protoss Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 Witam jako nowy forumowicz. Przeczytałem instrukcję wstawiania nowych postów/tematów i mam nadzieję że robię to dobrze. Problem jest z laptopem. Na początku bardzo wolno się uruchamiał, bardzo wolno chodził i za bardzo nie można było na nim pracować. Po odinstalowaniu zbędnych aplikacji i nie groźnego malware typu ask toolbar za pomocą uninstallera i AWDCleanera oraz optymalizacji rejestrów programami takimi jak regcleaner i restarcie systemu oraz dołożeniu ramu do 824 MB jego praca wzrosła znacznie. Nie pokoi mnie jednak fakt taki, że po uruchomianiu systemu dysk twardy ciągle coś mieli. W menadżerze urządzeń widnienie proces services.exe. Stąd się dowiedziałem, że to wirus. Proszę o analizę poniższych logów: GMER OLT Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 Zestaw logów zdekompletowany, brakuje pliku OTL Extras (opcja Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Log z GMER zrobiony w złych warunkach, nie wymontowałeś emulatora DAEMON Tools i sterownika SPTD emulatora napędów wirtualnych (KLIK): DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a2jyafrh)DRV - [2013-01-15 15:38:16 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Aktualny odczyt w GMER niewiarygodny, a marker "suspicious PE modification" jest na obiekcie emulatora. Na razie nie widać żadnych oznak infekcji w stanie czynnym. Jedyne co jest od infekcji to historyczne mapowanie MountPoints2 wskazujące na podpinanie zainfekowanych urządzeń USB: O33 - MountPoints2\{20ed6f56-20a3-11df-a727-0018f36bde96}\Shell\AutoRun\command - "" = F:\9d6tpg.exeO33 - MountPoints2\{20ed6f56-20a3-11df-a727-0018f36bde96}\Shell\open\Command - "" = F:\9d6tpg.exeO33 - MountPoints2\{427ee058-22b7-11df-a72c-0018f36bde96}\Shell - "" = AutoRunO33 - MountPoints2\{427ee058-22b7-11df-a72c-0018f36bde96}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -aO33 - MountPoints2\{427ee059-22b7-11df-a72c-0018f36bde96}\Shell\AutoRun\command - "" = I:\yudald.batO33 - MountPoints2\{427ee059-22b7-11df-a72c-0018f36bde96}\Shell\open\Command - "" = I:\yudald.batO33 - MountPoints2\{6b97e556-cd59-11de-a6af-0018f36bde96}\Shell - "" = AutoRunO33 - MountPoints2\{6b97e556-cd59-11de-a6af-0018f36bde96}\Shell\AutoRun\command - "" = J:\LaunchU3.exe -aO33 - MountPoints2\{6dc85208-6718-11df-a794-0018f36bde96}\Shell\AutoRun\command - "" = J:\s1.exeO33 - MountPoints2\{6dc85208-6718-11df-a794-0018f36bde96}\Shell\open\Command - "" = J:\s1.exeO33 - MountPoints2\{be188600-d3be-11de-a6d0-001731bb73f8}\Shell\AutoRun\command - "" = F:\9d6tpg.exeO33 - MountPoints2\{be188600-d3be-11de-a6d0-001731bb73f8}\Shell\open\Command - "" = F:\9d6tpg.exeO33 - MountPoints2\{d6b3c5ea-edb4-11df-a7e9-0018f36bde96}\Shell - "" = AutoRunO33 - MountPoints2\{d6b3c5ea-edb4-11df-a7e9-0018f36bde96}\Shell\AutoRun\command - "" = F:\AutoRun.exeO33 - MountPoints2\{d6b3c5eb-edb4-11df-a7e9-0018f36bde96}\Shell - "" = AutoRunO33 - MountPoints2\{d6b3c5eb-edb4-11df-a7e9-0018f36bde96}\Shell\AutoRun\command - "" = F:\AutoRun.exeO33 - MountPoints2\{da60acb0-2160-11df-a72b-0018f36bde96}\Shell\AutoRun\command - "" = F:\9d6tpg.exeO33 - MountPoints2\{da60acb0-2160-11df-a72b-0018f36bde96}\Shell\open\Command - "" = F:\9d6tpg.exeO33 - MountPoints2\{e61f993e-a1c3-11de-a68b-0018f36bde96}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exeO33 - MountPoints2\{e61f993e-a1c3-11de-a68b-0018f36bde96}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe Doczyść to plus inne korekty na wpisy puste i poprawki po AdwCleaner:1. Wyczyść Firefox ze starych preferencji w tym adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::OTLO2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.O3 - HKU\S-1-5-21-234407451-4177935279-2621794233-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.O3 - HKU\S-1-5-21-234407451-4177935279-2621794233-1005\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not foundO4 - HKU\S-1-5-18..\RunOnce: [panda2_0dn] reg.exe delete "HKCU\Software\AppDataLow\Software\panda2_0dn" /f File not foundO4 - HKU\S-1-5-18..\RunOnce: [panda2_0dn_XP] reg.exe delete "HKCU\Software\panda2_0dn" /f File not foundO4 - HKU\S-1-5-18..\RunOnce: [panda4_0dn] reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_0dn" /f File not foundO4 - HKU\S-1-5-18..\RunOnce: [panda4_0dn_XP] reg.exe delete "HKCU\Software\panda4_0dn" /f File not foundO7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO7 - HKU\S-1-5-21-234407451-4177935279-2621794233-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel presentDRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)[2013-05-09 10:58:28 | 000,229,648 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe[2013-03-13 19:31:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software:Reg[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2][HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Start Page"="about:blank"[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}][-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E754E467-2D35-4642-82D1-49558BB4A03C}][-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]:Commands[emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu.3. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras). W menadżerze urządzeń widnienie proces services.exe. Stąd się dowiedziałem, że to wirus. Pomijając, że padły tam kuriozalne rzeczy w niektórych wypowiedziach, sytuacja się nie aplikuje do Twojego przypadku. Proces services.exe jest hostem usług systemowych (KLIK) i ma być. Żadnych replik / duplikatów w niespodzianych miejscach nie widzę. Wyjaśnij skąd Tobie po głowie chodzi services.exe, o co Ci chodzi i jakie masz podstawy do dywagacji na ten temat. Nie pokoi mnie jednak fakt taki, że po uruchomianiu systemu dysk twardy ciągle coś mieli. 1. Antywirus AVG 2013 może być przyczyną.2. Nie jest wykluczony problem z dyskiem. W raporcie widać, że checkdisk się uruchamiał i obcinał dane tworząc takie katalogi: [2013-05-23 17:13:42 | 000,000,000 | -HSD | C] -- C:\FOUND.005[2013-05-22 08:54:48 | 000,000,000 | -HSD | C] -- C:\FOUND.004[2013-05-20 11:08:20 | 000,000,000 | -HSD | C] -- C:\FOUND.003[2013-04-26 23:30:08 | 000,000,000 | -HSD | C] -- C:\FOUND.002 . Odnośnik do komentarza
protoss Opublikowano 24 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2013 Teraz chyba już nic nie zrobię. Po tym skrypcie OLT co podałaś chodzi tak wolno, że nie jestem w stanie wykonać drugiego skana OLT. Nawet w trybie awaryjnym. Odnośnik do komentarza
picasso Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 Skrypt nie ma z tym związku. Bardziej prawdopodobny jest skan GMER jako przyczyna. Mogą wystąpić skutki uboczne w postaci obniżenie szybkości transferu dysku z DMA do PIO. Instrukcje weryfikacji: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu" a nie ogólne ustawienie. Jeśli będzie tam PIO, z prawokliku odinstaluj kanał, zresetuj system, Windows przebuduje układ. . Odnośnik do komentarza
protoss Opublikowano 24 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2013 Po reinstalacji IDE szybkość wróciła do normy. Teraz z kolei myszki usb nie działają. A dla Ciebie log z OTL: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 Zadania wykonane. Natomiast problem myszek niejasny, bo tu nie było prowadzone nic związanego z tym konkretnym obszarem. Co stoi w menedżerze urządzeń na temat myszy USB, czy jest tam jakiś szczególny błąd (przepisz kod)? Czy reinstalacja myszek poprzez menedżer urządzeń + restart systemu była próbowana? . Odnośnik do komentarza
protoss Opublikowano 24 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2013 Próbowalem. Nawet wszystkie kontrolery USB odnstalowywalem, restart i nic. Objawy są takie ze myszka chwile pochodzi i potem kicha. Zero odzewu Odnośnik do komentarza
picasso Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 Czy masz możliwość sprawdzić inną mysz podpinaną na USB? Odnośnik do komentarza
protoss Opublikowano 25 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2013 Przepraszam, że z opóźnieniem... Tak.żadna myszka pod usb nie działa. Natomiast Pendrive np działa... Może to jakaś usługa za to jest odpowiedzialna? Dodam że jak podłanczam myszkę, to jest ten specyficzny "xp-ekowski" dźwięk podłączania urządzenia usb, ale nie wyskakuje dymek w prawym dolnym rogu. I jak napisałem pochodzi z 3-5 sekund i potem już nie działa. Szkoda by robic formata bo juz prawie wszystko z Twoja pomocą się zrobiło. Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 Podaj skan rejestru na potencjalne występowanie filtrów sprzętowych (Lower / Upper filters). Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\HID /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB /s Klik w Look. . Odnośnik do komentarza
protoss Opublikowano 25 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2013 Wykonam tą czynność dopiero w poniedziałek po południu, bo teraz nie mam możliwości. Dam Ci znać czy coś to dało. Pozrawiam i dzięki za pomoc, poświęcony czas. Odnośnik do komentarza
picasso Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 "Dam Ci znać czy coś to dało", ale to nic nie da, to nie jest żadna naprawa. To jest tylko skan w trybie "tylko do odczytu", który dopiero mam zamiar zanalizować. Odnośnik do komentarza
protoss Opublikowano 25 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2013 Rozumiem, tak czy siak trzeba poczekać, bo teraz nie mam dostępu do tego laptopa. EDIT: Tak jak pisałem... Przesyłam wyniki skana. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2013 Zgłoś Udostępnij Opublikowano 27 Maja 2013 Ze skanu nic ciekawego nie wynika. Spróbuj jeszcze raz przeładować USB wg kroków: Start > Uruchom > devmgmt.msc, z menu Widok włącz pokazywanie ukrytych urządzeń. Odinstaluj cały zestaw USB. Do usuwania USB, zamiast devmgmt.msc, można użyć też programiku USBDeview. Włącz pokazywanie ukrytych plików w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Uruchom wyszukiwarkę Windows (skonfiguruj, by przeszukiwała ukryte pliki) i wyszukaj infcache. Znalezione skasuj. Wyłącz komputer (zasilanie) i odczekaj kilka minut. Uruchom ponownie i sprawdź czy są jakieś skutki. . Odnośnik do komentarza
protoss Opublikowano 27 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2013 Nadal to samo... Pliki które kazałaś mi skasować nazywały się infcache.1 Odnośnik do komentarza
picasso Opublikowano 27 Maja 2013 Zgłoś Udostępnij Opublikowano 27 Maja 2013 Tylko zapytam: czy na pewno komputer został całkowicie wyłączony po przeprowadzeniu usuwania i pozostawiony na kilka minut w spokoju, a nie funkcja bezpośredniego restartu? Wyłączenie zasilania ma na celu "reset płyty głównej", o ile tak można to nazwać. . Odnośnik do komentarza
protoss Opublikowano 27 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2013 To jest laptop. Czyli rozumiem baterie od cmos też wyjąć? Odnośnik do komentarza
picasso Opublikowano 27 Maja 2013 Zgłoś Udostępnij Opublikowano 27 Maja 2013 Tak, powtórz kroki usuwające (odepnij też zewnętrzne USB) i wyciągnij baterię, zostaw w spoczynku kilka minut i zobaczymy co z tego wyniknie po ponownym uruchomieniu. Odnośnik do komentarza
protoss Opublikowano 27 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2013 Niestesty nie mam możliwości żeby się dostać do baterii cmos. Zrobiłem tylko load defauts bios... Może to Ci cos podowie, że jak podłączam "nowe" usb to w ogóle sie nie pokazuje dymek... tylko jest sam odgłos. EDIT: Nic to nie dało. Myślisz, że bez formata się nie obejdzie? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się