cwirko Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Witam, komputer wcześniej został zablokowany "z powodu naruszenia prawa..."Po wielu chaotycznych akcjach, system działa. Kilka dni później AVG przeniósł plik nelfufyshato.exe do kwarantanny, stąd moja wizyta tutaj. W logach OTL nie pojawia się ów plik, ale spodziewam się pozostałości po wpisach w rejestrze i zmian aplikacji. ComboFix'a nie używałem. System Vista SP2 (32bit) bardzo długo się uruchamia i podczas normalnego używania procesor jest anormalnie obciążony. Proszę o pomoc w uporządkowaniu systemu po blokadzie. pozdrawiam cwirko OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Nie widać tu nic czynnego od infekcji, tylko szczątek UKASH w potaci pliku C:\ProgramData\0tbpw.pad, w MountPoints2 historyczne ślady podpinania zainfekowanych USB oraz adware. Wyczyść to: 1. Przez Panel sterowania odinstaluj adware Deinstalator Strony V9, ToggleEN Toolbar, Yontoo 1.10.02. Otwórz Firefox i w Dodatkach odinstaluj OneClickDownloader, Yontoo. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\0tbpw.pad :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559" IE - HKU\S-1-5-21-2531740383-66813091-2937047447-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559" O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-2531740383-66813091-2937047447-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-2531740383-66813091-2937047447-1000..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
cwirko Opublikowano 25 Października 2012 Autor Zgłoś Udostępnij Opublikowano 25 Października 2012 Witam, zadania wykonane. Logi załączone poniżej. Objaw w postaci długiego uruchamiania pozostał, spodziewałem się błędnych wersji SP i uszkodzonych plików systemowych. dziękuję i pozdrawiam cwirko AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 W ramach zakończeń czyszczenia: 1. Poprawka na wyszukiwarki Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal 2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. Objaw w postaci długiego uruchamiania pozostał, spodziewałem się błędnych wersji SP i uszkodzonych plików systemowych. Co masz na myśli z tymi "uszkodzonymi plikami"? Skąd takie koncepcje? Czy jesteś pewien, że AVG 2013 nie wydłuża startu? Wg raportu instalowany bądź aktualizowany zaledwie 4 dni temu, różne komponenty AVG są oznaczone jako utworzone tego dnia ... I jeszcze mnie interesuje co to były za "chaotyczne akcje", co konkretnie robiłeś: Po wielu chaotycznych akcjach, system działa. . Odnośnik do komentarza
cwirko Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 Witam, wszystkie czynności czyszczenia zakończone pomyślnie. Bardzo dziękuję za pomoc. Co masz na myśli z tymi "uszkodzonymi plikami"? Skąd takie koncepcje? Zaraz po zablokowaniu i braku możliwości uruchomienia Menadżera Zadań - użyłem twardego resetu. Po tej czynności oczywiście checkdisk wyłapał uszkodzone pliki. System wtedy działał choć Menadżer Zadań już nie odpowiadał. Czy jesteś pewien, że AVG 2013 nie wydłuża startu? Sprawdziłem, system wstaje powyżej 2,5min. Po deinstalacji AVG powyżej 2min. Natomiast przed blokadą było zdecydowanie poniżej minuty. co to były za "chaotyczne akcje" System restore(z instalacyjnego CD)>ostatnia znana dobra konfiguracja>ręczne usunięcie AVG2012. Już wtedy uruchamiał się długo więc jeczcze >sfc /scannow na końcu AVG 2013 Może jeszcze na końcu podpowiedz jakiego narzędzia mogę użyć pomijając sfc do sprawdzenia uszkodzenia plików systemowych. Jeszcze raz dziękuję za pomoc pozdrawiam cwirko Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Sprawdziłem, system wstaje powyżej 2,5min. Po deinstalacji AVG powyżej 2min. Natomiast przed blokadą było zdecydowanie poniżej minuty. Na wszelki wypadek sprawdź jeszcze jak system zachowuje się w stanie czystego rozruchu: KB929135. System restore(z instalacyjnego CD)>ostatnia znana dobra konfiguracja>ręczne usunięcie AVG2012.Już wtedy uruchamiał się długo więc jeczcze >sfc /scannow na końcu AVG 2013 Czy po Przywracania systemu zrobiłeś ponownie sprawdzanie dysku pod kątem błędów? Czy po deinstalacji AVG używałeś poprawkowego firmowego deinstalarora AVG Remover? Może jeszcze na końcu podpowiedz jakiego narzędzia mogę użyć pomijając sfc do sprawdzenia uszkodzenia plików systemowych. Nie, SFC jest najbardziej wiarygodne. A czy w ogóle sprawdziłeś wyniki tej komendy w CBS.LOG? Ta komenda nie gwarantuje wszystkich napraw, jeśli w systemie w ogóle brak poprawnej kopii. Poproszę o log z tych działań. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >%userprofile%\Desktop\sfc.txt Na Pulpicie powstanie log, przedstaw go. . Odnośnik do komentarza
cwirko Opublikowano 29 Października 2012 Autor Zgłoś Udostępnij Opublikowano 29 Października 2012 Witam, czysty rozruch oczywiście próbowałem wcześniej lecz nie przyniósł pożądanego efektu. AVG odinstalowałem i ponownie oczyściłem AVG Remover. Brak efektu. Jeżeli chodzi o konwersje logów sfc podaną komendą, to na pulpicie powstał plik z zerową zawartością sfc.txt. Natomiast sam cbs.log zawiera 49MB danych tekstowych i nie nadaje się do załączenia na forum. Dziękuję i pozdrawiam. cwirko Odnośnik do komentarza
picasso Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 Ten CBS.LOG jest dość mały. Może już poprzednia zawartość została zarchiwizowana do CAB. Ponów akcję: wdróż komendę sfc /scannow, po tym tę drugą przeznaczoną do filtrowania wyników. . Odnośnik do komentarza
cwirko Opublikowano 30 Października 2012 Autor Zgłoś Udostępnij Opublikowano 30 Października 2012 Witam, tym razem plik został utworzony, załączam do wiadomości. Dodatkowo sfc zwraca komunikat ( który wcześniej też występował ) "windows resource protection found corrupt files and was unable to fix some of them". W pliku .txt te pliki są wymienione Jeszcze raz dziękuję za weryfikacje. pozdrawiam cwirko sfc.txt Odnośnik do komentarza
picasso Opublikowano 1 Listopada 2012 Zgłoś Udostępnij Opublikowano 1 Listopada 2012 SFC podaje jako uszkodzone dwa pliki INI (hash mismatch = niezgodna suma kontrolna): 2012-10-30 20:46:05, Info CSI 000001de [sR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-10-30 20:46:05, Info CSI 000001e0 [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch Te błędy nie wyglądają ani na przyczynę problemów (to tylko dwa pliki INI, nie moduły, nie sterowniki), ani nawet na rzeczywiste błędy. Otóż zwrot z "uszkodzonym" plikiem settings.ini Paska bocznego może być normalny: KB947595. Tak więc póki co ja tu nie mam podstaw, by widzieć uszkodzenia plików jako przyczynę. Nie mam też na razie żadnego pomysłu na problem. Nie odpowiedziałeś mi na pytanie: zy po Przywracania systemu zrobiłeś ponownie sprawdzanie dysku pod kątem błędów? Jak teraz wygląda skan chkdsk /f /r? . Odnośnik do komentarza
cwirko Opublikowano 5 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2012 Witam, zdecydowanie wcześniejsze skany chkdsk były bez atrybutu /r więc to jest pierwszy "pełny" skan. W załączeniu log z ostatniego skanu (Wininit, 1001). Widoczny błąd występuje również we wcześniejszych z ostatnich dni dotyczy plików: mfc40.dll, mfc40u.dll, t2embed.dll. Czyli naprawa systemowa nie jest skuteczna. We wcześniejszych skanach np. czerwiec 2012 tych błędów nie ma. Czy to może być przyczyną opóźnionego rozruchu ? Pozdrawiam Cwirko chkdsk.txt Odnośnik do komentarza
picasso Opublikowano 6 Listopada 2012 Zgłoś Udostępnij Opublikowano 6 Listopada 2012 Z Checkdisk nic nie wynika dla mnie. Widoczny błąd występuje również we wcześniejszych z ostatnich dni dotyczy plików: mfc40.dll, mfc40u.dll, t2embed.dll. Czyli naprawa systemowa nie jest skuteczna. We wcześniejszych skanach np. czerwiec 2012 tych błędów nie ma. Czy to może być przyczyną opóźnionego rozruchu ? Co masz na myśli? Gdzie widzisz błędy i jak one wyglądają? . Odnośnik do komentarza
cwirko Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Witam, pisałem wcześniej o błędach naprawy sfc, ale to pominę teraz. Przeprowadziłem ostatnio szereg reinstalacji łatek systemowych w tym reinstalacja SP2. Nie przyniosło to żadnych zmian. System nadal długo się ładuje co więcej nadmiernie obciążony jest procesor nawet przy braku jakichkolwiek aplikacji, proces svhost ( w wielu odsłonach, do 7-9 ) rozmiarowo pamięć (potrafi osiągnąć nawet 700MB, dla pojedynczego). Możliwe że przyczyna jest ta sama. Na innych forach znalazłem podobne objawy do opisanych przeze mnie. Proszę o podpowiedź Pozdrawiam cwirko Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 (edytowane) Ostatnie co mi przychodzi do głowy w kwestii: System Vista SP2 (32bit) bardzo długo się uruchamia i podczas normalnego używania procesor jest anormalnie obciążony. ... to tryb transferu dysku i jego degradacja. Start > w polu szukania wpisz devmgmt.msc. W menu Widok wybierz Urządzenia wg połączeń. Rozwiń gałęzie tak, by przejdź do kontrolera dysków i kanału, na którym jest dysk twardy. Pobierz właściwości kanału i zrób zrzuty ekranu z karty Ustawienia zaawansowane (o ile będzie). Poza tym brak innych pomysłów. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. W razie potrzeby poproś o otworzenie na PW. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi