paczo92 Opublikowano 21 Listopada 2012 Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Witam, mam problem z strasznie dlugo uruchamiajacym sie systemem i jego dosc powolna praca, od niedawna zaczal sie zawieszac a jedyna rada na kaprysy lekko ponad rocznego laptopa to odlaczenie zasilania.Nie wiem czy chodzi o wirusy czy o nieswiadome zasmiecenie. Prosze o sprawdzenie logów i dalsze instrukcje. Jestem jednym z nieszczesnikow zaczynajacych prace od uruchomienia combofixa Extras.Txt OTL.Txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Temat przenoszę do działu Windows 7, nadając bardziej dopasowany do sytuacji tytuł. Brak oznak infekcji. Tylko adware do wyczyszczenia, ale to szczegóły. Popatrz do spoilera. 1. Przez Panel sterowania odinstaluj vShare.tv plugin 1.3. Tak, to nie pomyłka. Ta "meczowa" wtyczka video to siedlisko adware. Wszystkie przeglądarki zostały szkodliwie przez nią zmodyfikowane... 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\kamil\AppData\Roaming\Babylon C:\Users\kamil\AppData\Roaming\toolplugin C:\Users\kamil\AppData\Roaming\Mozilla\Firefox\Profiles\tqb62jc1.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi C:\Users\kamil\AppData\Roaming\Mozilla\Firefox\Profiles\tqb62jc1.default\extensions\50296c0922c60@50296c0922c99.info.xpi C:\Users\kamil\AppData\Roaming\Mozilla\Firefox\Profiles\tqb62jc1.default\extensions\welcome@toolmin.com C:\Users\kamil\AppData\Roaming\Mozilla\Firefox\Profiles\lawf1l13.default\extensions\welcome@toolmin.com C:\Program Files (x86)\Mozilla Firefox\extensions\ffxtlbr@babylon.com C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=84a74634-160a-11e1-96b5-bcaec56213c3&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={57F5264E-8590-4D36-9A58-157C54175145}" IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT"" IE - HKU\S-1-5-21-2527172339-2500192404-2440246376-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=84a74634-160a-11e1-96b5-bcaec56213c3&q={searchTerms}" IE - HKU\S-1-5-21-2527172339-2500192404-2440246376-1001\..\SearchScopes\{262DA6AC-E7AE-4ED2-9F07-B4EBAA141758}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=407daa86000000000000bcaec56213c3" IE - HKU\S-1-5-21-2527172339-2500192404-2440246376-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={57F5264E-8590-4D36-9A58-157C54175145}" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\kamil\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\kamil\AppData\Roaming\toolplugin\toolbar.dll File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zresetuj preferencje Firefox zgwałcone przez adware. Zamknij Firefox (nie może być uruchomiony w procesach!) i przenieś na Pulpit ten plik: C:\Users\kamil\AppData\Roaming\Mozilla\Firefox\Profiles\tqb62jc1.default\prefs.js 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Zaprezentujesz go dopiero po wykonaniu innych czynności dalej przedstawionych w temacie. 5. Skoryguj domyślne wyszukiwarki po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Jestem jednym z nieszczesnikow zaczynajacych prace od uruchomienia combofixa Na PW już rozmawialiśmy o tym. Szerszy komentarz do wyników w spoilerze plus działania pod kątem prawidłowego usunięcia ComboFix z systemu. 1. ComboFix u Ciebie nie zrobił nic pożytecznego, a wręcz zaszkodził. Oto co skasował: ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))..c:\program files (x86)\codecc:\program files (x86)\codec\ffdshow\Boost_Software_License_1.0.txtc:\program files (x86)\codec\ffdshow\ffmpegmt.dllc:\program files (x86)\codec\ffdshow\gnu_license.txtc:\program files (x86)\codec\ffdshow\languages\ffdshow.1026.bgc:\program files (x86)\codec\ffdshow\languages\ffdshow.1028.tcc:\program files (x86)\codec\ffdshow\languages\ffdshow.1029.czc:\program files (x86)\codec\ffdshow\languages\ffdshow.1034.esc:\program files (x86)\codec\ffdshow\languages\ffdshow.1035.fic:\program files (x86)\codec\ffdshow\languages\ffdshow.1038.huc:\program files (x86)\codec\ffdshow\languages\ffdshow.1040.itc:\program files (x86)\codec\ffdshow\languages\ffdshow.1041.jac:\program files (x86)\codec\ffdshow\languages\ffdshow.1046.brc:\program files (x86)\codec\ffdshow\languages\ffdshow.1049.ruc:\program files (x86)\codec\ffdshow\languages\ffdshow.1051.skc:\program files (x86)\codec\ffdshow\languages\ffdshow.1053.sec:\program files (x86)\codec\ffdshow\languages\ffdshow.2052.scc:\program files (x86)\codec\ffdshow\unins000.datc:\program files (x86)\codec\ffdshow\unins000.exec:\program files (x86)\Common Files\ASPG_icon.icoc:\programdata\FullRemove.exec:\windows\msvcr71.dllc:\windows\SysWow64\muzapp.exeD:\Autorun.infD:\setup.exe Żaden z tych obiektów nie był infekcją. Folder "codec" kierujący do ffdshow mówi sam za siebie, plik muzapp.exe = Samsung Kies, plik FullRemove.exe = Oberon Game Platform, plik ASPG_icon.ico = jakaś asusowa ikonka, a te pliki z dysku D objęte zostały procedurą kasowania luźnych plików z root dysków (pod kątem infekcji z USB) i też nie sądzę, by były szkodliwe. Na szczęście to nie były kryzysowe kasacje. Odzysk z kwarantanny właściwie nieopłacalny, gdyż ffdshow i tak wypada odinstalować i wymienić najnowszą wersją (masz starą z roku 2009), a reszta tu podanych plików nie ma znaczenia. Aczkolwiek ... skasowany folder ffdshow zawierał właśnie plik deinstalacyjny unins000.exe. Częściowo przywrócisz skasowane rzeczy. Otwórz Notatnik i wklej w nim: DeQuarantine:: C:\Qoobox\Quarantine\c\program files (x86)\codec C:\Qoobox\Quarantine\c\program files (x86)\Common Files\ASPG_icon.ico.vir C:\Qoobox\Quarantine\c\windows\SysWow64\muzapp.exe.vir Quit:: Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\kamil\Desktop\ComboFix.exe /uninstall mam problem z strasznie dlugo uruchamiajacym sie systemem i jego dosc powolna praca, od niedawna zaczal sie zawieszac a jedyna rada na kaprysy lekko ponad rocznego laptopa to odlaczenie zasilania. Po wykonaniu czynności ze spoilerów powyżej: 1. Pierwsze co się rzuca w oczy to kryzysowe zestawienie oprogramowania zabezpieczającego. Zabijasz zasoby podwójnym antywirusem, tu działają w tle równolegle: Avira + Trend Micro Titanium Internet Security. To masakra. Odinstaluj starszy Trend Micro. Ta operacja już powinna przyśpieszyć system, ale nie spocznij na tym i: 2. Wyłącz zbędne wpisy ze startu. Uruchom Autoruns i w karcie Logon odznacz: O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)O4 - HKLM..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)O4 - HKLM..\Run: [Nuance PDF Reader-reminder] C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe (Nuance Communications, Inc.)O4 - HKLM..\Run: [updateLBPShortCut] C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKLM..\Run: [updateP2GoShortCut] C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKU\S-1-5-21-2527172339-2500192404-2440246376-1001..\Run: [KiesAirMessage] C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe (Samsung Electronics)O4 - HKU\S-1-5-21-2527172339-2500192404-2440246376-1001..\Run: [KiesPreload] C:\Program Files (x86)\Samsung\Kies\Kies.exe (Samsung) W karcie Services odznacz: SRV - [2012/07/13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)SRV - [2011/06/06 11:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)SRV - [2010/03/18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) 3. Odinstaluj zbędny przychówek ASUS. Pierwszy do odstrzału to wirtualny dysk ASUS WebStorage. Oprogramowanie zdowodowane na forum jako problematyczne (błędy explorer.exe podczas nawigacji w eksploratorze). W cięciu softów ASUS można się posunąć dalej, tu z Twojej listy zainstalowanych z komentarzami co do czego: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{13F4A7F3-EABC-4261-AF6B-1317777F0755}" = Fast Boot > menedżer startu"{91EFE3A1-585E-4F66-B5F6-F118F56C4C47}" = ASUS Power4Gear Hybrid > tweaker zasilania [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0969AF05-4FF6-4C00-9406-43599238DE0D}" = ASUS Splendid Video Enhancement Technology > asusowe "poprawianie" jakości obrazu"{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}" = ASUS LifeFrame3 > zrzuter ekranu / edytor powiązany z kamerą"{2B81872B-A054-48DA-BE3B-FA5C164C303A}" = ASUS FancyStart > wymiana grafiki ekranu bootowania"{64452561-169F-4A36-A2FF-B5E118EC65F5}" = ASUS SmartLogon > logowanie do komputera za pomocą rozpoznawania twarzy"{6B77A7F6-DD63-4F13-A6FF-83137A5AC354}" = ASUS CopyProtect > zabezpieczenie przed nieautoryzowanym kopiowaniem danych"{9D48531D-2135-49FC-BC29-ACCDA5396A76}" = ASUS MultiFrame > system dzielenia okien"{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}" = ASUS Live Update > autoaktualizacja sterów/BIOS"{EC8BD21F-0CA0-4BBF-97D9-4A52B30041A1}" = ASUS Virtual Camera"{FA2092C5-7979-412D-A962-6485274AE1EE}" = ASUS Data Security Manager > szyfrowanie danych"Asus Vibe2.0" = AsusVibe2.0 > "Apple store" w wersji Asus"ASUS WebStorage" = ASUS WebStorage > omówione"ASUS_Screensaver" = ASUS_Screensaver + "{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint Jeśli z czegoś twardo korzystasz, to nie ruszaj. Po wykonaniu wszystkich podanych operacji zresetuj system, zrób nowy log OTL z opcji Skanuj + podaj log AdwCleaner o który proszę w spoilerze. Podaj czy jest jakaś poprawa. . Odnośnik do komentarza
paczo92 Opublikowano 22 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2012 wg polecen krok po kroku wykonane, combofix odinstalowany. diametralnej zmiany nie ma ale chyba troszke lepiej AdwCleanerS1.txt OTL.Txt.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2012 Zgłoś Udostępnij Opublikowano 23 Listopada 2012 Tym razem zrobiłeś log z OTL na nieprawidłowych ustawieniach: opcję Rejestr ustawiłeś na "Wszystko", a ma być "Użyj filtrowania". Co do akcji z pierwszego spoilera, komentarz w kolejnym spoilerze: Nie wygląda byś wykonał to lub prowadziłeś to w niepoprawny sposób: 3. Zresetuj preferencje Firefox zgwałcone przez adware. Zamknij Firefox (nie może być uruchomiony w procesach!) i przenieś na Pulpit ten plik: C:\Users\kamil\AppData\Roaming\Mozilla\Firefox\Profiles\tqb62jc1.default\prefs.js Skąd ten wniosek: AdwCleaner otwierał plik prefs.js Firefox i zamiatał w nim, a to nie powinno mieć miejsca po przeniesieniu pliku prefs.js. I ja na Pulpicie widzę plik prefs.js.BAK a nie prefs.js: [2012/11/21 17:52:12 | 000,024,801 | ---- | M] () -- C:\Users\kamil\Desktop\prefs.js.BAK To nasuwa wnioski, że nie widziałeś rozszerzenia pliku i przenosiłeś ten, który wydawał się wizualnie być prefs.js, a w rzeczywistości podwójne rozszerzenie prefs.js.bak. Z drugiej strony ... AdwCleaner niby usuwał też plik user.js, a tu w nowym logu to jakby wróciło na miejsce. Firefox nadal zabrudzony adware (zmodyfikowany prefs.js + obecność user.js). Wykonaj: 1. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. 2. Zamknij Firefox. Upewnij się, że nie działa w procesach. 3. Otwórz Mój komputer i w pasku adresów wklej ścieżkę: C:\Users\kamil\AppData\Roaming\Mozilla\Firefox\Profiles\tqb62jc1.default Skasuj stamtąd pliki prefs.js + user.js. diametralnej zmiany nie ma ale chyba troszke lepiej Idziemy dalej: 1. Folder "codec" odzyskany po usuwaniu ComboFixem, to teraz odinstaluj ten stary ffdshow. Nic na razie nie instaluj zamiennie. Na końcu omówimy takie rzeczy. 2. W Autoruns w karcie Logon skasuj ten szczątkowy wpis po ASUS WebStorage, a dwa pozostałe odptaszkuj: O4:64bit: - HKLM..\Run: [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe File not foundO4 - HKLM..\Run: [Nuance PDF Reader-reminder] C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe (Nuance Communications, Inc.)O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) W karcie Services odptaszkuj Windows Defender, jakoś przez nieuwagę go nie załączyłam: SRV:64bit: - [2009/07/14 02:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) 3. Wrócę do zintegrowanych firmowych aplikacji ASUS. Ominąłeś usuwanie ASUS Data Security Manager i CyberLink. Czy na pewno z tego korzystasz? Deinstalacja tego odjęłaby kilka zbędnych procesów. 4. Proponuję testowo odinstalować Avirę, by sprawdzić czy nie miesza. Jak mówię to test (Avirę potem będzie można przywrócić na miejsce), a ma taką formę, bo tylko deinstalacja antywirusa daje gwarancję odcięcia wszystkich jego aktywności. Po wykonaniu wszystkiego podaj co się dzieje, jaki konkretnie problem się ujawnia ze startem i pracą systemu. . Odnośnik do komentarza
paczo92 Opublikowano 23 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2012 Konkretnie: problem sie nie pojawia, calosc poleconych czynnosci odmulila prace komputera start dosc plynny ale zawsze pozostaje niedosyt. Odistalowany ffdshow i avira. Odnośnik do komentarza
paczo92 Opublikowano 26 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2012 Przez weekend komputer znów sie zawieszał, ale bardziej mnie interesuje co z avira i ffdshow Odnośnik do komentarza
Anonim8 Opublikowano 26 Listopada 2012 Zgłoś Udostępnij Opublikowano 26 Listopada 2012 Przez weekend komputer znów sie zawieszał, Co konkretnie robiłeś, że się zawieszał? Odnośnik do komentarza
paczo92 Opublikowano 27 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2012 nic nadzwyczajnego korzystalem a wlasciwie probowalem skorzystac z portalu kinomaniak.tv Odnośnik do komentarza
Anonim8 Opublikowano 27 Listopada 2012 Zgłoś Udostępnij Opublikowano 27 Listopada 2012 To znaczy co? Nie możesz obejrzeć filmu, strona się nie ładuje? Odnośnik do komentarza
paczo92 Opublikowano 28 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2012 nie no w koncu moglem ale 2 razy zrobilem ruski reset bo sie zawieszal na amen Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się