marcos777 Opublikowano 4 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Witam, komputer wolno otwiera aplikacje. Szczególnie rano jak się go pierwszy raz po nocy załączy - ukazuje się puste okno danej aplikacji, klepsydra i trzeba czekać kilka minut aż zaskoczy. Proszę o kontrolę logów OTL i instrukcje: OTL txt OTL Extras Odnośnik do komentarza
Naathim Opublikowano 4 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Wyraźnie widoczny jest ślad infekcji i to rootkitowej. W związku z tym wykonaj brakujący log z Gmera: https://www.fixitpc.pl/index.php?/forum-38/announcement-2-wazne-oprogramowanie-emulujace-napedy/ https://www.fixitpc.pl/index.php?/topic/60-diagnostyka-infekcje-typu-rootkit/ A temat powinien wyemigrować do działu bezpieczeństwa. Odnośnik do komentarza
marcos777 Opublikowano 5 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 Podaję log: Gmer.txt Gmer_screen mbr.log Defogger Sprawdziłem, wirtualnych napędów nie mam, ale nie czyściłem ewentualnych pozostałości (jak w linku zalecenie). Wykonałem tylko Defogger i SPTD. Jak trzeba to jeszcze to wykonam. SPTDinst nic nie znalazł. -- Zgodnie z zaleceniem Sality proszę moda o przesunięcie wątku do Działu Bezpieczeństwa. ============================= Odnośnik do komentarza
picasso Opublikowano 6 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 Duplikat w dziale Malware zamykam. Powód: brak śladów aktywnej infekcji. Wpis, o którym mówi Sality, jest pozostałością i jest nieczynny. Nie widzę żadnych innych znaków, by infekcja grasowała. Tu można wykonać akcje poziomu kosmetycznego, z wątpliwym skutkiem w ustąpieniu głównego problemu. 1. W programie Autoruns: w karcie Driver skasuj całkowicie usługę o nazwie qttwjyfj, zaś usługę ADILOADER (od sterowników modemu), która pluje błędem uruchomienia po prostu odptaszkuj. w karcie Boot Execute usuń linię punktującą już nieistniejący Spyware Terminator sp_rsdel (nie ruszaj tego drugiego zapisu z autocheck). 2. Usuń także z dysku pliki po wątpliwym reputacją SpyRemover Pro: [2010-03-22 14:00:35 | 000,000,072 | ---- | C] () -- C:\WINDOWS\System32\SRPVer.ini[2010-03-22 14:00:23 | 000,000,583 | ---- | C] () -- C:\WINDOWS\System32\sk_bho.ini[2008-04-17 16:44:02 | 013,239,644 | ---- | C] () -- C:\WINDOWS\System32\SRPFSig.dll[2008-04-17 16:44:02 | 001,387,965 | ---- | C] () -- C:\WINDOWS\System32\SRPESig.dll[2008-02-28 13:25:51 | 025,671,928 | ---- | C] () -- C:\WINDOWS\System32\SRPRSig.dll[2008-02-28 13:25:51 | 000,622,113 | ---- | C] () -- C:\WINDOWS\System32\SRPList.dll[2008-02-28 13:25:51 | 000,013,772 | ---- | C] () -- C:\WINDOWS\System32\SRPImmData.dll[2008-02-28 13:25:51 | 000,002,380 | ---- | C] () -- C:\WINDOWS\System32\SRPBlkCoo.dll PS. Przez MBR.EXE już mnie sprawdzisz na 100% czy jest rootkit dysku. Teraz są nowe formy, które nie są w ogóle wychwytywane przez GMER i MBR.EXE. Inaczej się to sprawdza. komputer wolno otwiera aplikacje Pierwszy podejrzany, który mi się tu nasuwa, to system ideksacyjny Windows Search. W Dzienniku zdarzeń są błędy tyczące tej usługi i liczników wydajności: Error - 2010-08-04 04:51:02 | Computer Name = MAREK | Source = Windows Search Service | ID = 3058Description = Nie można zainicjować aplikacji. Kontekst: aplikacja Windows Szczegóły: Nie można odczytać wartości z rejestru, ponieważ konfiguracja jest nieprawidłowa. Utwórz ponownie konfigurację indeksu zawartości, usuwając go. (0x80040d03) Error - 2010-08-04 06:55:43 | Computer Name = MAREK | Source = Windows Search Service | ID = 3006Description = Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Error - 2010-08-04 06:55:58 | Computer Name = MAREK | Source = Windows Search Service | ID = 10021Description = Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0. Error - 2010-08-04 09:20:27 | Computer Name = MAREK | Source = Windows Search Service | ID = 3006Description = Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Error - 2010-08-04 09:20:31 | Computer Name = MAREK | Source = Windows Search Service | ID = 3007Description = Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Kontekst: aplikacja , wykaz SystemIndex Error - 2010-08-04 09:20:36 | Computer Name = MAREK | Source = Windows Search Service | ID = 10021Description = Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0. Wstępnie przetestuj czy usługa Windows Search ma związek z wolnym otwieraniem aplikacji. Start > Uruchom > services.msc, wyszukaj ją na liście i przestaw jej Typ startowy na wyłączona. Zresetuj system i przedstaw tu wyniki tej operacji. Gdyby to nie było to: podejrzanym może tu być także antywirus ESET. Drugi wątek: jak dawno temu wykonywano defragmentację dysku? . Odnośnik do komentarza
marcos777 Opublikowano 6 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 Picasso, wszystkie polecenia wykonałem. Komputer wyraźnie przyśpieszył. Usługa Windows Search mimo zatrzymania, po restarcie zrobiła się znów aktywna. Te same błędy wyskoczyły w OTL. Później jeszcze raz ją zatrzymałem, restart i już widać było przy niej tylko opcję "Uruchom" w services.msc. Ale już nie wykonałem ponownego skanowania OTL. Dodatkowo: RegCleaner, Odkurzacz, Ashampoo Win Optimizer. Usunąłem na chwilę Eseta. Potem zainstaluję jeszcze raz. ESET - faktycznie, po ponownym zainstalowaniu zauważalne, ale lekkie spowolnienie systemu. Legalny, pobrany ze strony producenta. Komp był niedawno defragmentowany MyDefrag. Ale zainstaluję zaraz i zrobię pełną defragmentację PerfectDisk Pro11. Podaję logi, proszę o uwagi co jeszcze można zrobić. OTL.TXT http://wklej.org/id/479652/txt/ OTL.EXTRAS http://wklej.org/id/479653/txt/ Boot Diagram_export http://wklej.org/id/542828/txt/ Czy coś z tego można usunąć? screen_Windows Installer Clean Up Odnośnik do komentarza
marcos777 Opublikowano 10 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2010 (edytowane) W zasadzie komputer już chodzi dużo szybciej, prawie normalnie. Więc temat chyba do zamknięcia. Ale Usługa Windows Search jest stale wyłączona, a w Dzienniku zdarzeń dalej są błędy tyczące tej usługi i liczników wydajności. Proszę na koniec jeszcze o rzut okiem na końcowe logi: OTL.TXT http://wklej.org/id/479650/txt/ OTL.EXTRA http://wklej.org/id/479651/txt/ Edytowane 21 Lutego 2011 przez picasso 21.02.2011 - Temat zostaje zamknięty. Wygasła jego żywotność ustalona zasadami. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi