Dziwne zachowanie komputera

[atasuke]

Kolega poprosił mnie bym w jego imieniu przekazał logi do analizy ponieważ on stwierdził że nawet gdyby dał logi i dostał instrukcje nie bylby w stanie wykonac zaleceń.

Kazałem wykonać mu logi z OtL oto one:

 

 

System zainstalowany to Windows 7 wersja (64 bitowa). Nie jestem w stanie powiedzieć jakie narzedzia były stosowane ale wiem że coś było poniewaz twierdził że komputer uruchamiał mu sie bardzo długo.

Sam patrzyłem na tego loga i jedyne co mnie dziwi to te pliki:

[2011-11-10 22:35:57 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe

[2011-11-10 22:35:57 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe

[2011-11-10 22:35:57 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe

[2011-11-10 22:35:57 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe

[2011-11-10 22:35:57 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe

które moim zdaniem nie powinny tu być i świadczą moim zdaniem o uzywaniu chyba Combofixa. Ale ja nie miałem wplywu na decyzje użytkownika.

[picasso]

Sam patrzyłem na tego loga i jedyne co mnie dziwi to te pliki które moim zdaniem nie powinny tu być i świadczą moim zdaniem o uzywaniu chyba Combofixa.

 

Tak, to pliki utworzone przez ComboFix. Był tu uruchamiany w przeszłości.

 

Temat przerzucam do działu Windows 7. Oznak infekcji tu brak, jest tylko adware, ale to nie może mieć wpływu na długie uruchamianie Windows. Doczyść śmieci. W spoilerze instrukcje.

 

 

 

1. Przez Panel sterowania odinstaluj adware Contextual Tool Extrafind, DAEMON Tools Toolbar, vShare.tv plugin 1.3 oraz zbędny Akamai NetSession Interface Service.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{126C1031-A59F-4718-8348-5EE9B4283A86}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-2156594823-3713972044-3696841778-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=813d134e-e38e-11e0-89bd-bcaec574bc9d&q={searchTerms}"
IE - HKU\S-1-5-21-2156594823-3713972044-3696841778-1000\..\SearchScopes\{126C1031-A59F-4718-8348-5EE9B4283A86}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-2156594823-3713972044-3696841778-1000\..\SearchScopes\{492EEF35-D1EC-417d-B843-1DDD88749C28}: "URL" = "http://search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM"
IE - HKU\S-1-5-21-2156594823-3713972044-3696841778-1000\..\SearchScopes\{48FA0C26-92C2-496B-B22A-F0C3CBC7C18D}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=SPLBR2&pc=SPLH"
IE - HKU\S-1-5-21-2156594823-3713972044-3696841778-1000\..\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C}: "URL" = "http://www.questscan.com/?prt=QstscanPB&keywords={searchTerms}"
IE - HKU\S-1-5-21-2156594823-3713972044-3696841778-1000\..\SearchScopes\{6B9D015E-9C00-486e-8BFE-506187FC4CBB}: "URL" = "http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346"
IE - HKU\S-1-5-21-2156594823-3713972044-3696841778-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll File not found
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files (x86)\ShopperReports3\bin\3.2.11.0\firefox\firefoxtoolbar\extensions
 
:Files
C:\Program Files (x86)\mozilla firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096}
C:\Program Files (x86)\mozilla firefox\extensions\{fd7f4aac-408c-6809-1957-d65fb00406ed}
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Gdy ukończy pracę, zastosuj Sprzątanie (to usunie też szczątki ComboFix).

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Po akcji powstanie na Pulpicie folder "Stare dane programu Firefox" = do usunięcia.

 

4. Uruchom AdwCleaner i zastosuj Delete. Gdy ukończy pracę, użyj w nim Uninstall.

 

5. Skoryguj domyślne wyszukiwarki Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C2C307B2-B91D-4B6F-89C9-31CD539ACD35}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C2C307B2-B91D-4B6F-89C9-31CD539ACD35}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

 

 

 

 

twierdził że komputer uruchamiał mu sie bardzo długo.

 

Niejasno sformułowałeś zasadnicze zagadnienie. Tytuł tematu "Dziwne zachowanie komputera" = czyli? Czy jedyny problem to długi start? Pod tym kątem:

 

1. W Dzienniku zdarzeń są błędy:

 

Error - 2012-11-08 08:54:37 | Computer Name = DMC | Source = PNRPSvc | ID = 102
Description = 
 
Error - 2012-11-08 08:54:37 | Computer Name = DMC | Source = Service Control Manager | ID = 7023
Description = Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie;
 wystąpił następujący błąd:   %%997
 
Error - 2012-11-08 08:54:37 | Computer Name = DMC | Source = Service Control Manager | ID = 7001
Description = Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania
 nazw równorzędnych, której nie można uruchomić z powodu następującego błędu:   %%997
 
Error - 2012-11-08 08:54:37 | Computer Name = DMC | Source = Service Control Manager | ID = 7023
Description = Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie;
 wystąpił następujący błąd:   %%997

 

Sprawdź w Dzienniku zdarzeń jak te błędy dokładnie są sformułowane. Wejdź do services.msc i sprawdź Typ uruchomienia wyliczonych na komunikatach błędów. Na wszelki wypadek wykonaj działania z tematu: KLIK:

 

Przejdź w Tryb awaryjny Windows, wejdź do folderu C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking, ze środka usuń wszystkie pliki modelu nazwy idstore.* (może być więcej niż tylko jeden idstore.sst).

 

2. Jest tu zainstalowany stary ESET NOD32 Antivirus (sterowniki z roku 2009).

 

3. Wyłącz zbędne wpisy ze startu. W Autoruns, w karcie Logon odznacz:

 

O4 - HKLM..\Run: [NeroFilterCheck] C:\Windows\SysWOW64\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKU\S-1-5-21-2156594823-3713972044-3696841778-1000..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\S-1-5-21-2156594823-3713972044-3696841778-1000..\Run: [VeohPlugin] C:\Program Files (x86)\Veoh Networks\VeohWebPlayer\veohwebplayer.exe (Veoh Networks)

 

W karcie Services:

 

SRV:64bit: - [2009-07-14 02:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2012-07-27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)

 

 

 

 

.

[atasuke]

Adware usuniete przesyłam jeszcze logi dla potwierdzenia co robil

 

 

1.

Usługi obydwie wstaly po usunięciu plików idstore.sst

ich typ uruchomienia był na ręczny

2.

Wykonane

3.

Wykonane

 

Narazie obserwuje system gdy zauważe jakieś problemy jeszcze to napisze.

[picasso]

Narazie obserwuje system gdy zauważe jakieś problemy jeszcze to napisze.

 

Nie wypowiadasz się nic czy przeprowadzone działania miały jakiś pozytywny skutek widoczny od razu. Na razie nie mam tu dodatkowych komentarzy.

 

 

.

[atasuke]

Przepraszam że tak skromnie sie wypowiedziałem ale wczoraj nie mialem zbyt dużo czasu. Ale do rzeczy system działa znacznie lepiej. Firefox przestał się wieszać. Komputer uruchamia się znacznie szybciej. Także jest bardzo dobrze, sprawdziłem programy które wymagały aktualizacji i je wgrałem . Wielkie dzieki za wszystko.