agent.exe plus reszta moich błędów

[oczarek]

Witam.

Kilka dni temu, pojawił się problem z procesem agent.exe.

Uruchamiał się niespodziewanie, zużywa całą wydajność procesora, uruchomienie jakiejkolwiek innej aplikacji graniczy z cudem.

Po przejrzeniu kilku for dyskusyjnych, natrafiłem na informację że często pojawia się wraz z programem Immunet 3.0.

Oczywiście dodatkowe informacje, że lekiem na uzdrowienie systemu będzie program ComboFix.

Zaryzykowałem użycie owego programu.

Nie wkleję loga z tego skanowania, gdyż program nie zdążył wygenerować raportu z powodu zamknięcia krytycznego systemu z nazwą BAD_POOL_HEADER (niebieski ekran)

Również nie wkleję raportu z obowiązkowego programu GMER, gdyż po uruchomieniu go, efekt był taki sam - zamknięcie systemu z informacją BAD_POOL_HEADER (niebieski ekran)

Nadmieniam, że program Immunet 3.0 został usunięty z systemu (nie mam pewności, co do skuteczności)

Bardzo proszę o zweryfikowanie, czy problem z procesem agent.exe będzie się powtarzał (o ile jest to możliwe), czy po użyciu ComboFix, istnieje ryzyko niestabilności systemu, oraz czy nie powstały lub czy istnieją dodatkowe (inne) zagrożenia.

Z góry dziękuję za poświęcony czas.

Extras.Txt

OTL.Txt

RootRepeal.txt

[picasso]

Brak podstaw do wyszukiwania infekcji i temat przenoszę. Dodatkowe uwagi:

 

1.

O2 - BHO: (MyPlayCity Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (MyPlayCity Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-1123561945-261478967-725345543-1004\..\Toolbar\WebBrowser: (MyPlayCity Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
[2011-09-12 14:09:58 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Rafał\Ustawienia lokalne\Dane aplikacji\AskToolbar
[2011-08-22 18:08:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Rafał\Dane aplikacji\OpenCandy

Dodatki reklamodawcze Ask Toolbar (nie widzę jednak deinstalatora...) i OpenCandy. Zastosuj AD-Remover z opcji Clean i pokaż raport.

 

2.

File not found -- C:\Documents and Settings\Rafał\Pulpit\*upa słonia

Wygwiazdkowane, bo nie przejdzie przez filtr wulgaryzmów działający na forum. Ten plik jest nieusuwalny przez Windows, system nie widzi go ze względu na wadę nazwy. Plikowi da radę Delete FXP Files.

 

3.

SRV - File not found [Auto | Stopped] --  -- (avast! Firewall)
DRV - [2011-09-06 22:38:54 | 000,111,320 | ---- | M] (AVAST Software) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\aswFW.sys -- (aswFW)
[2011-09-11 07:03:30 | 000,111,320 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswFW.sys
[2011-09-11 07:02:18 | 000,195,416 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswNdis2.sys

Te obiekty wskazują na pobyt wersji komercyjnej Avast Pro (z zaporą), a na liście zainstalowanych widzę z kolei "avast! Free Antivirus". Objaśnij czy tu była wykonywana jakaś zamiana wersji i jaka wersja ma być aktualnie w systemie (na spisie OTL extras nie można polegać w 100%).

 

4. Ten NETGate Spy Emergency = jakoś zupełnie nie mam zaufania do tego wyrobu, a poza tym tu za dużo się już dzieje (Avast). Sugeruję deinstalację ...

 

 

Nie wkleję loga z tego skanowania, gdyż program nie zdążył wygenerować raportu z powodu zamknięcia krytycznego systemu z nazwą BAD_POOL_HEADER (niebieski ekran)

Również nie wkleję raportu z obowiązkowego programu GMER, gdyż po uruchomieniu go, efekt był taki sam - zamknięcie systemu z informacją BAD_POOL_HEADER (niebieski ekran)

 

Nie przygotowałeś systemu wcale, by móc uruchomić te narzędzia. W systemie działa ofensywny sterownik emulacji napędów wirtualnych SPTD:

 

DRV - [2011-08-08 18:13:21 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

W opisie GMER jest to zamalowane w ostrzeżeniu, które kieruje do ogólnego ważnego ogłoszenia: KLIK.

 

 

Nadmieniam, że program Immunet 3.0 został usunięty z systemu (nie mam pewności, co do skuteczności)

 

Dokasuj ten folder z dysku: C:\Documents and Settings\Rafał\Dane aplikacji\Immunet.

 

 

Bardzo proszę o zweryfikowanie, czy problem z procesem agent.exe będzie się powtarzał (o ile jest to możliwe), czy po użyciu ComboFix, istnieje ryzyko niestabilności systemu, oraz czy nie powstały lub czy istnieją dodatkowe (inne) zagrożenia.

 

W OTL nie ma nic o nazwie "agent.exe" (najbliżej tego jest C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe). A co do ComboFix to jest niewiadome co się stało. Tego narzędzia się po prostu nie używa w domu przy pierwszym lepszym problemie, narzędzie służy tylko i wyłącznie do usuwania specyficznych infekcji i muszą być dowody, że jest zielone światło dla programu i ma się czym zajmować (czyli: najpierw sprawdzenie systemu za pomocą nieingerencyjnych logów). Narzędzie teraz należy prawidłowo odinstalować. Start > Uruchom > wklej komendę: "pełna ścieżka do ComboFix.exe" /uninstall

 

 

 

 

.

[oczarek]

1. Raport z AD-Remover

 

Ad-Report-CLEAN1.txt

 

2. Zostanie wykonany.

 

3. Początkowo był zainstalowany "avast! Free Antivirus". Następnie pojawiła się 15-to dniowa darmowa, próbna wersja. Po tym czasie antywirus "wrócił" do wersji "Free" i tak ma pozostać.

 

4. NETGate Spy Emergency - odinstalowano zgodnie z sugestią.

 

Ofensywny sterownik emulacji napędów wirtualnych SPTD został również odinstalowany.

 

"Dokasuj ten folder z dysku: C:\Documents and Settings\Rafał\Dane aplikacji\Immunet." - zrobione.

 

Wskazanie właściwej ścieżki do programu ComboFix, nie daje rezultatu. Windows "twierdzi", że nie może odnaleźć folderu. Będę jeszcze nad tym pracował.

 

Jest jeszcze jeden problem.

Nie mogę pozbyć się z systemu programu Soluto.

Kiedyś był to aktywny program. W tej chwili pojawia sie tylko ikona w zasobniku i jest niemożliwy do usunięcia z systemu.

 

Dziękuję za poświęcony czas.

[picasso]

AD-Remover usunął Ask Toolbar i OpenCandy. Możesz go już odinstalować z systemu.

 

 

Ofensywny sterownik emulacji napędów wirtualnych SPTD został również odinstalowany.

 

To jest tylko ważne do uruchamiania GMER / ComboFix. Po usunięciu tego sterownika teraz nie będzie działał program nim się posługujący.

 

 

Wskazanie właściwej ścieżki do programu ComboFix, nie daje rezultatu. Windows "twierdzi", że nie może odnaleźć folderu. Będę jeszcze nad tym pracował.

 

Podaj gdzie leży plik ComboFix.

 

 

Jest jeszcze jeden problem.

Nie mogę pozbyć się z systemu programu Soluto.

Kiedyś był to aktywny program. W tej chwili pojawia sie tylko ikona w zasobniku i jest niemożliwy do usunięcia z systemu.

 

Soluto startuje via Userinit oraz jako usługa:

 

SRV - [2011-05-19 20:59:48 | 000,375,328 | ---- | M] (Soluto) [Auto | Running] -- C:\Program Files\Soluto\SolutoService.exe -- (SolutoService)
O20 - HKLM Winlogon: UserInit - (C:\Program Files\Soluto\soluto.exe /userinit) -C:\Program Files\Soluto\soluto.exe (Soluto)

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
PRC - [2011-05-19 20:59:48 | 000,375,328 | ---- | M] (Soluto) -- C:\Program Files\Soluto\SolutoService.exe
PRC - [2011-05-19 20:59:46 | 001,712,672 | ---- | M] (Soluto) -- C:\Program Files\Soluto\Soluto.exe
SRV - [2011-05-19 20:59:48 | 000,375,328 | ---- | M] (Soluto) [Auto | Running] -- C:\Program Files\Soluto\SolutoService.exe -- (SolutoService)
O20 - HKLM Winlogon: UserInit - (C:\Program Files\Soluto\soluto.exe /userinit) -C:\Program Files\Soluto\soluto.exe (Soluto)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Soluto\Soluto.exe"=-
"C:\Program Files\Soluto\SolutoService.exe"=-
"C:\Program Files\Soluto\SolutoConsole.exe"=-
"C:\Program Files\Soluto\SolutoUpdateService.exe"=-
 
:Files
rd /s /q "C:\Program Files\Soluto" /C
rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\Soluto" /C
rd /s /q "C:\Documents and Settings\Rafał\Dane aplikacji\Soluto" /C

Klik w Wykonaj skrypt.

 

 

 

.

[oczarek]

Podaj gdzie leży plik ComboFix.

 

Podawałem dokładnie... System twierdzi, że nie może znaleźć określonej lokalizacji. Będę próbował.

 

To jest tylko ważne do uruchamiania GMER / ComboFix. Po usunięciu tego sterownika teraz nie będzie działał program nim się posługujący.

 

Program jest również odinstalowany. Potrzebny był mi kiedyś jednorazowo i do tej pory "leżał" w systemie.

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

Załatwione.

 

Dziękuję za profesjonalną pomoc oraz za poświęcony czas.

 

Pozdrawiam.

[picasso]

Podawałem dokładnie... System twierdzi, że nie może znaleźć określonej lokalizacji. Będę próbował.

 

Ale ja Cię nie instruuję, ja Cię pytam: gdzie jest ComboFix.exe. Tzn. masz mi tu napisać w poście ścieżkę dostępu, którą podajesz, bym mogła ocenić prawidłowość komendy.

 

 

 

.

[oczarek]

Ale ja Cię nie instruuję, ja Cię pytam: gdzie jest ComboFix.exe.

 

Przepraszam, źle zrozumiałem.

 

Jedyną lokalizację, którą podaje mi wyszukiwanie systemowe to :

 

C:\Documents and Settings\Rafał\Moje dokumenty\Pobieranie

[picasso]

Jak mówiłam:

 

 

Start > Uruchom > wklej komendę: "pełna ścieżka do ComboFix.exe" /uninstall

 

To teraz zadam pytanie, czy w Uruchom wklejasz dokładnie taką komendę:

 

"C:\Documents and Settings\Rafał\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall

 

Włącznie z ujęciem przez cudzysłów, gdyż ścieżka ma spacje.

 

.

[oczarek]

"C:\Documents and Settings\Rafał\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall

 

Włącznie z ujęciem przez cudzysłów, gdyż ścieżka ma spacje.

 

Wszystko było właściwie, oprócz spacji...

 

ComboFix został pomyślnie odinstalowany

 

Dziękuję...

Edytowane 10 Października 2011 przez picasso
Temat wygląda na rozwiązany. Zamykam. //picasso