Maksio Opublikowano 11 Września 2014 Zgłoś Udostępnij Opublikowano 11 Września 2014 Witam, Dostałem do zobaczenia laptop od znajomego który stwierdził, że od jakiegoś czasu w ogóle nie da się na nim nic robić. No i faktycznie, działa bardzo opornie, bywa, że łapie "freeza" na 5-10 sekund. Podejrzewałem wirusy, ale skanowanie za pomocą trzech programów: malwarebytes anti-malware adwcleaner spybot s&d nie wykazało praktycznie nic poważniejszego, chociaż mam wrażenie, że laptop działa jednak lepiej Po uruchomieniu menedżera zadań widzę, że: Pamięć fizyczna (MB) Razem 1024 Buforowana 350 (około) Wolna 0 Być może tu leży problem ? ale nie spodziewałbym się, że system może działać tak tragicznie, może jakaś poważniejsza infekcja siedzi gdzieś głębiej, dlatego proszę o sprawdzenie logów. (niestety nie udało mi się ukończyć skanowania gmerem, był komunikat, że system odzyskal sprawność po... - coś takiego) Extras.Txt OTL.Txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2014 Zgłoś Udostępnij Opublikowano 11 Września 2014 Temat przenoszę do działu Windows. Jeśli rzecz o infekcji, to brak śladów czynnych, są tylko odpadki po infekcji z przenośnych USB w postaci mapowania MountPoints2 (historia podpinanych urządzeń) i nie ma to wpływu na wydajność. Natomiast jeśli chodzi o spowolnienie, to zwraca tu uwagę stary Avast (z 2011) oraz szczątek paska AVG (czynny sterownik). Ponadto, doinstalowałeś w ramach diagnostyki Spybot - Search & Destroy i pogorszyłeś tym stan. Spybot wykonał niekorzystną modyfikację pliku HOSTS obciążającą usługę Klient DNS, co znajduje odbicie w nowym błędzie w Dzienniku zdarzeń: System errors: ============= Error: (09/11/2014 05:50:48 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: 30000Dnscache Wstępnie: 1. Odinstaluj Avast, Spybot - Search & Destroy, wszystkie stare wystąpienia produktów Adobe oraz Java i przeterminowaną Operę. 2. Wyłącz zbędne wpisy ze startu. W Autoruns w karie Logon odznacz: HKLM\...\Run: [Windows Defender] => C:\Program Files\Windows Defender\MSASCui.exe [1008184 2008-01-19] (Microsoft Corporation) HKLM\...\Run: [QPService] => C:\Program Files\HP\QuickPlay\QPService.exe [172032 2007-01-15] (CyberLink Corp.) HKLM\...\Run: [GrooveMonitor] => C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [31072 2008-10-25] (Microsoft Corporation) HKLM\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [49208 2011-05-10] (Hewlett-Packard) HKLM\...\Run: [Windows Mobile-based device management] => C:\Windows\WindowsMobile\wmdSync.exe [215552 2006-11-02] (Microsoft Corporation) HKU\S-1-5-21-3441704762-2898148627-108639610-1000\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter HKU\S-1-5-21-3441704762-2898148627-108639610-1000\...\Run: [ehTray.exe] => C:\Windows\ehome\ehTray.exe [125952 2008-01-19] (Microsoft Corporation) HKU\S-1-5-21-3441704762-2898148627-108639610-1000\...\Run: [ALLUpdate] => C:\Program Files\ALLPlayer\ALLUpdate.exe [869888 2008-11-24] () HKU\S-1-5-21-3441704762-2898148627-108639610-1000\...\Run: [WMPNSCFG] => C:\Program Files\Windows Media Player\WMPNSCFG.exe [202240 2008-01-19] (Microsoft Corporation) Startup: C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk (Jeśli po deinstalacjach Adobe i Java będą nadal wpisy do nich się odwołujące = usuń zamiast wyłączyć) 3. Usuń wpisy szczątkowe i wyczyść Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 avgtp; C:\Windows\system32\drivers\avgtpx86.sys [31576 2013-01-28] (AVG Technologies) S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] U1 StarOpen; No ImagePath S4 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] HKLM\...\Run: [hpqSRMon] => [X] HKLM\...\Run: [] => [X] Task: {A759BD0D-FA1A-476F-9AC7-3A79A56A9FEC} - System32\Tasks\{F2969681-AFC4-4B30-91D4-30E609967991} => C:\Program Files\Skype\Phone\Skype.exe Task: {E9A961FF-3463-4B9C-9B3E-FFA51FE8BD6C} - System32\Tasks\{B61FF53B-4B37-49B4-81F3-A335F0A0802C} => C:\Program Files\Skype\Phone\Skype.exe SearchScopes: HKCU - {5B291E6C-9A74-4034-971B-A4B007A0B315} URL = http://radiobar.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp BHO: No Name -> {1E8A6170-7264-4D0F-BEAE-D42A53123C75} -> No File BHO: No Name -> {6D023EBF-70B8-45A6-9ED5-556515FA0FE4} -> No File Toolbar: HKLM - No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File Toolbar: HKCU - No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - RadioBar Toolbar - {5B291E6C-9A74-4034-971B-A4B007A0B315} - No File C:\Program Files\Mozilla Firefox c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\system32\sqlite3.dll C:\Windows\system32\drivers\avgtpx86.sys C:\Windows\system32\Drivers\etc\hosts.*.backup Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Users\Paulina\AppData\Local\Temp*.html CMD: sc config "PLAY ONLINE. RunOuc" start= demand Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (zaznacz Addition, ale nie Shortcut). Dostarcz plik fixlog.txt. Wypowiedz się co się dzieje po w/w akcjach. . Odnośnik do komentarza
Maksio Opublikowano 12 Września 2014 Autor Zgłoś Udostępnij Opublikowano 12 Września 2014 Niestety muszę już oddać laptopa, więc nie zdążę zrobić nowych logów, ale dziękuję za pomoc postaram się wykonać jak najwięcej ww czynności w celu usprawnienia dziękuję ! Ps. już od czasów searchengines parę ładnych lat temu podziwiam Twoją wiedzę, to niesamowite. Pozdrawiam //edit: Znajomy jednak nie przyjedzie dzisiaj po laptopa, więc podzielę się spostrzeżeniami: Usunąłem wszystko co było wyszczególnione w poście poprzez "usuń programy", czyli: avast, spybot, wszystko związane z adobe oraz java i operę następnie ściągnąłem autoruns z linku i zacząłem sprawdzać zakładkę Logon - niestety większości z wpisów nie było... odznaczyłem te co były i zapisałem, a następnie uruchomiłem skrypt zgodnie z instrukcją i teraz jest problem: nie wiem ile czekać, ale jest status" fixing is in progress" od ok. 15-20 minut i nic... Jeżeli w ciągu pół godziny nic się nie stanie, to zresetuję laptopa niestety. Ps. przy okazji pytanie: po deinstalacji antywirusa, zainstalować najnowszego avasta czy w ogóle nic nie instalować ? Odnośnik do komentarza
picasso Opublikowano 13 Września 2014 Zgłoś Udostępnij Opublikowano 13 Września 2014 i teraz jest problem: nie wiem ile czekać, ale jest status" fixing is in progress" od ok. 15-20 minut i nic... Jedyne co mi przychodzi do głowy, to komenda EmptyTemp:, która może się długo wykonywać. Trudno określić ile to może maksymalnie trwać, ale znam przypadki, że podobna komenda w OTL wykonywała się kilka godzin, aż wymęczyła czyszczenie, a w statystykach końcowych okazało się, że było usuwane około 20-30 GB tempów... następnie ściągnąłem autoruns z linku i zacząłem sprawdzać zakładkę Logon - niestety większości z wpisów nie było... odznaczyłem te co były Zapomniałam napisać, by w menu włączyć pokazywanie wejść Microsoftu. Domyślnie Autoruns stosuje filtrowanie własnego producenta, a tu mamy kilka pozycji w starcie oznaczonych jako "Microsoft". Ps. przy okazji pytanie: po deinstalacji antywirusa, zainstalować najnowszego avasta czy w ogóle nic nie instalować ? Na razie nie, oczekuję na jasne wyniki po wykonaniu instrukcji. Natychmiastowa instalacja antywirusa po jego usunięciu może zaciemnić sprawy. Instalację najnowszego Avast wykonasz na szarym końcu. . Odnośnik do komentarza
Maksio Opublikowano 13 Września 2014 Autor Zgłoś Udostępnij Opublikowano 13 Września 2014 ok, usunąłem (znaczy odznaczylem) wszystkie wskazane w autoruns elementy skrypt zadzialal - komputer się zrestartował załączam logi Ogólne wrażenie - działa dużo lepiej niż było, szybciej startuje i szybiej odpala przeglądarkę po uruchomieniu nadal jednak są przycięcia, podejrzewam, że to wynik 1gb pamięci ram Dzięki jeszcze raz Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2014 Zgłoś Udostępnij Opublikowano 13 Września 2014 Skrypt uruchomiłeś dwa razy, tego nie powinno się robić, skrypt jest jednorazowy. Skutki: 99% "not found", a ile poprzednio Tempów wyczyszczono to nie do końca wiadomo (powtórzona komenda czyści na nowo, dlatego tylko 15MB w statystykach). Ten etap już zakończyliśmy. Poprawki i działania końcowe: 1. Otwórz Notatnik i wklej w nim: S2 gupdate1caa04c7c5def6c; C:\Program Files\Google\Update\GoogleUpdate.exe [133104 2010-01-28] (Google Inc.) Task: {04C9D99A-921B-4FB7-B48D-530D76A6E858} - System32\Tasks\{E6C49AA9-D3DF-4F26-947A-E946A98C003E} => c:\program files\opera\opera.exe Task: {4ABB00E9-6759-40AE-830E-7B7EEC8AE3DB} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {64F79D32-5111-400E-83B6-1A3D3B0CF914} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2010-01-28] (Google Inc.) Task: {B0780BB5-ABFD-4BAF-9861-40C545F6983F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2010-01-28] (Google Inc.) Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe C:\ProgramData\AVAST Software C:\ProgramData\Spybot - Search & Destroy C:\Program Files\Spybot - Search & Destroy 2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Przez SHIFT+DEL (omija Kosz) skasuj używane narzędzia z C:\Users\Paulina\Desktop\skany antywirus + z Pobieranie. Zastosuj DelFix. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zrób ogólną defragmentację dysku + defragmentację typu "Boot Time" przy udziale Puran Defrag. Ogólne wrażenie - działa dużo lepiej niż było, szybciej startuje i szybiej odpala przeglądarkę po uruchomieniu nadal jednak są przycięcia, podejrzewam, że to wynik 1gb pamięci ram Istotnie, RAM mało, a po dołożeniu antywirusa spożycie wzrośnie. Dodatkowy aspekt to sterowniki tego komputera, może być wymagana aktualizacja, o ile są dostępne aktualizacje. . Odnośnik do komentarza
Maksio Opublikowano 13 Września 2014 Autor Zgłoś Udostępnij Opublikowano 13 Września 2014 fixlog wyrzuciłem sobie na pulpit, później użyłem DelFix i niestety też mi usunęło ten log, ale przejrzalem go na szybko i wszystko bylo tak jak być powinno, znaczy komunikaty wskazywaly, że wykonanie skryptu było od początku do końca ok reszta rzeczy zrobiona Jeszcze raz dziękuję - patrząc ile można poprawić w niezainfekowanym systemie chyba zgłoszę się jeszcze ze swoim stacjonarnym komputerem - dzięki ! Odnośnik do komentarza
Rekomendowane odpowiedzi