Diagnostyka komputera

[Laco]

Witam,

 

Jest to mój drugi komputer.

Myślę, że jest on dosyć mocno zainfekowany.

Ostatnimi czasy chodzi wolniej, częściej się zwiesza.

Do tego wszystkiego ostatnio jak się zwiesił to wyłączył mi się explorer. Reset nic nie dał.

Dopiero przywracanie systemu pomogło. Tak mi się działo już ze 3 razy.

 

Do tej pory uwżywałem tylko programów czyszczące rejestry itp.

Raz użyłem Combofixa ale wtedy jeszcze nie wiedziałem o istnieniu tego forum ani o otl

 

 

Przesyłam logi z OTL.

 

Proszę o jakieś wskazówki i pomoc.

 

Pozdrawiam

OTL.Txt

Extras.Txt

[picasso]

Obowiązkowym logiem jest także GMER. W OTL nie widać czynnej infekcji, tylko są jej odpadki (plik trojana "policyjnego") oraz elementy adware. To raczej nie może być przyczyną problemów, są to rzeczy błahe.

 

Ostatnimi czasy chodzi wolniej, częściej się zwiesza.

Do tego wszystkiego ostatnio jak się zwiesił to wyłączył mi się explorer. Reset nic nie dał.

 

1. Podejrzany: Vista Inspirat 2. Jest to bardzo silny transformer, który patchuje pliki systemowe.

 

2. Jest tu zainstalowany stary scrackowany ESET.

 

3. Dodatkowo, Dziennik zdarzeń zgłasza komunikaty o uszkodzonej strukturze plików na dysku D:

 

Error - 2012-12-12 05:09:13 | Computer Name = DOM-E8608E9AF82 | Source = Ntfs | ID = 262199
Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku.
Uruchom narzędzie chkdsk na woluminie D:.

 

 

---

Doczyść śmieci:

 

1. Przez Panel sterowania odinstaluj adware IncrediMail MediaBar 2 Toolbar oraz McAfee Security Scan Plus (sponsor paczek Adobe).

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\Laco.DOM-E8608E9AF82\Dane aplikacji\PriceGong
C:\Documents and Settings\Laco.DOM-E8608E9AF82\Dane aplikacji\Search Settings
C:\Documents and Settings\Laco.DOM-E8608E9AF82\Dane aplikacji\YouTube Downloader
C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
 
:OTL
IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKCU\..\SearchScopes\{0F31B13C-9827-481F-8144-4B2988F8B968}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=867034&p={searchTerms}"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=3CCE4616-F644-47BD-85EF-CEF3C5EF4DDE&apn_sauid=1E60B807-CEB7-4882-A327-2A28C4083326"
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={sear"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541903009311374"
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKCU\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - SOFTWARE\Classes\CLSID\{F3FEE66E-E034-436a-86E4-9690573BEE8A}\InprocServer32 File not found
O2 - BHO: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - Reg Error: Value error. File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Secondary Start Pages"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Nie AdwCleaner_www.INSTALKI.pl.exe, tylko AdwCleaner pobrany ze strony domowej narzędzia.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Laco]

Prawie wszystko zrobione zgodnie z powyższymi instrukcjami jedak przy skanowaniu GMEREM, przy sprawdzaniu jednego pliku z folderu "DRIVERS" sys.ftdc czy coś w tym stylu, wywala mi blue screen.

Także nie mogę Ci tego logu przesłać.

 

Mam też pytanie a zarazem prośbę: W jaki sposób mogę wyłączyć sprawdzanie systemu (Partycja D) zaraz po bootowaniu windowsa. Jest to dosyć uciążliwe przy uruchamianiu systemu.

 

W załączeniu logi.

 

Pozdrawiam i z góry dziękuje za poświęcony mi czas.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zadania czyszczące wykonane

 

1. Mini poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

Prawie wszystko zrobione zgodnie z powyższymi instrukcjami jedak przy skanowaniu GMEREM, przy sprawdzaniu jednego pliku z folderu "DRIVERS" sys.ftdc czy coś w tym stylu, wywala mi blue screen.

Także nie mogę Ci tego logu przesłać.

 

Widzę w logu z OTL, że system w ogóle nie przygotowany do uruchomienia GMER. Działa sterownik SPTD od emulatora napędów wirtualnych:

 

DRV - [2010-05-31 09:08:47 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

W opisie GMER było przecież przekierowanie do instrukcji, które należy wykonać przed startem GMER: KLIK. Czyli: deinstalacja DAEMON Tools Lite, deinstalacja SPTD narzędziem SPTDinst, reset systemu.

 

 

Mam też pytanie a zarazem prośbę: W jaki sposób mogę wyłączyć sprawdzanie systemu (Partycja D) zaraz po bootowaniu windowsa. Jest to dosyć uciążliwe przy uruchamianiu systemu.

 

Cytowałam ten błąd. Czy w ogóle kończysz to sprawdzanie dysku? Jeśli nie, należy je wykonać. Jeśli jednak to się zgłasza mimo wykonania akcji, to:

 

Start > Uruchom > cmd

 

- Wpisz komendę fsutil dirty query D:. Jeżeli zwróci potwierdzenie:

- Wpisz komendę CHKNTFS /X D: i zresetuj komputer.

- Wpisz komendę CHKDSK /F /R D: i zresetuj komputer, doczekaj, aż narzędzie skończy.

- Na koniec zweryfikuj ponownie zwrot z fsutil.

 

I to może być preludium do awarii sprzętowej.

 

 

 

.

[Laco]

A więc tak..

Do punktu 3 wszystko wykonane.

 

Odnośnie GMER:

Wyczyściłem wszystko z programów typu DEAMON Tools Lite.

Kolejno wykonałem deinstalacje programem SPTDinst.

 

I w dalszym ciągu wywala mi blue screen tym razem przy pliku "Fs.rec.sys."

 

Co do sprawdzania systemów plików..

Pierwsze kroki wykonałem i przy restarcie windows odpala się już bez tego narzędzia natomiast chcąc wykonać kolejne polecenia, wyrzuca mi błąd. Załącznik w postaci print screenu.

 

To na tyle.

 

Pozdrawiam

[picasso]

Pierwsze kroki wykonałem i przy restarcie windows odpala się już bez tego narzędzia natomiast chcąc wykonać kolejne polecenia, wyrzuca mi błąd. Załącznik w postaci print screenu.

 

To nie błąd, to normalne. Dezinstalacja woluminu jest konieczna, by móc przeprowadzić sprawdzanie w trybie naprawy. Odpowiadasz w oknie twierdząco, system zwróci komunikat, że checkdisk został zaplanowany na kolejny start komputera, restartujesz.

 

 

I w dalszym ciągu wywala mi blue screen tym razem przy pliku "Fs.rec.sys."

 

Spróbuj w GMER odznaczyć sekcję IAT/EAT w skanie.

 

 

 

.

[Laco]

Ze sprawdzaniem plików wszystko wykonane.

 

 

Spróbuj w GMER odznaczyć sekcję IAT/EAT w skanie.

 

Niestety, przy którymś z plików kolejny raz wyrzuca mi bluescreen.

"epfwtdir.sys" <-- dokładnie przy tym pliku.

[picasso]

Niestety, przy którymś z plików kolejny raz wyrzuca mi bluescreen.

"epfwtdir.sys"

 

To spróbuj odznaczać kolejne sekcje skanu, aż trafisz w tę, która stwarza problem. A jeśli ogólnie nici z interesu, to sprawdź co widzi Kaspersky TDSSKiller. Gdyby coś wykrył, nic nie usuwaj, ustaw Skip i log do oceny zaprezentuj.

 

 

 

.

[Laco]

Powiem tak:

 

Kaspersky TDSSKiller nic nie wykrył.

 

Natomiast GMEREM jeszcze nie próbowałem. W późniejszym czasie popróbuje i przedstawię wyniki.

 

Pozdrawiam

[Laco]

Udało się w końcu przeskanować GMEREM

 

a o to wyniki:

GMER.txt

[picasso]

W GMER nic podejrzanego. Tak więc: na czym tu stoimy po przeprowadzeniu działań?

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso