Skocz do zawartości
Nadchodzące zmiany w logowaniu

Spy Emergency i zacinanie przy autostarcie oraz pozostałosci po nieprawidłowo usuniętych programach

techniacz97

Przez techniacz97
w Software

Rekomendowane odpowiedzi

techniacz97

techniacz97

Opublikowano
Opublikowano

Po wcześniejszym skanowaniu i przeniesieniu trojana z autostartu spy'em emergency, po ponownym uruchomieniu za każdym razem eksplorator przestawał działać średnio po mniej niż dwóch minutach ale inne programy typu flux uruchamiały się prawidłowo. Zauważylem że to wina spy dopiero gdy w trybie awaryjnym wylaczylem jego autostart, to w tedy system pracował prawidłowo ale znów sie wieszał gdy go uruchomiałem ze skrótu (Spy Emergency) Podejrzewam ze to wina zawartości kwarantanny. Również widzę od dłuższego czasu pozostałość po O&O Defrag Professional 16.0.151.0 przy ładowaniu windowsa, przed ekranem logowania. Próbowałem różnymi programami z forum do czyszczenia właśnie takich pozostałości ale nic nie dały.

Postanowiłem odinstalować Spy Emergency revo Uninstaller Pro.

Log OTL po usunięciu:

Log OTL przed usunięciem:

Extras,po.Txt

OTL,po.Txt

Extras,przed.txt

OTL,przed.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Przesadziłeś z konfiguracją OTL, ustawiłeś wiele opcji na Wszystko, a tu powinno być Użyj filtrowania.

 

 

Po wcześniejszym skanowaniu i przeniesieniu trojana z autostartu spy'em emergency, po ponownym uruchomieniu za każdym razem eksplorator przestawał działać średnio po mniej niż dwóch minutach ale inne programy typu flux uruchamiały się prawidłowo. Zauważylem że to wina spy dopiero gdy w trybie awaryjnym wylaczylem jego autostart, to w tedy system pracował prawidłowo ale znów sie wieszał gdy go uruchomiałem ze skrótu (Spy Emergency) Podejrzewam ze to wina zawartości kwarantanny.

Ten Spy Emergency to program którego konduitę poddaję w wątpliwość. I nie podałeś co on wykrył i gdzie. Nie można tego ocenić. Widzę, że jak szalony stosowaLogi z OTL przed i po nie wykazują różnic, w znaczeniu: jawnych trojanów nie widać. Natomiast nie wiem co to za zadania / do czego kierują:

 

[2013-06-02 15:24:51 | 000,000,366 | ---- | C] () -- C:\Windows\tasks\{5620D72C-304F-49B0-A320-97B09F4ACC07}.job

[2013-06-02 15:24:34 | 000,000,386 | ---- | C] () -- C:\Windows\tasks\{B7CCDA3A-DCB0-4055-9B06-0AF441888BB0}.job

[2013-06-02 15:24:16 | 000,000,386 | ---- | C] () -- C:\Windows\tasks\{00866F5C-419F-4C1D-BEBF-58B615814BEF}.job

 

Poproszę o log z FRST, ale tylko plik Addition.txt.

 

 

Postanowiłem odinstalować Spy Emergency revo Uninstaller Pro.

Jeszcze ten folder NETGATE po nim usuń oraz szczątki po innych aplikacjach:

 

[2013-06-05 22:18:45 | 000,000,000 | ---D | C] -- C:\Program Files\NETGATE
 

[2013-06-20 19:52:24 | 000,000,000 | ---D | C] -- C:\Qoobox

[2013-06-20 18:51:42 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine

[2013-06-25 14:06:56 | 000,000,171 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat

[2013-06-20 22:24:06 | 000,000,272 | ---- | C] () -- C:\Windows\SysNative\drivers\sfi.dat

[2013-06-20 21:47:09 | 000,000,690 | ---- | C] () -- C:\Windows\SysWow64\{7995330B-E01F-4645-B702-53481E7CB778}.cmdfile

[2013-06-15 01:21:53 | 000,000,000 | ---D | C] -- C:\Users\ŁYSY\AppData\Local\Comodo

[2013-06-15 01:21:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Comodo

[2013-06-12 03:44:25 | 000,000,000 | ---D | C] -- C:\VTRoot

[2013-06-12 03:43:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\COMODO

[2013-06-12 04:08:04 | 000,000,000 | ---D | M] -- C:\Users\ŁYSY\AppData\Roaming\PCToolsFirewallPlus

[2013-06-06 18:31:34 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0

[2013-05-28 11:27:05 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools

[2013-05-28 10:58:32 | 000,253,256 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\PCTSD64.sys

[2013-05-28 10:54:35 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools

(C:\Windows\SysNative = C:\Windows\system32)

 

I odinstaluj dziwadło Dll-Files Fixer. Takie programy to tylko szkód mogą narobić na Windows 7. Do naprawy systemowych plików używa się sfc /scannow, to daje gwarancje prawidłowego wersjonowania.

 

 

Również widzę od dłuższego czasu pozostałość po O&O Defrag Professional 16.0.151.0 przy ładowaniu windowsa, przed ekranem logowania. Próbowałem różnymi programami z forum do czyszczenia właśnie takich pozostałości ale nic nie dały.

 

Za to jest odpowiedzialny wpis BootExecute:

 

O34 - HKLM BootExecute: (autocheck autochk *)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

O34 - HKLM BootExecute: (autocheck OODBS)

 

Domyślnie powinno być tylko autocheck autochk *. Skoryguj BootExecute plus małe rzeczy w zakresie konfiguracji IE. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN]
"Local Page"="C:\\Windows\\System32\\blank.htm"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN]
"Local Page"="C:\\Windows\\SysWOW64\\blank.htm"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\Windows\\System32\\blank.htm"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...
techniacz97

techniacz97

Opublikowano
  • Autor
Opublikowano

Z góry przepraszam za moją ignorancje i zwlekanie z odpowiedzią. Wydaje mi się ze Spy usunął plik z autostartu który był odpowiedzialny za ładowanie za każdym razem obrazu płyty przy uruchomianiu systemu, który uznał to za trojan.W deamon tools i w tego typu podobnych programach wszystko było odmontowane. Pozbyłem się DLLfix'a i zacząłem korzystać z powyższej komendy lecz za każdym razem po zakończeniu skanowania wyświetla mi oto taki komunikat:  " Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie może naprawić niektórych z tych plików. (...) ". ( próbowałem przesłać log od cbs, ale waży 15mb, a nie mam "uprawnień" do przesłania kompresji. )

 
(frag. Addition.log)
 
Error: (07/07/2013 10:15:32 PM) (Source: Application Hang) (User: )
Description: Program notepad.exe w wersji 6.1.7600.16385 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji.
 
Identyfikator procesu: 22dc
 
Godzina rozpoczęcia: 01ce7b4eb43a70fa
 
Godzina zakończenia: 5
 
Ścieżka aplikacji: C:\Windows\notepad.exe
 
Identyfikator raportu: f7ff0a4c-e741-11e2-9a1c-ce5975c74553
 
Notatnik też już od ok. dwóch miesięcy nieprawidłowo pracuje, wiesza się przy tworzenia nowego dokumenty oraz otwieraniu już zapisanego, nie ważne na jakiej partycji oraz jakiego rozmiaru. Czasem potrafi zawiesić cały eksplorator jeśli tworzy się dokument na pulpicie.
Z innej beczki, czasem przestają reagować skróty w menu start po prawej stronie drzewa oraz wszystkie " pod skróty opcji zamykania" oprócz samej opcji zamknięcia.
 Z góry dziękuje za poświęcenie czasu oraz uwagi.

Addition.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...