fenix\Thumbs.db
2016-04-12 20:36 - 2016-04-12 20:36 - 000000020 ___SH () C:\Users\Fenix\AppData\Roaming\Sys11965 DataCollection.dat
2016-04-12 20:36 - 2016-04-12 20:36 - 000000020 ___SH () C:\Users\Fenix\AppData\Roaming\System413_DataDB.ind

Task: {27698D1E-6506-4D05-9C4A-71CC140B1AC8} - System32\Tasks\{469CD889-7C90-4FCD-B2BB-330B453EF769} => C:\Windows\system32\pcalua.exe -a E:\Pobrane\unetbootin-windows-657.exe -d E:\Pobrane
Task: {8CB2F908-BCDC-4997-9581-883407B1E1FB} - System32\Tasks\{D287197A-4A3A-4047-95F4-AD946308DFA3} => C:\Windows\system32\pcalua.exe -a "E:\Pobrane\PAX MASTER PCI XFI Driver Suite 2014V 1.05 ALL OS Stable Drivers Default Tweak Edition\Drivers\support\i386\ctzapxx.exe" -d "E:\Pobrane\PAX MASTER PCI XFI Driver Suite 2014V 1.05 ALL OS Stable Drivers Default Tweak Edition\Drivers\support\i386"
Task: {9061A9DD-49C4-484E-8A7F-A594BC735453} - System32\Tasks\{C2445DEA-B4D2-4156-9A2D-F5F8BD8CC7C1} => C:\Windows\system32\pcalua.exe -a "E:\Pobrane\PAX MASTER PCI XFI Driver Suite 2015V 1.15 ALL OS Stable Drivers Default Tweak Edition\Drivers\Setup.exe" -d "E:\Pobrane\PAX MASTER PCI XFI Driver Suite 2015V 1.15 ALL OS Stable Drivers Default Tweak Edition\Drivers"
Task: {99E07BCA-D218-443E-A0B6-2C507572E70E} - System32\Tasks\{BDEABE22-631B-4D27-9979-40A7F2FE8A7B} => C:\Windows\system32\pcalua.exe -a E:\Pobrane\WinSetupFromUSB-1-3.exe -d E:\Pobrane

S2 nordvpn-service; "C:\Program Files\NordVPN\nordvpn-service.exe" [X]
S3 CT20XUT; system32\drivers\CT20XUT.SYS [X]
S3 CT20XUT.SYS; \SystemRoot\System32\drivers\CT20XUT.SYS [X]
S3 ctac32k; system32\drivers\ctac32k.sys [X]
S3 ctaud2k; system32\drivers\ctaud2k.sys [X]
S3 CTEXFIFX; system32\drivers\CTEXFIFX.SYS [X]
S3 CTEXFIFX.SYS; \SystemRoot\System32\drivers\CTEXFIFX.SYS [X]
S3 CTHWIUT; system32\drivers\CTHWIUT.SYS [X]
S3 CTHWIUT.SYS; \SystemRoot\System32\drivers\CTHWIUT.SYS [X]
S3 ctprxy2k; system32\drivers\ctprxy2k.sys [X]
S3 emupia; system32\drivers\emupia2k.sys [X]
S3 flash; \??\L:\BIOS_Acer_1.34_Windows\Winflash64\flash64.sys [X]
S3 ha20x2k; system32\drivers\ha20x2k.sys [X]
S2 NDivert; system32\DRIVERS\NDivert.sys [X]
S1 nordlwf; system32\DRIVERS\nordlwf.sys [X]

AppInit_DLLs: C:\PROGRA~2\WS_x64.Booster => Brak pliku
ShortcutTarget: purevpn — skrót.lnk -> C:\Program Files (x86)\PureVPN\purevpn.exe (Brak pliku)
FF Plugin HKU\S-1-5-21-3332156207-579031683-4136996809-1000: @acestream.net/acestreamplugin,version=3.1.28 -> C:\Users\Fenix\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]

FF HKLM-x32\...\Firefox\Extensions: [enquiry@purevpn.com] - C:\ProgramData\purevpn\enquiry@purevpn.com.xpi => nie znaleziono
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
FF HKU\S-1-5-21-3332156207-579031683-4136996809-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Fenix\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono

CPUID CPU-Z 1.70 (HKLM\...\CPUID CPU-Z_is1) (Version:  - ) <==== UWAGA

Toolbar: HKU\S-1-5-21-3332156207-579031683-4136996809-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
FirewallRules: [{F3FD0AC7-B098-45C3-987E-BA3894A79949}] => (Allow) C:\Users\Fenix\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku
FirewallRules: [{BCD1EA57-B166-42ED-959A-CA89B5D9D826}] => (Allow) C:\Users\Fenix\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Problem Report Wizard\Run AMD Problem Report Wizard.lnk -> C:\Program Files\AMD\amdprw.exe (Brak pliku)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ACE COMBAT ASSAULT HORIZON Enhanced Edition\ACE COMBAT ASSAULT HORIZON Enhanced Edition.lnk -> F:\ACE COMBAT ASSAULT HORIZON Enhanced Edition\Ace Combat_AH.exe (Brak pliku)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ACE COMBAT ASSAULT HORIZON Enhanced Edition\Uninstall ACE COMBAT ASSAULT HORIZON Enhanced Edition.lnk -> F:\ACE COMBAT ASSAULT HORIZON Enhanced Edition\unins000.exe (Brak pliku)
Shortcut: C:\Users\Fenix\Links\Google DriveFS.lnk -> J:\ (Brak pliku)
Shortcut: C:\Users\Fenix\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk -> C:\Users\Fenix\AppData\Roaming\uTorrent\uTorrent.exe (Brak pliku)
Shortcut: C:\Users\Fenix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\purevpn — skrót.lnk -> C:\Program Files (x86)\PureVPN\purevpn.exe (Brak pliku)
Shortcut: C:\Users\Fenix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk -> C:\Users\Fenix\AppData\Roaming\uTorrent\uTorrent.exe (Brak pliku)
Shortcut: C:\Users\Fenix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\µTorrent.lnk -> C:\Users\Fenix\AppData\Roaming\uTorrent\uTorrent.exe (Brak pliku)

Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.)
W FRST kliknij na Fix (NAPRAW).

 

Powtarza się błąd

 

Error: (10/07/2021 07:14:05 PM) (Source: DCOM) (EventID: 10005) (User: )
Description: Model DCOM odebrał błąd 1068 podczas próby uruchomienia usługi BITS z argumentami  w celu uruchomienia serwera:

Zobacz tu:
https://answers.microsoft.com/en-us/windows/forum/all/dcom-got-error-1068-attempting-to-start-the/d0208698-30ce-465e-ac20-a5eb29e92c1d
https://support.microsoft.com/pl-pl/topic/komunikat-o-błędzie-1068-przy-próbie-włączenia-udostępniania-połączenia-internetowego-a4a9f21a-24ec-53e6-6131-48b8346b7afc

 

Odinstaluj Bonjour i ChomikBox, to przestarzałe programy i mogą być wektorem ataku a ChomikBox może być niebezpieczny.

 

Uruchom ponownie system.
Potestuj i napisz jaka jest sytuacja.

[grzesznik]

Wczoraj zadziało i było ok . 

A dzisiaj znów to samo, YT tnie , przeglądarka  muli . Komputer czasem uda się poprawnie wyłączyć .  Adw -cleaner wykazał w jednym pliku obecność tego PUP. Optional . 

 

Z tym błędem 1068 robiłem według instrukcji ale nadal wyskakuje w logach

 

Addition.txt FRST.txt Shortcut.txt

[Krzesimierz]

1 godzinę temu, grzesznik napisał:

Adw -cleaner wykazał w jednym pliku obecność tego PUP. Optional

Jaka ścieżka i nazwa pliku?

 

Czy po tymczasowym dezaktywowaniu ochrony aktywnej ESETa są te same objawy?

[picasso]

Temat zostanie przeniesiony do działu Windows.

 

1. W systemie brak oznak infekcji. Jeśli chodzi o "winowajców":

 

W dniu 7.10.2021 o 20:06, grzesznik napisał:

Winowajca znaleziony przez  malwarrebytes :

PUP.Optional.Delta
PUP.Optional.Conduit

 

3 godziny temu, grzesznik napisał:

Adw -cleaner wykazał w jednym pliku obecność tego PUP. Optional . 

 

Nie podałeś raportów tych programów (dostarcz), ale po nazwie kodowej wątpliwe by miało to coś wspólnego z problemami w systemie, wygląda na jakieś resztki w przeglądarce.

 

2. Jeśli chodzi o błędy DCOM, to wyglądają na nagrane w Trybie awaryjnym (tu z obsługą Sieci). W takim trybie to norma i nie trzeba podejmować żadnych działań:

 

Dziennik System:
=============
Error: (10/08/2021 07:30:17 PM) (Source: DCOM) (EventID: 10005) (User: )
Description: Model DCOM odebrał błąd 1068 podczas próby uruchomienia usługi BITS z argumentami  w celu uruchomienia serwera:
{4991D34B-80A1-4291-83B6-3328366B9097}

Error: (10/08/2021 07:29:42 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Moduł wyliczający magistrali PnP-X IP zależy od usługi Host dostawcy odnajdowania funkcji, której nie można uruchomić z powodu następującego błędu: 
Uruchomienie usługi zależności lub grupy nie powiodło się.

Error: (10/08/2021 07:29:12 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: 
Uruchomienie usługi zależności lub grupy nie powiodło się.

 

Gdyby błędy występowały w Trybie normalnym, następujące działania byłyby zasadne:

 

W dniu 3.07.2021 o 13:37, picasso napisał:

Z klawiatury klawisz z flagą Windows + R, w polu Uruchom wklej dcomcnfg. Podczas uruchamiania przystawka wykonuje automatyczną reperację uszkodzonych klas DCOM. To może wystarczyć, ale są przypadki gdy trzeba naprawiać błędy dostępowe ręcznie w tej konsoli. Daj znać czy po uruchomieniu dcomcnfg nastąpiły jakieś zmiany.

 

 

3. Jeśli chodzi o wydajność systemu:

 

W dniu 7.10.2021 o 20:06, grzesznik napisał:

Po włączeniu Chrome miałem 15 sekund i komputer zaczął  mulić.  (...) Strasznie przycina przy oglądaniu youtuba czy jakiś filmów online. A  poprawnie wyłączam komputer to raz na 5 razy . Bo inaczej to może cie 3h sam wyłączać.  

 

Z raportów najbardziej inwazyjny program rzucający się w oczy to niestety ESET, co już zostało zasugerowane przez Krzesimierza.

 

W raportach są też ślady crackowania systemu:

 

==================== MSCONFIG/TASK MANAGER - Wyłączone elementy ==

MSCONFIG\startupreg: Chew7Hale => "C:\Windows\System32\hale.exe" /nolog

==================== Usługi (filtrowane) ===================

S3 sppuinotify; C:\Windows\system32\sppuinotify.dll [65536 2014-02-20] (Microsoft Corporation) [Brak podpisu cyfrowego]

 

Gdyby nie to, że Chew7Hale jest obecnie wyłączony z automatycznego startu via msconfig, byłby to podejrzany numer 1. Jeśli ten proces jest czynny, występuje ogromne zużycie zasobów, co tu na forum zostało udokumentowane wielokrotnie. To nie zmienia faktu, że jest tu ślad czegoś dodatkowego, bo sppuinotify powiązany z systemem aktywacji jest pozbawiony sygnatury. Tak więc, jakie obecnie cracki są tu w obrotach?

 

[grzesznik]

# Mode: Scan
# -------------------------------
# Start:    10-08-2021
***** [ Registry ] *****

PUP.Optional.Legacy             HKLM\Software\Hola

Więcej info nie pokazuje .
Po tamtym zeskanowaniu adw-cleanerem i kilku resetach na ostro. komputer i przeglądarka działa bez problemowo.

 Do pkt 3. Windowsa 7 mam od 2014 roku instalowany jeszcze na kluczy ze studiów, ale chyba się przedawnił i był instalowany jakiś windows loader ? 
 

W zasadzie to było tak. Komputer używałem w sierpniu i do października był nie włączany. Po odpaleniu działał normalnie . Wyskoczyła aktualizacja ESETa do nowej wersji. Po niej ESET chciał a nie mógł przeskanować pierwszy raz system. wiec go odinstalowałem i zainstalowałem od nowa. i było OK

 Więc teraz co . Mam kupić licencje na Windowsa i odinstalować ESETa ? 

 Teraz YT działa, ale pisząc ten post miałem dwie zwiechy . Ciężko odpowiedzieć czy nastąpiły jakieś zmiany po naprawie . W jednej chwili jest dobrze a za chwile wracamy do punktu wyjścia 


 

[picasso]

Zgodnie z podejrzeniem, "PUP.Optional.Legacy" to mała nieaktywna resztka i usunięcie tego z rejestru nie powinno mieć żadnych skutków pod kątem wydajności. Twoim problemem definitywnie nie jest infekcja.

 

Opisujesz problemy z pierwszą aktualizacją ESET oraz losowe występowanie problemów z wydajnością. Ja jednak sugeruję w pierwszej kolejności odinstalować ESET całkowicie, następnie dla pewności jeszcze przejechać przez ESET Uninstaller, i sprawdzić jak działa system przez dłuższy czas bez tego programu.

 

Co do legalności systemu, nie jest dla mnie jasne jaki loader był używany i czy rzeczywiście ma jakieś skutki. Ten martwy rekord Chew7Hale możemy usunąć w każdej chwili przy udziale FRST, ale to nie jest tu priorytetem. Najpierw sprawdź ESET.

[grzesznik]

Sprawa wygląda tak .
Usunąłem ESETa ,sytuacja bez zmian. Muli ,wiesza i nie dało się go wyłączyć . 
Miedzy czasie wyskoczył mi problem z brakiem pamięci (winowajca chrome) . Wcześniej już mi się to zdarzało, ale wtedy olałem sprawę. Przypomniałem sobie ,że tydzień temu po aktualizacji NORDVPN. Zaraz po uruchomieniu  komputera , wyskakiwał ten sam problem ale winowajcą był własnie NORDVPN , więc go usunąłem. 
Także dostałem olśnienia i zacząłem szukać o pamieć wirtualnej.
Zmieniłem rozmiar pamięci wirtualnej na dysku SSD na niestandardową 4500 MB. I koniec problemów . Nawet w menadżerze zadań  , użycie procesora jest stabilniejsze w okolicach 2-5-10 % jak pisze tego posta (działającym YT w tle). Tak to z 50 % miałem na starcie . Wiem , że ESET dużo zużywał procka i pamięci .  

Czekać jeszcze jak to się rozwinie ?. Kiedy mogę wrócić do ESETa  ?
Meczyk oglądałem na kompie , piękna sprawa :). Dzięki wszystkim