Skoki pingu, rozłączający się internet-LOGI

Post09 maja 2014, 11:27

Witam, proszę o sprawdzenie logów, internet rozłącza się momentami co minutę, a czasami nie rozłącza przez dwie godziny. Ping w grach z 30 skacze do 300-400, następnie albo spada albo rośnie do 1000.
Internet to radiówka, nie mam możliwości zmiany tego badziewia. Zamieszczam logi i proszę o pomoc :sciana:

Dostępne tylko dla zarejestrowanych użytkowników Combofix
Dostępne tylko dla zarejestrowanych użytkowników OTL

Post09 maja 2014, 11:40

Obydwa logi wklej na Dostępne tylko dla zarejestrowanych użytkowników

Post09 maja 2014, 11:49

Podasz jakąś inną stronę?
Wpisuję tę captchę i nic się nie dzieje, bez sensu.

Post09 maja 2014, 11:50

Dostępne tylko dla zarejestrowanych użytkowników

Post09 maja 2014, 11:53

Dostępne tylko dla zarejestrowanych użytkowników otl
Dostępne tylko dla zarejestrowanych użytkowników combo

Post09 maja 2014, 11:57

c:\windows\System32\winver.exe . . . jest zainfekowany!!
.
c:\windows\SysWOW64\winver.exe . . . jest zainfekowany!!

Najpierw zajmiemy się tym - wg. ComboFixa plik który pokazuje informacje na temat systemu jest zainfekowany.

Uruchom Dostępne tylko dla zarejestrowanych użytkowników i do okna wklej:

:filefind
winver.exe

:file
c:\windows\System32\winver.exe
c:\windows\SysWOW64\winver.exe

Klik w Look i przedstaw wynikowy raport.

Post09 maja 2014, 12:02

Proszę
Dostępne tylko dla zarejestrowanych użytkowników

Post09 maja 2014, 12:38

Sprawdzimy te pliki.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendy:

sfc /scanfile=c:\windows\System32\winver.exe
sfc /scanfile=c:\windows\SysWOW64\winver.exe

Zresetuj system.

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

Otworzy się log (lecz nie musi), który zachowaj i pokaż na forum.

Post09 maja 2014, 12:58

Zrobione.
Dostępne tylko dla zarejestrowanych użytkowników

Post09 maja 2014, 13:29

Czyli ComboFix miał rację te pliki były uszkodzone / zainfekowane ale wszystko zostało pomyślnie naprawione.

Teraz zajmujemy się logami.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
FF - prefs.js..browser.search.defaulturl: "http://websearch.simplesearches.info/?pid=512&r=2013/08/19&hid=79086782&lg=EN&cc=PL&unqvl=31&l=1&q="
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=449022304F4E07B1&affID=128236&tsp=5216
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&pid=512&r=2013/08/19&hid=79086782&lg=EN&cc=PL&unqvl=31
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
DRV:64bit: - [2014-04-28 10:23:34 | 000,061,112 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys -- ({9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64)

:Files
C:\Users\Administrator\AppData\Roaming\mozilla\firefox\profiles\pp9xb7lx.default\searchplugins\WebSearch.xml
C:\Users\Administrator\AppData\Roaming\mozilla\firefox\profiles\pp9xb7lx.default\searchplugins\buenosearch.xml
C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\pp9xb7lx.default\extensions\ffxtlbr@buenosearch.com
C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690}
C:\ProgramData\{E1ED556E-3EA0-4F44-8BE7-CC5FB0F4B424}
C:\Users\Administrator\AppData\Local\70149b02515b3bb20dd492.47983420
C:\Windows\tasks\*.job
C:\Users\Administrator\AppData\Local\LumaEmu

:Commands
[emptyflash]
[emptyjava]
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera.

2. Odinstaluj AVG Secure Search. Pozbądź się też IOBit: Advanced SystemCare 7 .
Firma IOBit budzi zastrzeżenia (adware w instalatorach, podejrzane praktyki, w przeszłości kradzież bazy danych MBAM).

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[S1].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wykonaj nowe logi z OTL. Raporty z FRST też wykonaj i mi pokaż.

.

Post09 maja 2014, 14:01

Adw raport Dostępne tylko dla zarejestrowanych użytkowników

JRT raport Dostępne tylko dla zarejestrowanych użytkowników

OTL raport Dostępne tylko dla zarejestrowanych użytkowników

FRST raport Dostępne tylko dla zarejestrowanych użytkowników
FRST addition Dostępne tylko dla zarejestrowanych użytkowników

Post09 maja 2014, 14:14

Coś jest też nie tak z dwoma plikami.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendy:

sfc /scanfile=C:\Windows\System32\winlogon.exe
sfc /scanfile=C:\Windows\System32\User32.dll

Zresetuj system.

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

Otworzy się log (lecz nie musi), który zachowaj i pokaż na forum.

Post09 maja 2014, 14:27

Dostępne tylko dla zarejestrowanych użytkowników

Dodam że po restarcie podczas logowania do pulpitu i napisu zapraszamy wyskoczył błąd w stylu "nie można poprawnie uruchomić komputera z powodu błędu pleasewait.exe." Komputer zrestartował się ponownie i błąd już się nie pojawił.
Coś mu dolega, ewidentnie. Mam nadzieję że to przez to internet jest jaki jest, jeśli problem naprawimy a internet dalej będzie szwankował to się zdenerwuję. :think:

Post09 maja 2014, 14:37

Coś mu dolega. Musimy przeprowadzić czyszczenie.

1. Otwórz notatnik i wklej:

S1 avgtp; \??\C:\Windows\system32\drivers\avgtpx64.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S4 NVHDA; system32\drivers\nvhda64v.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S3 RivaTuner64; No ImagePath
S3 gaittcqh; No ImagePath
S3 ATICDSDr; No ImagePath
S4 vToolbarUpdater15.4.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.4.0\ToolbarUpdater.exe [X]
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2154304 2014-03-31] (IObit)
CHR Extension: (Advanced SystemCare Surfing Protection) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbmegnmpleoagolcnjnejdacakedpcgd [2014-05-08]
FF Extension: BonanzaDeals - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\pp9xb7lx.default\Extensions\{f9d03c26-0575-497e-821d-f7956d23e0ca}.xpi [2013-12-19]
FF Extension: Advanced SystemCare Surfing Protection - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\pp9xb7lx.default\Extensions\ascsurfingprotection@iobit.com [2014-05-08]
FF Extension: DoowNload. keEpeR - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\pp9xb7lx.default\Extensions\ouinasr@odueiibsua.org [2013-10-13]
FF Extension: webget - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\pp9xb7lx.default\Extensions\{9edd0ea8-2819-47c2-8320-b007d5996f8a}.xpi [2014-05-07]
BHO-x32: Advanced SystemCare Browser Protection - {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} - C:\Program Files (x86)\IObit\Surfing Protection\BrowerProtect\ASCPlugin_Protection.dll (IObit)
SearchScopes: HKLM - DefaultScope value is missing.
C:\Windows\SysWOW64\sqlite3.dll
C:\Program Files (x86)\IObit
C:\Program Files (x86)\Common Files\AVG Secure Search
C:\Windows\Tasks\ImCleanDisabled
C:\Windows\Tasks\GlaryInitialize 4.job
C:\Users\Default\AppData\Roaming\IObit
C:\Users\Default User\AppData\Roaming\IObit
C:\Users\Administrator\AppData\Roaming\ProductData
C:\Windows\System32\Tasks\{0DE9DF92-83D7-4ADD-8FAD-6CDB46FB4E70}
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
Task: {86D5221F-E3E4-479D-A089-BD5AE6BA5B4E} - \YourFile DownloaderUpdate No Task File <==== ATTENTION
Task: {A018C866-55AD-4F39-9D16-08E16E869815} - \SidebarExecute No Task File <==== ATTENTION
Task: {DBED6089-B248-4BA7-9494-8A2151C58F4D} - \Program aktualizacji online firmy Adobe. No Task File <==== ATTENTION
MSCONFIG\startupfolder: C:^Users^Administrator^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif => C:\Windows\pss\Empty.pif.Startup
MSCONFIG\startupreg: AdobeUpdate => wscript "C:\Users\Administrator\AppData\Roaming\AdobeX2\invis.vbs" "C:\Users\Administrator\AppData\Roaming\AdobeX2\bat.bat"
MSCONFIG\startupreg: Bron-Spizaetus => "C:\Windows\ShellNew\bronstab.exe"
MSCONFIG\startupreg: Tok-Cirrhatus => "C:\Users\Administrator\AppData\Local\smss.exe"
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Uruchom Dostępne tylko dla zarejestrowanych użytkowników i do okna wklej:

:filefind
user32.dll

:file
C:\Windows\System32\User32.dll

Klik w Look i przedstaw wynikowy raport.

3. Wykonaj nowe logi z FRST.

Post09 maja 2014, 14:58

SystemLook 30.07.11 by jpshortstuff
Log created at 14:46 on 09/05/2014 by Administrator
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== filefind ==========

Searching for "user32.dll"
C:\Windows\System32\user32.dll --a---- 833024 bytes [23:24 13/07/2009] [20:08 19/11/2010] 5E0DB2D8B2750543CD2EBB9EA8E6CDD3
C:\Windows\SysWOW64\user32.dll --a---- 833024 bytes [23:24 13/07/2009] [20:08 19/11/2010] 5E0DB2D8B2750543CD2EBB9EA8E6CDD3
C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_292d5de8870d85d9\user32.dll --a---- 1008640 bytes [23:38 13/07/2009] [01:41 14/07/2009] 72D7B3EA16946E8F0CF7458150031CC6
C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_3382083abb6e47d4\user32.dll --a---- 833024 bytes [23:24 13/07/2009] [01:11 14/07/2009] E8B0FFC209E504CB7E79FC24E6C085F0
C:\Windows Activation Technologies\data\SysWOW64T\user32.dll --a---- 833024 bytes [08:28 19/07/2013] [20:08 19/11/2010] 5E0DB2D8B2750543CD2EBB9EA8E6CDD3
C:\Windows Activation Technologies\data\x64T\user32.dll --a---- 1008640 bytes [08:28 19/07/2013] [00:01 16/01/2011] 0B864E15A0BADFF0E7BB8B59009FDDCF
C:\Windows Activation Technologies\data\x86T\user32.dll --a---- 812032 bytes [08:28 19/07/2013] [20:21 19/11/2010] CF97D64D7EC169C53C93B0A192218B29

========== file ==========

C:\Windows\System32\User32.dll - File found and opened.
MD5: 5E0DB2D8B2750543CD2EBB9EA8E6CDD3
Created at 23:24 on 13/07/2009
Modified at 20:08 on 19/11/2010
Size: 833024 bytes
Attributes: --a----
FileDescription: Współużytkowana biblioteka DLL klienta Windows USER API
FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
ProductVersion: 6.1.7600.16385
OriginalFilename: user32
InternalName: user32
ProductName: System operacyjny Microsoft® Windows®
CompanyName: Microsoft Corporation
LegalCopyright: © Microsoft Corporation. Wszelkie prawa zastrzeżone.

-= EOF =-

-- 09 maja 2014, 14:50 --

Dostępne tylko dla zarejestrowanych użytkowników FRST

-- 09 maja 2014, 14:58 --

Dostępne tylko dla zarejestrowanych użytkowników
W ogóle to nie wiem dlaczego ale od dłuższego czasu mam ten żółty trójkąt i dwie kreski zasięgu. Dramat.