patt2 Opublikowano 12 Września 2010 Zgłoś Udostępnij Opublikowano 12 Września 2010 Witam, Przede wszystkim chciałbym się przywitać na "nowym" forum. Jest to mój pierwszy post tutaj ale mam wrażenie jakbym już wcześniej się tu udzielał Mam następujący problem z komputerem: Wykorzystanie cpu jest stale na poziomie 100%, uzycie pamięci w normie. W task managerze w zasadzie nie widać nic niepokojącego - o dziwo żaden proces nie korzysta z zasobów procka. Standardowo powyłączałem zbędne procesy, wyłączyłem/ włączyłem system restore, użyłem wwdc, wyczysciłem pliki tymczasowe i przeskanowałem komputer spybotem oraz cureitem (ms security essential oczywiscie nic nie wykrył). Cureit znalazł trojana w pliku admin.exe, kilka plików trojan proxy oraz zainfekowany plik soundman.exe. Niemniej jednak niewiele to dalo. Komputer działa woooolno, po czym całkowicie przestaje reagować i cieżko go nawet zrestartować.. Przy próbie zapisania loga z gmera następuje całkowita zawiecha połączona z brakie reakcji na klawiaturę (nie mogłem wpisać nazwy pliku loga gmera). Załączam log z OTS i gmer, będę wdzięczny za jakiekolwiek wskazówki. OTS.Txt nowy plik.txt Odnośnik do komentarza
Landuss Opublikowano 12 Września 2010 Zgłoś Udostępnij Opublikowano 12 Września 2010 1. Zacznij od wykonania dwóch logów z OTL 2. Wykonaj log z MBRCheck Odnośnik do komentarza
patt2 Opublikowano 12 Września 2010 Autor Zgłoś Udostępnij Opublikowano 12 Września 2010 Przepraszam ale trochę sie chyba za bardzo rozpędziłem i wykonałem mbr restore po tym jak mbr check wyświetlił stosowne info.. Mam nadzieję, że nie namieszałem. Extras.Txt OTL.Txt MBRCheck_09.12.10_22.43.24.txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2010 Zgłoś Udostępnij Opublikowano 12 Września 2010 Przepraszam ale trochę sie chyba za bardzo rozpędziłem i wykonałem mbr restore po tym jak mbr check wyświetlił stosowne info.. Mam nadzieję, że nie namieszałem. Chyba muszę dopisać wyraźnie w opisie MBRcheck (choć wydawało mi się to oczywiste), że nie macie nic naprawiać na własną rękę. Jeśli jest prośba o log, to znaczy że nie wskazujemy czynności naprawczych (!). Obecnie prezentowany log pochodzi sprzed restartu, to oznacza że w ogóle nie pokazuje czy nastąpiła po naprawie zmiana. Restart jest niezbędny dla ukończenia procesu nadpisu MBR. Poproszę o log z MBcheck z aktualnej sytuacji. Odnośnik do komentarza
patt2 Opublikowano 12 Września 2010 Autor Zgłoś Udostępnij Opublikowano 12 Września 2010 Chyba muszę dopisać wyraźnie w opisie MBRcheck (choć wydawało mi się to oczywiste), że nie macie nic naprawiać na własną rękę. Jeśli jest prośba o log, to znaczy że nie wskazujemy czynności naprawczych (!). Obecnie prezentowany log pochodzi sprzed restartu, to oznacza że w ogóle nie pokazuje czy nastąpiła po naprawie zmiana. Restart jest niezbędny dla ukończenia procesu nadpisu MBR. Poproszę o log z MBcheck z aktualnej sytuacji. Załączam log. MBRCheck_09.13.10_00.13.21.txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2010 Zgłoś Udostępnij Opublikowano 12 Września 2010 Sytuacja jest dokładnie taka sama jak przed wykonaniem przez Ciebie naprawy: Size Device Name MBR Status -------------------------------------------- 55 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 6A9E5250A0E44930551CF9587936A36755A4D075 Naprawa z poziomu działającego systemu jest tu nieskuteczna. W tym przypadku przejdźmy do naprawy całkowicie z zewnątrz. 1. Zastartuj z CD do Konsoli Odzyskiwania i zastosuj komendę FIXMBR. 2. Po restarcie już do Windows wykonaj nowy log z MBRCheck dla unaocznienia zmian. Ponadto, podsumuj czy po nadpisaniu MBR nadal będą te same tytułowe objawy. . Odnośnik do komentarza
patt2 Opublikowano 12 Września 2010 Autor Zgłoś Udostępnij Opublikowano 12 Września 2010 Tak mi sie właśnie wydawało. Teraz zdaje się, że MBR jest w porządku. Nie ma to jednak wpływu na zachowanie komputera, nadal to samo.. Załączam log. MBRCheck_09.13.10_01.06.57.txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2010 Zgłoś Udostępnij Opublikowano 12 Września 2010 Komenda z Konsoli załatwiła tę sprawę: Size Device Name MBR Status -------------------------------------------- 55 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Zmień wszystkie hasła logowania. Infekcje w MBR charakteryzują się wyłapywaniem danych. Nie ma to jednak wpływu na zachowanie komputera, nadal to samo.. W pozostałych standardowych logach nie widzę nic podejrzanego. 1. Rozpocznij może od podstawowej czynności przy zamulaniu komputera, redukcji olbrzymiego pliku HOSTS przetwarzającego prawie 15 tysięcy linii: O1 - Hosts: 127.0.0.1 localhostO1 - Hosts: 127.0.0.1 www.007guard.comO1 - Hosts: 127.0.0.1 007guard.comO1 - Hosts: 127.0.0.1 008i.comO1 - Hosts: 127.0.0.1 www.008k.comO1 - Hosts: 127.0.0.1 008k.comO1 - Hosts: 127.0.0.1 www.00hq.comO1 - Hosts: 127.0.0.1 00hq.comO1 - Hosts: 127.0.0.1 010402.comO1 - Hosts: 127.0.0.1 www.032439.comO1 - Hosts: 127.0.0.1 032439.comO1 - Hosts: 127.0.0.1 www.0scan.comO1 - Hosts: 127.0.0.1 0scan.comO1 - Hosts: 127.0.0.1 1000gratisproben.comO1 - Hosts: 127.0.0.1 www.1000gratisproben.comO1 - Hosts: 127.0.0.1 1001namen.comO1 - Hosts: 127.0.0.1 www.1001namen.comO1 - Hosts: 127.0.0.1 100888290cs.comO1 - Hosts: 127.0.0.1 www.100888290cs.comO1 - Hosts: 127.0.0.1 www.100sexlinks.comO1 - Hosts: 127.0.0.1 100sexlinks.comO1 - Hosts: 127.0.0.1 10sek.comO1 - Hosts: 127.0.0.1 www.10sek.comO1 - Hosts: 127.0.0.1 www.1-2005-search.comO1 - Hosts: 127.0.0.1 1-2005-search.comO1 - Hosts: 14466 more lines... Tak duży plik HOSTS wchodzić może w kolizję z usługą Klient DNS. Plik został wprowadzony przez Spybota to i za jego pomocą zdejmiesz tę modyfikację: W sekcji Ochrony Pasywnej odptaszkuj wszystkie wpisy z wyjątkiem HOSTS i kliknij w Undo. Przy wpisie HOSTS w Protected ma się pojawić liczba 0. 2. Dodatkowo wyłączyłabym Tea-Timer Spybota, by sprawdzić ewentualny wpływ na stan systemu. Dalsza porada to całkowite pozbycie się z Windows tego programu. Aplikacja nie dorównuje czasom obecnym, ma słabsze możliwości niż inne specjalizowane w malware skanery. Do skanów na żądanie doskonale się nadaje Malwarebytes' Anti-Malware. Po wykonaniu czynności zresetuj system. . Odnośnik do komentarza
patt2 Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 Zrobione. Niestety b/z. Kombinuje jeszcze z Microsoft Security Essential bo, poza tą aplikacją w systemie nie ma praktycznie nic co mogłoby w taki sposób eksploatować CPU (w trybie awaryjnym komp. działa jak należy). Przy próbie odinstalowania całość oczywiście się wywala.. Zatrzymanie usługi i kolejna próba pozbycia się tego przybytku daje dokładnie ten sam efekt. Po restarcie sytuacja oczywiście się powtarza, tyle tylko że uninstaller się uszkodził a usługa startuje i działa w systemie. Po zgooglowaniu tematu okazuje sie, że podobny problem z mse ma wielu użytkowników. W tym wątku: http://social.answers.microsoft.com/Forums/en-US/msestart/thread/c86fd37f-52a4-46b1-8989-41a72eec2361 doszukałem się dwóch metod usunięcia aplikacji. 1. Download the MSE installer for your Operating System from the Home Page: http://microsoft.com/security_essentials 2. Save the file to your Desktop. This will ensure that you can find it easily after the download is done. 3. Now press the Windows Key and R all at the same time. This will open the RUN dialog box. 4. Make sure that you delete any entries inside RUN. Now drag the MSE installer into the RUN dialog box. 5. Depending on your Operating System, after dragging the file into RUN it should appear as any of the three below: "C:\Documents and Settings\[YOUR USERNAME]\Desktop\mssefullinstall-x86fre-en-us-xp.exe" C:\Users\[YOUR USERNAME]\Desktop\mssefullinstall-x86fre-en-us-vista-win7 C:\Users\[YOUR USERNAME]\Desktop\mssefullinstall-amd64fre-en-us-vista-win7.exe 6. Now put a space in between the whole line and put /U as seen below: "C:\Documents and Settings\[YOUR USERNAME]\Desktop\mssefullinstall-x86fre-en-us-xp.exe" /U C:\Users\[YOUR USERNAME]\Desktop\mssefullinstall-x86fre-en-us-vista-win7 /U C:\Users\[YOUR USERNAME]\Desktop\mssefullinstall-amd64fre-en-us-vista-win7.exe /U 7. Hit OK. Opis drugiej metody znajduje się tu: http://support.microsoft.com/kb/290301 ale.. MS nie wspiera już tego narzedzia. Tak się składa, że mam go jeszcze na pendrajwie. Nie wiem jednak jak mam sie odnieść do tego, że "narzędzie Windows Installer Cleanup umożliwiało rozwiązanie niektórych problemów z instalacją, czasami powodowało uszkodzenie innych składników zainstalowanych na komputerze. Z tego powodu usunięto to narzędzie z Centrum pobierania Microsoft. ". Jeżeli metoda nr 1 nie zadziała to, mimo wszystko zaryzykuję. Jak to nie pomoże to zostanie mi format. Dzieki za pomoc, dam znać po południu czy moje działania się powiodły Odnośnik do komentarza
picasso Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 Spróbuj jeszcze przed usuwaniem całkowitym Microsoft Security Essentials resetu jego komponentów przy udziale narzędzia: Fix MSE. Odnośnik do komentarza
patt2 Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 Spróbuj jeszcze przed usuwaniem całkowitym Microsoft Security Essentials resetu jego komponentów przy udziale narzędzia: Fix MSE. Tadam! Winnym okazała się aplikacja MS Malicious soft removal. Po usunieciu Windows Install Cleanup wszystko wróciło do normy. Pytania: Czy coś jeszcze należałoby sprawdzić/przeskanować? Jaki darmowy antywirus zainstalować - avast może być, czy już się go nie używa? Czy odinstalować (zastąpić) całkowicie spybota czy chodziło jedynie o wyłączenie tea timera? Dzięki za pomoc. Odnośnik do komentarza
picasso Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 Tadam! Winnym okazała się aplikacja MS Malicious soft removal. Po usunieciu Windows Install Cleanup wszystko wróciło do normy. Czyli nie MS Security Essentials? W raporcie nie było plików związanych z tym narzędziem. Czy odinstalować (zastąpić) całkowicie spybota czy chodziło jedynie o wyłączenie tea timera? Zastąpiłabym w sposób całkowity przez skaner na żądanie MBAM. I za jego pomocą wykonać skanowanie. Jaki darmowy antywirus zainstalować - avast może być, czy już się go nie używa? Może być Avast (w wersji 5). W mojej opinii do zastosowania obojętny z czołowych darmowych. . Odnośnik do komentarza
patt2 Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 (edytowane) Patrze teraz na pierwszy log z ots'a i rzeczywiscie jest tam widoczna, działająca usługa antimalware ale należąca jednak do mse. Tak więc masz racje nie był to malicious soft rem. [Win32 Services - Safe List] (MsMpSvc) Microsoft Antimalware Service [Auto | Running] -> c:\Program Files\Microsoft Security Essentials\MsMpEng.exe -> [2010-03-25 21:40:44 | 000,017,904 | ---- | M] Edytowane 13 Września 2010 przez picasso Odpowiedź na pytanie doedytowałam wyżej. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi