Raziel Opublikowano 30 Września 2014 Zgłoś Udostępnij Opublikowano 30 Września 2014 Witam, od pewnego czasu zauważyłem bardzo spowolnioną pracę systemu i wręcz niemożność korzystania z przeglądarek, które toną od syfiastych reklam i toolbarów. Dodatkowo zauważyłem w Menedżerze zadań użycie procesora wynosi niezależnie od sytuacji 100% (od włączenia systemu, po pół godziny spada do 90), Czasem podczas logowania (Windows 8), i próbie wpisania hasła wyskakuje błąd o nazwie "INVALID_ATTACH_ATTEMPT" i reset systemu (nieraz wiele razy pod rząd). Wykonałem wcześniej skany Anti-Malwarem, które załączam (wykryły mnóstwo syfu, ale problem pozostał) Zostałem przekierowany z forum PcLab.pl z tematu http://forum.pclab.pl/topic/992402-Bardzo-za%C5%9Bmiecony-dysk/page__gopid__12860036entry12860036 Addition.txt FRST.txt Shortcut.txt OTL.Txt GMER.txt malware scan1.txt malware scan2.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2014 Zgłoś Udostępnij Opublikowano 1 Października 2014 GMER zrobiony w złym środowisku, nie zdjąłeś emulatorów: KLIK. Ale zostaw to już. Odnoszę się do Twojej wypowiedzi po wstępnym czyszczeniu: Dotychczasowe akcje przywróciły sprawność operacyjną na dysku, w przeglądarkach jednak nadal mam niemiłosierne zacinki . Zrobiłem reinstalkę Chrome i Firefoxa, ale problemy nadal występują (co ciekawe, pomimo uruchomionego Adblocka nadal wyskakuje mnóstwo reklam). Filmy się bardzo długo renederują a obrazy czasem się w ogóle nie ładują. Jeśli chodzi o to co tam robiono na innym forum, to błędy w skrypcie. Linii zainstalowanych nie ukrytych programów nie można załączać w skrypcie, to w ogóle zostanie zignorowane, bo jest to jedynie notatka zwracająca uwagę na poprawną deinstalację i nic poza tym. Skutki: Skype Packages (wrapper adware) nadal jest na liście zainstalowanych. System ogólnie nie został dobrze wyczyszczony, np. w Google Chrome nadal jest adware, a w Firefox niedomyślny plik user.js. Reinstalowałeś przeglądarki, ale wątpliwe, by to była tzw. "czysta" instalacja, pewnie profile na dysku zostały i to była nakładka, bo stan widziany tu pokazuje nadal bałagan w preferencjach. Poza tym, jest tu i też Opera, ale żadne z narzędzi jej nie skanuje, więc póki co zawartość nieznana. Wstępne akcje poprawkowe: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {680936CC-07F5-46EE-8A8C-DBAA5B24FC92} - System32\Tasks\Upd Inst-S-1156239722 => c:\programdata\brilliantinstaller\upd inst\Upd Inst.exe Task: {87D2E5C9-F3C8-478C-9AFA-4B6784C9BEA2} - System32\Tasks\Upd Inst-S-42011561 => c:\programdata\appready software\upd inst\Upd Inst.exe Task: C:\windows\Tasks\Upd Inst-S-1156239722.job => c:\programdata\brilliantinstaller\upd inst\Upd Inst.exe Task: C:\windows\Tasks\Upd Inst-S-42011561.job => c:\programdata\appready software\upd inst\Upd Inst.exe S2 1a34a8e0; "C:\windows\system32\rundll32.exe" "c:\progra~2\AssistantSvc.dll",service S3 cpuz135; \??\C:\Users\pc\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] S0 txly; System32\drivers\clehlnyc.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {06E320FB-DA3F-4199-ACEB-1771BE300B9D} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN22166906242510514&UM=1 SearchScopes: HKCU - {06E320FB-DA3F-4199-ACEB-1771BE300B9D} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN22166906242510514&UM=1 SearchScopes: HKCU - {84E73978-A84D-4AEF-950F-E305680E5C46} URL = C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\AppReady Software C:\ProgramData\BrilliantInstaller C:\ProgramData\26a8f481a0ac6502 C:\ProgramData\AllCheapPrice C:\ProgramData\DisicouentExtensi C:\ProgramData\FaunDeals C:\ProgramData\Fuun2Save C:\ProgramData\RegularDeails C:\Users\pc\AppData\Local\Popajar C:\Users\pc\AppData\Roaming\de6ddd9f.dat C:\Users\pc\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\pc\AppData\Roaming\3909 C:\Users\pc\AppData\Roaming\System DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Skype Packages RemoveDirectory: C:\AdwCleaner Folder: C:\Users\pc\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\pc\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware YoutubeAdblocker. Ponadto usuwano na siłę foldery innych adware bez poprawej deinstalacji rozszerzeń, więc sprawdź czy na liście są też: ABoitSAveer, TakETheeCooupon i websaavvE. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (potem je włączysz). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się co się dzieje. . Odnośnik do komentarza
Raziel Opublikowano 1 Października 2014 Autor Zgłoś Udostępnij Opublikowano 1 Października 2014 Generalnie, teraz wydaję się być lepiej, przeglądarki działają sprawniej, filmy się poprawnie renderują, aczkolwiek momentami nadal czekam za ładowaniem się stron. Wykonałem wszystkie kroki, oto logi: EDIT: Oprócz wspomnianych rozszerzeń, które notabene usunąłem, mam jeszcze dict cc i WasteNoTime, czy to też adware? FRST.txt Fixlog.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2014 Zgłoś Udostępnij Opublikowano 1 Października 2014 Zadania pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: CMD: del /q C:\Windows\SysWOW64\sqlite3.dll RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Administrator RemoveDirectory: C:\Users\Gość RemoveDirectory: C:\Users\HomeGroupUser$ RemoveDirectory: C:\Users\pc\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. Generalnie, teraz wydaję się być lepiej, przeglądarki działają sprawniej, filmy się poprawnie renderują, aczkolwiek momentami nadal czekam za ładowaniem się stron. Czy to zachodzi we wszystkich przeglądarkach (Google Chrome, Firefox, Internet Explorer, Opera), czy tylko w jednej wybranej? Oprócz wspomnianych rozszerzeń, które notabene usunąłem, mam jeszcze dict cc i WasteNoTime, czy to też adware? Wiem co u Ciebie jest w Google Chrome, mam to w spisie FRST: CHR Extension: (Google Docs) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2013-09-29] CHR Extension: (Google Drive) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2013-09-29] CHR Extension: (YouTube) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2013-09-29] CHR Extension: (Last updated at $time$ on $date$) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-03-11] CHR Extension: (Google Search) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2013-09-29] CHR Extension: (WasteNoTime) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\enebomhlllfaccbelnjhfgblnalofhch [2014-09-26] CHR Extension: (Related Content by Zemanta) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\fejeknoakjeblidffkajbioncodnmhge [2014-08-11] CHR Extension: (Yoono Twitter Facebook LinkedIn YouTube) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkkenjlnjfemconejajakbijbheoffli [2014-06-11] CHR Extension: (dict cc) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\nknonnojlmhnmjhpeokdbeineeajcemh [2014-06-05] CHR Extension: (Google Wallet) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-09-29] CHR Extension: (Gmail) - C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2013-09-29] Pozycja "Last updated at $time$ on $date$" to błąd poboru nazwy w FRST, poprawna nazwa to "Adblock Plus". Są tu też wyliczane rozszerzenia wbudowane w przeglądarkę, których nie widać w panelu usuwania rozszerzeń. Wspominane rozszerzenia są OK, linki w sklepie Google: dict cc i WasteNoTime. Rzecz jasna, jeśli nie korzystasz z tych rozszerzeń, to można je odinstalować. . Odnośnik do komentarza
Raziel Opublikowano 1 Października 2014 Autor Zgłoś Udostępnij Opublikowano 1 Października 2014 We wszystkich przeglądarkach powróciła względna sprawność. Myślę, że misja została zakończona pomyślnie, bardzo dziękuję za pomoc Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2014 Zgłoś Udostępnij Opublikowano 2 Października 2014 Na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji te trzy programy: ==================== Installed Programs ====================== Java 7 Update 60 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217040FF}) (Version: 7.0.600 - Oracle) Mozilla Firefox 30.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 30.0 (x86 pl)) (Version: 30.0 - Mozilla) Opera Stable 20.0.1387.91 (HKLM-x32\...\Opera 20.0.1387.91) (Version: 20.0.1387.91 - Opera Software ASA) . Odnośnik do komentarza
Raziel Opublikowano 12 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2014 Witam, zwracam się ponownie z prośbą o sprawdzenie logów, ponieważ po upływie miesiąca sprawność laptopa wróciła do punktu wyjścia. FRST.txt Addition.txt Shortcut.txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Proszę przeczytaj czego unikać, skąd nie pobierać: KLIK. No cóż, adware znów się pojawiło w systemie. Poza tym, będę usuwać obiekty Firefox i Google Chrome, obie przeglądarki wyglądają na odinstalowane (ale z pozostawieniem profilów na dysku). I przechodzimy do czyszczenia systemu: 1. Przez Panel sterowania odinstaluj adware DiscountLocator, Optimizer Pro v3.2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default Task: {C11F0B9C-B0CB-4002-BAFA-9D3F2625E209} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000 C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\Optimizer Pro C:\ProgramData\26a8f481a0ac6502 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\Users\pc\AppData\Local\{*} C:\Users\pc\AppData\Local\Google C:\Users\pc\AppData\Roaming\Mozilla C:\Users\pc\AppData\Roaming\Optimizer Pro C:\Users\pc\Documents\Optimizer Pro C:\windows\system32\SET*.tmp Reg:reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Raziel Opublikowano 13 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Wszystko wykonane, oto logi. Szkopuł z użytkowaniem tego laptopa polega na tym, że ma do niego dostęp kilkoro ludzi i czasem nie mam wpływu na to co się z nim dzieje. FRST.txt Addition.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Wszystko wykonane zgodnie z planem - czy jest poprawa w działaniu systemu? Poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\DiscountLocator RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\ProgramData\374311380 RemoveDirectory: C:\ProgramData\DiscountLocator RemoveDirectory: C:\Users\pc\AppData\Roaming\Mozilla DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy plik fixlog.txt. Odnośnik do komentarza
Raziel Opublikowano 13 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Cóż, względna sprawność powróciła, ale nie jest jakoś piorunująca. Czy można wykonać jeszcze jakieś kroki, choćby prewencyjne, w tym temacie? Chciałbym mieć kwestię czyszczenia tego laptopa definitywnie za sobą. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Fix wykonany. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Szkopuł z użytkowaniem tego laptopa polega na tym, że ma do niego dostęp kilkoro ludzi i czasem nie mam wpływu na to co się z nim dzieje. (...) Czy można wykonać jeszcze jakieś kroki, choćby prewencyjne, w tym temacie? Chciałbym mieć kwestię czyszczenia tego laptopa definitywnie za sobą. Prewencja w 100% jest awykonalna, słabym ogniwem jest sam użytkownik. Kierowałam już do artykułu na co uważać i jakie ewentualnie zabezpieczenia są możliwe. Jeśli użytkownik korzystający z Twojego systemu znów ponowi nieodpowiednie kroki (nieuważne instalacje, pobieranie "downloderów", nie odznaczone opcje w instalatorach), będzie kolejny problem z adware. Cóż, względna sprawność powróciła, ale nie jest jakoś piorunująca. Adware zostało wyczyszczone, więc sprawność zależy od innych kwestii. Spróbuj powyłączać zbędne wpisy ze startu i zobaczymy czy jeszcze coś się nie polepszy: 1. Uruchom Autoruns i w karcie Logon odznacz: HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.) HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2013-11-02] (Apple Inc.) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [256896 2014-05-07] (Oracle Corporation) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [steam] => C:\Program Files (x86)\Steam\Steam.exe [1821888 2014-02-25] (Valve Corporation) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [Facebook Update] => C:\Users\pc\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2014-02-15] (Facebook Inc.) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [GG] => C:\Users\pc\AppData\Local\GG\Application\gghub.exe [4023360 2014-09-26] (GG Network S.A.) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [EADM] => C:\Program Files (x86)\Origin\Origin.exe [3600216 2014-10-01] (Electronic Arts) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [21446272 2014-05-08] (Skype Technologies S.A.) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [DAEMON Tools Lite] => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [3696912 2014-03-04] (Disc Soft Ltd) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [uTorrent] => C:\Users\pc\AppData\Roaming\uTorrent\uTorrent.exe [1689168 2014-11-07] (BitTorrent Inc.) W karcie Services odznacz pozycje NAUpdate, SkypeUpdate. W karcie Scheduled Tasks odznacz zadania Apple, Facebook, Toshiba CommonNotifier i TOSHIBA Service Station. 2. Zresetuj system i podaj czy są jakieś wyraźniejsze zmiany. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się