Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Strasznie spowolniony internet - wirus?

dawox99 20 Lip 2015 12:39 1215 24
  • #1 20 Lip 2015 12:39
    dawox99
    Poziom 13  

    Od wczoraj mam dziwne problemy z internetem. Nagle zaczął po prostu wolno chodzić. Speed testy (firmy od której mam internet i inne "niezależne") pokazują że wszystko jest dobrze. W grach ping mi dziwnie skacze, przeglądarka bardzo wolno chodzi i nie mam pojęcia czy to wirus czy znowu dostawca robi mnie w bambuko (raz już coś przekręcili i tak było) Myślę że to dostawca bo telewizja też ostatnio źle chodzi ale lepiej sprawdzić wszystkie możliwości. Załączam logi z FRST

    Mam jeszcze jakiś TrustedInstaller.exe - to jest normalny proces czy coś z wirusa?

    0 24
  • CControls
  • #2 20 Lip 2015 13:30
    yogi009
    Poziom 42  
  • #3 20 Lip 2015 13:39
    dawox99
    Poziom 13  

    Czyli TrustedInstaller.exe to normalny plik - to dobrze :) A co do internetu to mam dziwne przeczucie że to jednak może być od dostawcy bo jak już pisałem raz tak było (porty się poprzestawiały i internet zaczął wariować) bo na telefonie też strony internetowe od tego samego czasu co na komputerze dziwnie wolno chodzą.

    0
  • #4 20 Lip 2015 13:46
    Domino_2
    Pomocny dla użytkowników

    Odinstaluj Steel Cut.

    Cytat:

    AppInit_DLLs-x32: 婢￿Ȅ晗䙰 => "婢￿Ȅ晗䙰" File not found
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hppp&ts=1...=cor&uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hppp&ts=1...=cor&uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts...p;uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts...p;uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hppp&ts=1...=cor&uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hppp&ts=1...=cor&uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts...p;uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts...p;uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT&q={searchTerms}




    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=dspp&...p;uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT&q={searchTerms}
    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hppp&ts=1...=cor&uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT
    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hppp&ts=1...=cor&uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT
    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=dspp&...p;uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT&q={searchTerms}
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-3559456517-4106935406-2843248182-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.sweet-page.com/web/?utm_source=b&a...6ZT&ts=1432412941&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3559456517-4106935406-2843248182-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=dspp&...p;uid=ST3500413AS_9VMYB6ZTXXXX9VMYB6ZT&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3559456517-4106935406-2843248182-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.sweet-page.com/web/?utm_source=b&a...6ZT&ts=1432412941&type=default&q={searchTerms}
    FF Plugin: @microsoft.com/GENUINE -> disabled No File
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
    FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
    FF Plugin HKU\S-1-5-21-3559456517-4106935406-2843248182-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
    U3 ab0k4koh; C:\Windows\System32\Drivers\ab0k4koh.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder)
    R3 ALSysIO; \??\C:\Users\x\AppData\Local\Temp\ALSysIO64.sys [X]
    Empty Temp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe, odpal go jako administrator i kliknij Fix.

    0
  • #5 20 Lip 2015 13:46
    yogi009
    Poziom 42  
  • #6 20 Lip 2015 14:01
    Domino_2
    Pomocny dla użytkowników

    Dodatkowo przeskanuj komputer programem ADWCleaner i MBAM.

    0
  • CControls
  • #7 20 Lip 2015 16:29
    dawox99
    Poziom 13  

    Zrobiłem naprawę FRST i daje logi:

    //Edit: Zmiana DNS'ów też nie pomogła.. Podziałało 4 minuty jak należy i znowu zaczęło świrować - na DNS'ach Google jak i na automacie...

    //Edit x2: Zrobiłem twardy reset i chodzi.. zobaczymy czy to na stałe czy zaraz znowu padnie.

    0
  • #8 20 Lip 2015 17:49
    Acorus 20
    Spec od komputerów

    Masz zainfekowany router, zacznij od wykonania:
    https://www.elektroda.pl/rtvforum/viewtopic.php?t=2874173
    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {16663020-6FB1-461C-BED6-8C3142AA052A} - System32\Tasks\{0DF2BF17-47C3-4F66-8182-39203CDDA1FB} => Firefox.exe http://ui.skype.com/ui/0/7.3.0.101/pl/abandoninstall?page=tsMain
    Task: {BB9031F6-886B-4FA2-B6B2-B650A7AE987B} - System32\Tasks\{ABDEDCDC-5843-4845-AF9E-52D16898EEA9} => Firefox.exe http://ui.skype.com/ui/0/7.4.0.102.259/pl/abandoninstall?page=tsMain
    Task: {FEC10F6B-E97D-42BB-AEDA-89D8FA62A7E5} - System32\Tasks\{1324BF8B-5EE3-40CE-AA04-7702B73ED564} => Firefox.exe http://ui.skype.com/ui/0/7.4.0.102/pl/abandoninstall?page=tsMain
    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\...\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] => C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe [1828136 2008-02-28] (Nero AG)
    AppInit_DLLs-x32: 婢￿Ȅ晗䙰 => "婢￿Ȅ晗䙰" File not found
    FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\b0qzt6lp.default-1424346830271\extensions\sweetsearch@gmail.com
    CHR Extension: (Bookmark Manager) - C:\Users\x\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-26]
    U3 a0sn3r5j; C:\Windows\System32\Drivers\a0sn3r5j.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder)


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    0
  • #9 20 Lip 2015 18:17
    dawox99
    Poziom 13  

    Niby twardy restart pomógł ale zrobię to co mówisz. MBAM skanuje już.

    //Edit Co jeśli się pośpieszyłem i dałem ten okres próbny?

    0
  • #10 20 Lip 2015 18:22
    Acorus 20
    Spec od komputerów

    Możesz później odinstalować.

    0
  • #11 21 Lip 2015 09:35
    dawox99
    Poziom 13  

    Dobra MBAM jest w połowie skanowania plików i już wykrył jakiegoś syfa - kolejność MBAM i FRST ma znaczenie czy nie bardzo? Bo od MBAM'a zacząłem, bo miałem akurat pod ręką.

    //Edit: I czy w C/ProgramData/Microsoft/Crypto/RSA/MachineKeys - powinno być coś takiego? Bo mi się nie wydaje. Chodzi o to Crypto i to dalej. Bo to mi się z wirusem kojarzy.

    Mam tam milion plików.

    //Edit x2 Ze 179 zainfekowanych plików 0 pomyślnie przeniesionych do kwarantanny - ten program sobie ze mnie kpi?

    Wszystko zrobiłem co kazałeś - co dalej?

    Dodano:

    Problem dalej występuje. :( Twardy reset pomógł na 1 dzień i znowu zaczynają się problemy - jak ten syf usunąć? :(

    Daje kolejne logi z FRST (tak to się wiesza, że nawet nie mogło wysłać tych logów).

    Moderowany przez swiercm:

    Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używał opcji "Zmień".

    0
  • #12 21 Lip 2015 09:51
    marcin878787
    Poziom 19  

    TrustedInstaller.exe jest to proces systemowy o ile znajduje się we właściwej lokalizacji ( C:\Windows\servicing\TrustedInstaller.exe ) i najprawdopodobniej instaluje aktualizacje przez co użycie cpu drastycznie się zwiększa. A co za tym idzie przeglądarka wolniej działa.
    Sprawdź jakie jest użycie cpu w manager zadań.

    0
  • #13 21 Lip 2015 10:03
    Acorus 20
    Spec od komputerów

    Dalej masz amerykański DNS.

    0
  • #15 21 Lip 2015 14:41
    dawox99
    Poziom 13  

    Cytat:
    Zaloguj się na stronie konfiguracyjnej routera. Wpisz w pasek adresu przeglądarki internetowej http://192.168.1.1/ i naciśnij przycisk Enter.


    Żeby mi ten link jeszcze działał... A DNS'y zmieniłem na Google tak jak kazałeś. W Konsoli wpisałem ipconfig /flushdns zmieniłem hasło wyczyściłem pamięć podręczną przeglądarki..

    0
  • #16 21 Lip 2015 15:48
    Kolobos
    Spec od komputerów

    Trzeba myslec, a nie bezmyslnie naciskac i pisac, ze nie dziala.

    Masz sie zalogowac do routera, wpisac ip jakie mu przypisales i tam zmienic dnsy!
    Nastepnie zablokowac dostep do panelu routera z internetu.

    0
  • #17 21 Lip 2015 19:44
    dawox99
    Poziom 13  

    Głupota nie boli... Cóż... Zmieniłem hasło, załączyłem firewalla od dostawcy (nawet nie wiedziałem że takowy jest wyłączony...), dałem DNS'y na te google (znalazłem na to miejsce tylko w zakładce sieć lokalna i to było też do DHCP czy jakoś tak) i wgl tam zwiększyłem ochronę (fajne ustawienia fabryczne - 0 ochrony..) Czekam na dalsze instrukcje i przepraszam za moją głupotę :D

    0
  • #18 21 Lip 2015 20:34
    Kolobos
    Spec od komputerów

    Czy problem nadal wystepuje?

    0
  • #19 21 Lip 2015 20:57
    dawox99
    Poziom 13  

    Chwilowo mogę normalnie przeglądać internet (czasami coś się wiesza lecz nie wiem czy to nie wina przeglądarki) ale jeszcze chwile zostawię temat otwarty ze względu że już ten internet "udawał" zdrowy a po paru godzinach potrafił się zepsuć. Do jutra niech pozostanie temat, jeżeli wszystko będzie działać temat zamknę. //Edit : Leciutko, prawie wcale wiesza się jeszcze czasami lekko i chwile potrafi ładować strone, ale znowu prędkość internetu z 64 mb spadła do 3 1 mb i strasznie skacze (speed test ze strony dostawcy internetu), przed naprawą wynosiła prędkość 59 mb. Nie rozumiem nic z tego... Temat jeszcze zostawiam otwarty

    Zobaczyłem że internet jednak dalej muli. Czasami wciąż nie chce ładować stron. Wczoraj ktoś z rodziny siedział na komputerze a elektroda na telefonie nie chciała się włączyć tak jak facebook i kilka innych aplikacji, mimo tego że przed wystąpieniem problemu wszystkie te rzeczy normalnie działały. Logi z FRST kolejne załącze za chwile.

    Załączam logi FRST:

    0
  • #20 22 Lip 2015 10:08
    Kolobos
    Spec od komputerów

    Nadal masz ustawiony dns z usa:
    Tcpip\..\Interfaces\{C6A5C1FA-8D9C-482C-946D-ADEC5A4931A5}: [DhcpNameServer] 7.254.254.254

    Chyba jednak nie wykonales wszystkiego co podalem, zgaduje, ze nie zablokowales dostepu do panelu routera z internetu.

    0
  • #21 22 Lip 2015 10:10
    dawox99
    Poziom 13  

    Zdalne logowanie jest wyłączone - WAN też, a DNS'y zmieniłem na te od Google, nie widzę nigdzie więcej pól blokowania dostępu do Routera i więcej pól do zmiany DNS. Zmieniłem DNS'y w karcie IPv 4 jak i na stronie więc nic z tego nie rozumiem, a nie mogłem ominąć innej opcji blokowania bo przetrzepałem wszystkie opcje 4 razy i nic innego nie znalazłem.

    Jest jeszcze coś takiego w klientach DHCP: android-d9c45dee517c1980 ale to chyba mój telefon.

    0
  • #22 22 Lip 2015 10:11
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    Tcpip\..\Interfaces\{C6A5C1FA-8D9C-482C-946D-ADEC5A4931A5}: [DhcpNameServer] 7.254.254.254

    Po wykonaniu sprawdz czy sie pojawi ponownie.

    0
  • #23 22 Lip 2015 10:15
    dawox99
    Poziom 13  

    Wykonałem fix'a ale tak naprawdę nie widzę poprawy... Załączam Fixloga i skany:

    //Edit: No dobra poprawa jakaś tam jest ale tak naprawdę było tak samo wczoraj a dzisiaj ciąg dalszy zabawy...

    Tak naprawdę DNS'y do zmiany mam tylko w zakładce "sieć lokalna" a w zakładce "internet" i "klient urządzenia DHCP" nie ma nic na ten temat, tak samo w "zaawansowane" i "wifi", "system", nigdzie. Może ja jestem ślepy i nie widzę jakiejś zakładki?

    0
  • #24 22 Lip 2015 10:27
    Kolobos
    Spec od komputerów

    Bylo, router znowu sie zainfekowal i znowu dostales adres zainfekowanego dnsa.

    Teraz jest ok, jezeli znowu sie ustawi 7.254.254.254 to znaczy, ze router nadal jest dziurawy.

    0
  • #25 22 Lip 2015 12:41
    dawox99
    Poziom 13  

    Tak naprawdę router nadal jest dziurawy.... nie ma tego 7.254.254.254, ale wciąż czuje jak źle chodzi... w grach potrafi się internet wieszać, strony czasami się dalej nie ładują (albo robią to długo), rzadziej to występuje ale jednak to upierdliwe....

    //Edit: Przyszedł technik i wymienił router gdyż tamten po prostu został nieodwracalnie przez burze. Cóż, tyle zachodu tylko po to żeby i tak wymienić router. Trudno, dzięki wszystkim za pomoc - temat zamykam.

    0