Prośba o sprawdzenie logów OTL
#1
Objawy zainfekowania:
System Operacyjny: Windows 7 32bit
Komputer się zawiesza, proces svchost.exe zużywa 70-90% zasobów procesora, w trybie awaryjnym problem ten nie występuje.

Wykonywane działania:
Komputer skanowany był przez Malwarebytes, Avast, Dr. Web CureIT, wszystkie zagrożenia zostały skasowane, zainstalowany antywirus to AVAST FREE.

Logi:
FRST.txt :

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt :

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL.txt :

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt :

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
Czy możesz zrobić jeszcze raz log FRST i napisz mi czy jak ci się otworzy ten log w notatniku,to czy widzisz tam pozycje bez ukośników np. pierwsza pozycja w procesach(AVAST Software) CTonguerogram FilesAVAST SoftwareAvastAvastSvc.exe

Oryginalnie powinno to wyglądać tak C:\Program Files\AVAST Software\Avast\AvastSvc.exe


Dodano: 21 lut 2014, 20:36

I w pierwszej kolejności po przez tryb awaryjny odinstaluj:

Aff Packages
Bonanza Deals
Complitly
Jump Flip
Lollipop
Mobogenie
Softonic for Windows
Torpedo
Odpowiedz
#3
Skasowałem te programy za wyjątkiem lolipop, gdyż nie da się go odinstalować tradycyjnie, znasz może jakiś sposób na odinstalowanie go? Co do logów to ukośniki musiały zaginąć podczas wrzucania plików na serwer użyje tym razem innego serwisu, oto logi:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]


Problem nie został jeszcze rozwiązany.
Odpowiedz
#4
Uruchom jeszcze raz FRST odznacz wszystko i zaznacz dodatkowo Addition.txt kliknij scan i wrzuć na forum.
Odpowiedz
#5
FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
Pierwsze co to zobacz Dr.WEB-CureIt (12976) .exe skąd pobrane ?
Śmieciarski Asystent Pobierania ,który ładuje do systemu różneadware .

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKLM\...\Run: [TaskTray] - [X]
Startup: C:\Users\Komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Torpedo.lnk
ShortcutTarget: Torpedo.lnk -> C:\Users\Komp\AppData\Local\Torpedo\Torpedo.exe (No File)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = aboutblank
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://pl.v9.com/?utm_source=b&utm_medium=bnd
SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=pcmega1&chnl=pcmega1&cd=2XzutAtN2Y1L1QzutDtDtC0ByByB0ByE0B0Ezy0ByE0B0FtDtN0D0TzutBtDtCtBtDyCtByD&cr=643725396
SearchScopes: HKLM - Backup.Old.DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
SearchScopes: HKLM - {593B38E1-3D19-29B4-12EA-2E9DAC0F2C99} URL = http://dts.search-results.com/sr?src=ieb&appid=363&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=pcmega1&chnl=pcmega1&cd=2XzutAtN2Y1L1QzutDtDtC0ByByB0ByE0B0Ezy0ByE0B0FtDtN0D0TzutBtDtCtBtDyCtByD&cr=643725396
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392
SearchScopes: HKCU - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL =
BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Ben\AppData\Roaming\Complitly\Complitly.dll No File
BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~1\Funmoods\1.5.23.22\bh\escort.dll No File
Toolbar: HKLM - Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~1\Funmoods\1.5.23.22\escorTlbr.dll No File
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Ben\AppData\Local\funmoods-speeddial.crx [2014-02-16]
CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2014-02-16]
CHR HKLM\...\Chrome\Extension: [fdloijijlkoblmigdofommgnheckmaki] - C:\Users\Ben\AppData\Local\funmoods.crx [2014-02-16]
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - C:\Program Files\Perion\NewTab\newTab.crx [2013-01-12]
CHR HKLM\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\Ben\AppData\Local\Temp\ccex.crx [2013-01-12]
CHR HKLM\...\Chrome\Extension: [niogeckbkdcabhnapjbkeiklablhjoca] - C:\Program Files\Perion\ChromeInfoBar\ChromeInfoBar.crx [2013-01-12]
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
C:\Users\Komp\AppData\Local\{C92CAB5E-6D4B-4A74-A9A2-F17864439328}
C:\Users\Komp\AppData\Local\BIT1E6C.tmp
C:\Users\Komp\AppData\Local\Torpedo
C:\Users\Komp\Downloads\Torpedo
C:\Users\Komp\Downloads\TorpedoSetup.exe
C:\Users\Komp\AppData\Local\Lollipop
C:\Users\Komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk
C:\Users\Komp\Downloads\SoftonicDownloader_dla_facebook-messenger-dla-windows.exe
C:\Program Files\BonanzaDeals
C:\Users\Komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
C:\Users\Komp\AppData\Local\Mobogenie
C:\Users\Komp\AppData\Local\Temp\banner.exe
C:\Users\Komp\AppData\Local\Temp\LollipopInstaller_notifications.exe
C:\Users\Komp\AppData\Local\Temp\Softonic_PL_1-5-7.exe
Task: {5FA87D50-9913-45CB-BD56-B96FAD76020A} - System32\Tasks\{9AC2F0C4-DF71-4D42-B7E6-C41AE0D106D8} => Chrome.exe http://ui.skype.com/ui/0/5.10.0.116/pl/go/help.faq.installer?LastError=1603
Task: {62152E9E-1B03-45D0-A600-CD1B059C22A5} - System32\Tasks\{CDCECE44-BD8C-4387-A78E-AC5E9A4EC2BE} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/go/help.faq.installer?LastError=112
Task: {79A83950-A8B7-4E5B-83D5-793CA98FD679} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2415683838-2490858174-3845043036-1188Core => C:\Users\Komp\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-01-30] (Facebook Inc.)
Task: {8CE811AA-9280-4B37-8F43-CFD8E30C20A9} - System32\Tasks\{3D9D1DA4-D557-4BA8-9039-3D49B8F2BF4F} => Chrome.exe http://ui.skype.com/ui/0/5.9.0.115/pl/go/help.faq.installer?LastError=1603
Task: {9200C2EC-EF21-444C-8374-FB4FCCF26AF6} - System32\Tasks\{EEE48AD4-3BF5-4E86-8558-F42DFFD799D0} => Chrome.exe http://ui.skype.com/ui/0/5.10.0.114/pl/go/help.faq.installer?LastError=1603
Task: {A8097D4D-A960-4276-9665-E75CE396BDC7} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe <==== ATTENTION
Task: {BF2DD1D4-D8BB-49F7-BB27-37CE21AC4035} - System32\Tasks\{AF79ADC6-32CC-4996-B02D-1B8299632F6E} => Chrome.exe http://ui.skype.com/ui/0/5.10.0.114/pl/go/help.faq.installer?LastError=1603
Task: {CDE736C7-1B53-433C-A215-EBCA9F5CA2C5} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe <==== ATTENTION
Task: {F32B5EE0-C19E-4CCD-9651-FC736717F0C7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2415683838-2490858174-3845043036-1188UA => C:\Users\Komp\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-01-30] (Facebook Inc.)
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe <==== ATTENTION
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe <==== ATTENTION
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2415683838-2490858174-3845043036-1188Core.job => C:\Users\Komp\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2415683838-2490858174-3845043036-1188UA.job => C:\Users\Komp\AppData\Local\Facebook\Update\FacebookUpdate.exe


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

W Google Chrome pasku adresu wpisz chrome//settings/,następnie na dole klik pokaż ustawienia zaawansowane,zjedź ponownie na sam dół i klik zresetuj ustawienia przeglądarki.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport
Odpowiedz
#7
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

Raport z ADW:

[Aby zobaczyć linki, zarejestruj się tutaj]


Problem nadal występuje, zamieszczam logi po wykonaniu tych operacji
FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]


Dodam jeszcze że proces svchost.exe pojawia się kilkukrotnie w menedżerze zadań a konkretnie 11x.

PS. Problem ze zużyciem procesora ustępuje samoczynnie po kilkunastu minutach od włączenia komputera. Wejście w tryb uśpienia lub ponowne uruchomienie znów powodują że svchost.exe zużywa 80-90% procesora.
Odpowiedz
#8
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
(Facebook) C:\Users\Komp\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe
SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -No File
HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\system32\blank.htm
SearchScopes: HKLM - DefaultScope value is missing.
C:\Users\Komp\AppData\Local\cache
C:\Users\Komp\AppData\Local\BITC487.tmp
C:\Users\Komp\AppData\Local\{D3A0594E-B495-426D-AC8A-8273535D7C4D}
C:\Users\Komp\Downloads\Dr.WEB-CureIt(12976).exe
Task: {00A50B62-5EBA-454A-BF55-5029E9DEDB5E} - System32\Tasks\{CD2D4D5A-EAFD-49F2-95BE-6EA51758841E} => Chrome.exe http://ui.skype.com/ui/0/5.10.0.116/pl/go/help.faq.installer?LastError=1603
Task: {5FBB6185-7626-41E0-B89A-977BF5AE3E41} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: {61E7267B-607E-47AF-8F66-6D40FD91C21D} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2415683838-2490858174-3845043036-1000UA => C:\Users\Ben\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {78870B66-B9B8-4754-899F-9405F9CFFDB8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2415683838-2490858174-3845043036-1000Core => C:\Users\Ben\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {F0611E27-1A31-405A-BF46-37CBB329023D} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2415683838-2490858174-3845043036-1000Core.job => C:\Users\Ben\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2415683838-2490858174-3845043036-1000UA.job => C:\Users\Ben\AppData\Local\Google\Update\GoogleUpdate.exe
CMD: netsh advfirewall reset


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Facebook Messenger 2.1.4814.0
I na chwile obecną Avasta

Pobierz:

Dodatek Service Pack 1i zaktualizuj system

[Aby zobaczyć linki, zarejestruj się tutaj]


Co do svchost są to zwyczajne procesy tego systemu.

Napisz jakie są reakcje.
Odpowiedz
#9
Problem został rozwiązany, dziś niestety nie mam możliwości pobrania aktualizacji (internet pakietowy) zamieszczam fixlog oraz nowe logi poniżej, dzięki za pomoc.
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]


Jeszcze raz dzięki za pomoc.
Odpowiedz
#10
Wklej na stronę jeszcze raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Odpowiedz
#11
Oto log:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dzięki za pomoc.
Odpowiedz
#12
Results of screen317''s Security Check version 0.99.79
Windows 7x86 (UAC is disabled!)

[Aby zobaczyć linki, zarejestruj się tutaj]


``````````````Antivirus/Firewall Check:``````````````
avast! Antivirus
Antivirus out of date! (On Access scanning disabled !)
`````````Anti-malware/Other Utilities Check:`````````
Adobe Flash Player 12.0.0.70
Adobe Reader 10.1.7 Adobe Reader out of Date!
Mozilla Firefox (4.0b1) Firefox out of Date!
Google Chrome 5.0.375.55
````````Process Check: objlist.exe by Laurent````````
AVAST Software Avast AvastSvc.exe
AVAST Software Avast AvastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Zaktualizuj to co na czerwono wraz z Google Chrome.

W adwcleaner klik odinstaluj.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości