Levy142 Opublikowano 19 Października 2012 Zgłoś Udostępnij Opublikowano 19 Października 2012 Od jakiegoś czasu pliki pokazują mi się z rozszerzeniem (zmieniałem to w opcjach, jednak zmienia się to z powrotem co może o czymś świadczyć). Zauważyłem również, dziwne pliki i foldery na partycjach (mają ikony coś jak po użyciu opcji "wytnij"). Niepokoi mnie też wolniejsza praca komputera i zawieszanie się GG. Te dziwne foldery na C i dodatkowym mają nazwy RECYCLER - w środku kosz, a drugiego nie da się otworzyć z komunikatem o odmowie dostępu. Na C również są te foldery i pliki systemowe, których wcześniej nie było. Wg. mnie tych plików i folderów raczej nie powinno być. Proszę o sprawdzenie logów niżej: Extras: http://wklej.org/id/850491/ OTL: http://wklej.org/id/850492/ Odnośnik do komentarza
picasso Opublikowano 19 Października 2012 Zgłoś Udostępnij Opublikowano 19 Października 2012 Levy142 proszę przeczytać zasady działu na temat "refów": KLIK. To nic nie przyśpieszy, a skutki mogą być nawet odwrotne. Pomoc nadchodzi, gdy jest obecny prowadzący dział. Druga sprawa: zakładałeś tu wcześniej temat (KLIK), nawet się nie zgłosiłeś, by go ukończyć ... Od jakiegoś czasu pliki pokazują mi się z rozszerzeniem (zmieniałem to w opcjach, jednak zmienia się to z powrotem co może o czymś świadczyć). Kiedy się to zmienia? Czy przypadkiem nie po skanie OTL? Zauważyłem również, dziwne pliki i foldery na partycjach (mają ikony coś jak po użyciu opcji "wytnij"). Niepokoi mnie też wolniejsza praca komputera i zawieszanie się GG.Te dziwne foldery na C i dodatkowym mają nazwy RECYCLER - w środku kosz, a drugiego nie da się otworzyć z komunikatem o odmowie dostępu. Na C również są te foldery i pliki systemowe, których wcześniej nie było. Obiekty są po prostu ukryte, widocznością się steruje w Mój komputer > Narzędzia > Opcje folderów > Widok: Pokaż ukryte pliki i foldery + Ukryj chronione pliki systemu operacyjnego. Jest pewnym, że wcześniej nie miałeś odznaczonej opcji Ukryj chronione pliki systemu operacyjnego (domyślnie Windows ma to odznaczone), dlatego nie widziałeś czegoś co od dawna w systemie jest. Ponadto, te opcje widoku przestawia automatycznie skan z OTL, jako pomoc dla prowadzącego temat, by użytkownik nie musiał tego sam konfigurować ... Katalog RECYCLER to prawdziwy folder Kosza na dysku, zreplikowany na wszystkich dyskach. To co jest na Pulpicie to nie jest prawdziwy folder tylko wirtualny skrót. Foldery RECYCLER są domyślnie zawsze ukryte i widzialne tylko po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego. Prócz RECYCLER na dysku powinny być ukryte przez te same atrybuty także: foldery System Volume Information (Przywracania systemu), folder Config.Msi (dane Instalatora Windows) oraz kluczowe dla bootowania Windows pliki startowe boot.ini, ntldr, ntdetect.com. W podanych tu raportach brak oznak czynnej infekcji, ale nie został podany obowiązkowy GMER. Tylko minimalne korekty do przeprowadzenia: 1. Otwórz Google Chrome i w zarządzaniu wyszukiwarkami przestaw domyślną z adware Web Search na Google, po tym Web Search usuń z listy. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) FF - prefs.js..extensions.enabledItems: {f3a5d4fa-1c56-3a8e-002a-c2b4d0acb184}:4.6.8.5 O4 - HKU\S-1-5-21-1123561945-1336601894-1606980848-1003..\Run: [Galileo] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Galileo\galileo.exe silent File not found O4 - HKU\S-1-5-21-1123561945-1336601894-1606980848-1003..\Run: [Java] %APPDATA%\Microsoft\jusched.exe File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0017-0000-0004-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab" (Reg Error: Key error.) [2011-09-15 17:20:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Premium :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\explorer.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. Do oceny wystarczy tylko ten log. . Odnośnik do komentarza
Levy142 Opublikowano 20 Października 2012 Autor Zgłoś Udostępnij Opublikowano 20 Października 2012 A tak, przepraszam, zapomniałem napisać żeby zamknąć poprzedni temat, bo uzyskałem szybszą pomoc. Można go zamknąć. Wykonałem polecenia odnośnie chrome i niżej zamieszczam logi po wykonaniu skryptu: http://www.wklej.org/id/850997/ Odnośnik do komentarza
picasso Opublikowano 20 Października 2012 Zgłoś Udostępnij Opublikowano 20 Października 2012 Log z GMER nadal nie dostarczony. I sprecyzuj dokładnie jaki masz aktualnie problem z systemem. Wykonałem polecenia odnośnie chrome i niżej zamieszczam logi po wykonaniu skryptu Wykonane, ale to akcje podrzędne o charakterze kosmetycznym, brak wpływu na kondycję systemu. Można go zamknąć. Wnioskuję, że nawet nie popatrzyłeś w tamten temat. Temat zamknięty od prawie dwóch miesięcy... . Odnośnik do komentarza
Levy142 Opublikowano 20 Października 2012 Autor Zgłoś Udostępnij Opublikowano 20 Października 2012 Niepokoiły mnie tylko te rozszerzenia i pliki. Dodatkowo wolniejsza praca komputera i zawieszanie się aplikacji takich jak GG, więc dodałem logi OTL (o GMER nie wiedziałem, bo wcześniej umieszczałem tu logi tylko z OTL i raczej było wszystko okej). GMER: http://www.wklej.org/id/851285/ Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Hmmm, w GMER jest taki zapis wskazujący na ładowanie jakiejś ukrytej biblioteki do procesu explorer.exe: ---- Processes - GMER 1.0.15 ---- Library C:\Documents (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [272] 0x5C080000 Niestety ścieżka jest obcięta i nie widać gdzie ona prowadzi. Nie wiadomo też czy jest to faktycznie groźne (czasem odczyty z "hidden" występują przy zawieszeniach). Zrób jeszcze raz skan z GMER i podaj mi wyniki czy ta linia nadal występuje. . Odnośnik do komentarza
Levy142 Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 http://www.wklej.org/id/856706/ ponowne logi ze skanu GMER (przepraszam, że po takim czasie, ale nie miałem kiedy zrobić pełnego skanu.) Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 W GMER nie ma już tego wyniku. Czyli sprawę weryfikacji + czyszczenia systemu uznaję za zamkniętą. Na zakończenie: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniże aplikacje: KLIK. W logu widać: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"FileZilla Client" = FileZilla Client 3.5.1"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1123561945-1336601894-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 22.0.1229.79 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Podsumuj co się teraz dzieje, czy jest jakiś widoczny problem. . Odnośnik do komentarza
Levy142 Opublikowano 2 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Polecenia wykonałem, dziękuje za pomoc w najbliższym czasie postaram się o przelew jakiś pieniążków za pomoc. Niepokoi mnie jednak jeszcze jedna rzecz, a mianowicie kilka procesów. Zaznaczyłem je na czerwono niżej na ss: Czy te procesy są jakoś szkodliwe? Jeden "zabiera" trochę procka i nie wiem czy jest potrzebny. Odnośnik do komentarza
picasso Opublikowano 3 Listopada 2012 Zgłoś Udostępnij Opublikowano 3 Listopada 2012 1. Proces mbamscheduler.exe to przecież składnik programu Malwarebytes Anti-malware: SRV - [2012-09-07 17:04:46 | 000,399,432 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) Natomiast ToolbarUpdater.exe + vprot.exe nie było poprzednio w Twoim raporcie. Są to procesy paska AVG Security Toolbar. Albo zainstalowałeś antywirusa AVG (to jeden z opcjonalnych składników instalacji), albo jakiś program, który miał to jako sponsora. To można spokojnie wywalić deinstalując aplikację AVG. 2. Używasz do oglądania procesów niepełnosprawnego menedżera zadań Windows, w którym nie widać ścieżek. Darmowe alternatywne menedżery zadań o lepszych właściwościach to np.: Process Explorer, Process Hacker, YAPM. . Odnośnik do komentarza
Levy142 Opublikowano 3 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2012 Super, wielkie dzięki. Można zamknąć temat. Odnośnik do komentarza
Rekomendowane odpowiedzi