kocur38 Opublikowano 25 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2014 Zwykle użycie procesora w stanie spoczynku to jakieś 0-15%, gdy dzisiaj próbowałem zagrać w bf3 miałem straszne lagi. Odpaliłem menedżer zadań i zobaczyłem ze procesor jest używany w 100% mimo ze gra wyłączona . W msconfig wyłączyłem wszystkie programy przy starcie po restarcie dodatkowo wyłączyłem w menedżerze wszystkie procesy jakie się dało i nie pomogło. Odpaliłem win7 w trybie awarii i obciążenie procesora wahało się w granicy 0-3% . Przy odpalaniu niektórych programów komputer muli ale tragedii niema, gorzej w grach:( win7 x64 , Phenom II X4 955 , 8GB ram Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 Temat przenoszę do działu leczniczego z infekcji. W systemie działa Bitcoin miner (PC Data App): S2 ProtectMonitor; C:\Program Files\PCDApp\StartHelp.exe [97007 2014-04-10] () Nabyłeś go pobierając "downloader" z jakiegoś lewego portalu, poniższy plik to nie był instalator GTA tylko sponsorowany wrapper. Problematykę takich świńskich instalacji opisuję tutaj: KLIK. 2014-04-25 16:08 - 2014-04-25 16:08 - 00000000 ____D () C:\Program Files\PCDApp 2014-04-25 16:06 - 2014-04-25 16:06 - 00351232 _____ () C:\Users\Andrzej\Downloads\gta5monex.downloader__5546_il1209.exe Prócz tego są jeszcze mniej istotne odpadki adware (niedokładne czyszczenie wcześniej prowadzone m.in. przy udziale AdwCleaner), ale one nie mają wpływu na obciążenie systemu. Dodatkowo, występuje tu jakiś niesprecyzowany problem z WMI: ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BrowserProtect] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CPA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VNT] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5347542D-5637-006A-76A7-A758B70C0A02}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page Browser newtab extension] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG na Pulpicie (a nie w innej ścieżce) 2. Otwórz Notatnik i wklej w nim: S2 ProtectMonitor; C:\Program Files\PCDApp\StartHelp.exe [97007 2014-04-10] () Task: {2020C67F-0B06-4D54-81A6-8D0D50453A32} - \AmiUpdXp No Task File Task: {2892487D-CAC7-4652-B4B5-8008569FBD10} - \BrowserProtect No Task File Task: {E3A5E69E-355C-4927-BD58-54C3DE3DF02E} - \Desk 365 RunAsStdUser No Task File S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 TDPIPE; system32\drivers\tdpipe.sys [X] S3 TDTCP; system32\drivers\tdtcp.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service" HKU\S-1-5-21-832274295-3953399043-1981563008-1000\...\Run: [LG LinkAir] => [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO-x32: No Name - {6F91A936-734D-4EE7-9320-50718870285D} - No File CHR HKLM-x32\...\Chrome\Extension: [aaaailpifkkekipiachodfkfmgmiapmp] - C:\ProgramData\AskPartnerNetwork\Toolbar\SGT-V7\CRX\ToolbarCR.crx [2013-04-28] FF Plugin-x32: @esn/esnlaunch,version=1.110.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.118.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.118.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.138.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.138.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=2.1.4 - C:\Program Files (x86)\Battlelog Web Plugins\2.1.4\npesnlaunch.dll No File FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files\A C:\ProgramData\pclunst.exe C:\ProgramData\AskPartnerNetwork C:\Users\Andrzej\Desktop\Kontynuuj instalację Hamachi.lnk C:\Users\Andrzej\Downloads\gta5monex.downloader__5546_il1209.exe C:\Windows\SysWOW64\sqlite3.dll Folder: C:\Users\Andrzej\AppData\Roaming\library_dir CMD: reg import C:\Users\Andrzej\Desktop\FIX.REG Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer został błędnie naprawiony (utrata specjalnego atrybutu), prawdopodobnie przez AdwCleaner: Shortcut: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. W przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Przez Panel sterowania odinstaluj delikwenta PC Data App. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. . Odnośnik do komentarza
kocur38 Opublikowano 26 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 Problem rozwiązany. Bardzo dziękuje za pomoc, z przyjemnością wyślę dotację. Addition.txt AdwCleanerR0.txt AdwCleanerR1.txt AdwCleanerR2.txt AdwCleanerS0.txt AdwCleanerS1.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 Jeśli chodzi o logi z AdwCleaner: to on źle naprawił ten specjalny skrót IE. Dodatkowa uwaga na przyszłość: staraj się w pierwszej kolejności deinstalować programy adware / podejrzane / nieznane normalną drogą przez Panel sterowania oraz w menedżerach rozszerzeń / opcjach przeglądarek. Użycie AdwCleaner na w pełni zainstalowanych programach jest niepoprawną metodą i może skutkować pozostawieniem większej liczby śmieci. AdwCleaner nie zastępuje procesów deinstalacji, brutalnie usuwa komponenty, więc powinien być działaniem poprawkowym po naturalnych deinstalacjach. Bitcoin miner pomyślnie załatwiony, WMI naprawione. Nie wszystko poszło jednak jak należy i ostały się niektóre szczątkowe wpisy adware, w skrypcie FRST multum błędów, tak jakby był problem uprawnień... FRST powinien przetworzyć bez problemu wpisy, więc jest coś nie tak. Może to COMODO Internet Security blokuje. Kolejne podejście, tym razem w Trybie awaryjnym Windows: 1. Otwórz Notatnik i wklej w nim: Task: {2020C67F-0B06-4D54-81A6-8D0D50453A32} - \AmiUpdXp No Task File Task: {2892487D-CAC7-4652-B4B5-8008569FBD10} - \BrowserProtect No Task File Task: {E3A5E69E-355C-4927-BD58-54C3DE3DF02E} - \Desk 365 RunAsStdUser No Task File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service" HKU\S-1-5-21-832274295-3953399043-1981563008-1000\...\Run: [LG LinkAir] => [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: No Name - {6F91A936-734D-4EE7-9320-50718870285D} - No File S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 TDPIPE; system32\drivers\tdpipe.sys [X] S3 TDTCP; system32\drivers\tdtcp.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] C:\Program Files\PCDApp CMD: rd /s /q C:\AdwCleaner CMD: rd /s /q C:\found.001 CMD: rd /s /q "C:\Users\Andrzej\Desktop\Stare dane programu Firefox" CMD: rd /s /q C:\Users\Andrzej\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Andrzej\Downloads\mrnp874q.exe Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, przejdź w Tryb normalny. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. z przyjemnością wyślę dotację Dzięki! . Odnośnik do komentarza
kocur38 Opublikowano 26 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 a tak z ciekawości to co konkretnie robił ten wirus ze potrzebować takiej mocy obliczeniowej? Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 Nic nie wykonane, masowa "Odmowa dostępu". Czy ten fiks na pewno był uruchomiony w Trybie awaryjnym Windows? Nagłówek nosi adnotację Trybu normalnego: Boot Mode: Normal. a tak z ciekawości to co konkretnie robił ten wirus ze potrzebować takiej mocy obliczeniowej? Jak mówiłam, to był Bitcoin miner, Twój system był używany jako kopalnia monet. Używanie mocy obliczeniowej CPU leży w naturze tego typu: KLIK. . Odnośnik do komentarza
kocur38 Opublikowano 26 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 myślałem ze ten program sam przełączy w tryb awaryjny:) teraz dopiero odpaliłem w trybie awaryjnym z obsługa sieci . Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 Teraz gładko poszło, więc zapewne COMODO Internet Security był przyczyną ograniczonego dostępu. Finalizujemy temat: 1. Wstępnie już sprzątnęłam niektóre obiekty używanych narzędzi, popraw za pomocą DelFix. Dla pewności uruchom go w Trybie awaryjnym. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stare wersje wtyczek Adobe i Java, zastąp najnowszymi, oraz zaktualizuj resztę poniżej wskazaną: KLIK. Wersje widziane u Ciebie w systemie: Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM-x32\...\{B001064C-D061-4BAE-9031-416A838D5536}) (Version: 10.2.153.1 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.70 - Adobe Systems Incorporated) ----> wtyczka dla FF Java 6 Update 35 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216032FF}) (Version: 6.0.350 - Oracle) Mozilla Firefox 21.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 21.0 (x86 pl)) (Version: 21.0 - Mozilla) . Odnośnik do komentarza
kocur38 Opublikowano 26 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 Dziękuje za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi