komodore Opublikowano 8 Listopada 2014 Zgłoś Udostępnij Opublikowano 8 Listopada 2014 Witam, proszę o sprawdzenie logów. Dwa dni temu syn przeglądał internet (Przeglądarka firefox) i w trakcie przeglądania zrobił sobie przerwę. Po powrocie nie mógł się zalogować (podobnie zresztą jak i drugi użytkownik standardowy - wyszło póżniej). Z konta admministracyjnego nie było problemu, zmieniłem synowi hasło, a po zalogowaniu ukazał się alarm AVG "Znaleziono MalSign.Brista.8D9" dotyczyło to plików:"C:\Windows\system32\drivers\tStLib.sys" - "Wyleczony""C:\Windows\system32\drivers\tStLibG.sys" - "Wyleczony, Przeniesiony do Przechowalni wirusów". Na komputerze oprócz Visty mam zainstalowanego OpenSuse 13.1(główny system). Postanowiłem to sprawdzić i okazoło się, że ten plik nadal istnieje.Kroki, które podjąłem:Skanowanie GMER. Niestety nie zapisałem pierwszego loga. Podczas skanowania Gmerem AVG ponownie wykrył Brista.Z loga ochrony rezydentnej AVG: AVG.txt Skanowanie AdwCleaner: AdwCleanerR0.txt AdwCleanerS0.txt Zainstalowałem mbam (podczas skanowania AVG był wyłączony) mbam-log-2014-11-06 (20-53-20).txt Skanowanie FRST: FRST.txt FRSTAddition.txt Skanowanie AVG-free - nic nie znalazł (maksymalne wyszukiwanie) OTL OTL1.Txt OTL1Extras.Txt GMER ponowiłem aby zapisać logi (za logiem dodałem wynik skanowania autostartu). GMER.txt Raport SecurityCheck SecurityCheck.txt Po tych wszystkich skanach nadal zauważam podwyższoną pracę procesora przy aktywnym połączeniu z internetem,chociaż w menedżerze zadań na zakładce sieć nie widać aktywności.Proszę o ocenę sytuacji i ewentualną pomoc. Odnośnik do komentarza
picasso Opublikowano 8 Listopada 2014 Zgłoś Udostępnij Opublikowano 8 Listopada 2014 W systemie są trzy konta i wszystkie po kolei należy sprawdzić: ========================= Accounts: ========================== Adam (S-1-5-21-2694031699-52744628-1130330716-1001 - Limited - Enabled) => C:\Users\Adam komodore (S-1-5-21-2694031699-52744628-1130330716-1000 - Administrator - Enabled) => C:\Users\komodore Mateusz (S-1-5-21-2694031699-52744628-1130330716-1002 - Limited - Enabled) => C:\Users\Mateusz Logi FRST zostały zrobione z poziomu konta administracyjnego komodore. Potrzebne jeszcze logi z pozostałych limitowanych kont. Czyli dostarcz: - Z poziomu konta komodore wyprodukuj brakujący FRST Shortcut. - Zaloguj się po kolei na limitowane konta Adam i Mateusz poprzez pełny restart komputera (a nie opcje Wyloguj lub Przełącz użytkownika) i zrób logi FRST (główny + Addition, ale bez Shortcut). Na limitowanych kontach uruchom FRST przez dwuklik, nie używaj opcji "Uruchom jako Administrator" (zmieni kontekst konta). Wstępnie powiem, iż te sterowniki tStLib.sys i tStLibG.sys to część instalacji adware. Sterowniki zostały usunięte, w dostarczonych tu raportach brak oznak czynnej infekcji, do wdrożenia będzie tylko kosmetyka. Ten efekt ma więc inną przyczynę: Po tych wszystkich skanach nadal zauważam podwyższoną pracę procesora przy aktywnym połączeniu z internetem, chociaż w menedżerze zadań na zakładce sieć nie widać aktywności. Może AVG przykłada się do tego? . Odnośnik do komentarza
komodore Opublikowano 8 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2014 Dziękuję za szybką odpowiedź. Logi wstawię wieczorem, bo teraz jestem w pracy. Odnośnik do komentarza
komodore Opublikowano 8 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2014 Logi uzupełniające: Shortcut2.txt addition FRST_adam.txt Addition_Mateusz.txt FRST_Mateusz.txt frst_adam.txt Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2014 Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Jak mówiłam, oznak infekcji brak i tylko kosmetyka do wykonania (usunięcie wpisów pustych, starego rozszerzenia .NET Framework w Firefox oraz wyczyszczenie lokalizacji tymczasowych). Akcje wykonujesz będąc zalogowanym na koncie administracyjnym komodore: Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicyUsers\S-1-5-21-2694031699-52744628-1130330716-1002\User: Group Policy restriction detected S2 vToolbarUpdater3.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\3.2.0\ToolbarUpdater.exe [X] HKU\S-1-5-21-2694031699-52744628-1130330716-1000\...\Run: [] => [X] Task: {41FE3FE3-6851-439E-A5F1-70F29F6B9154} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe Task: {EFF9019A-7152-424A-BE4F-7DF8C11D789A} - System32\Tasks\e-pity2013_styczen => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\*.bdinstall.bin C:\Program Files\Bitdefender C:\Users\Mateusz\Downloads\UnityWebPlayer*.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Po tych wszystkich skanach nadal zauważam podwyższoną pracę procesora przy aktywnym połączeniu z internetem, chociaż w menedżerze zadań na zakładce sieć nie widać aktywności. Jak rozumiem ten problem nadal występuje? . Odnośnik do komentarza
komodore Opublikowano 9 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Wynik czyszczenia: Fixlog.txt Czy MBAM jest mi jeszcze potrzebny skoro mam AVG? Po zalogowaniu otrzymuję komunikat błędu mbam i windows chce wyszukać rozwiązanie. Poniżej cytat z dziennika: Aplikacja powodująca błąd mbam.exe, wersja 1.0.1.711, sygnatura czasowa 0x542b53ec, moduł powodujący błąd kernel32.dll, wersja 6.0.6002.18881, sygnatura czasowa 0x51da3e27, kod wyjątku 0xc0000142, przesunięcie błędu 0x00009f5d, identyfikator procesu 0xbf4, godzina rozpoczęcia aplikacji 0x01cffc1a7353cde5. Gdy laptop ma wygaszony ekran albo czasami wystarczy, że użytkownik przez chwilę (kilka minut) nie wykazuje aktywności, to słychać jak rozpędza się wentylator i widać pracę dysku (mruga dioda). Gdy odłączę internet (przełącznik mechaniczy do wifi) przestaje tłuc po dysku i wentylator zwalnia. Próbowałem zaobserwować w menedżerze zadań jakąś aktywność sieciową (0%), czy procesu, ale nic podejżanego nie zauważyłem. Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2014 Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Fix wykonany, możesz usunąć D:\Adam\axpan\FRST i zastosować DelFix: KLIK. Czy MBAM jest mi jeszcze potrzebny skoro mam AVG? Po zalogowaniu otrzymuję komunikat błędu mbam i windows chce wyszukać rozwiązanie. MBAM nie jest antywirusem lecz uzupełnieniem takowego. Oczywiście nie jest niezbędny i skoro tworzy błędy przy starcie, możesz go odinstalować. Gdy laptop ma wygaszony ekran albo czasami wystarczy, że użytkownik przez chwilę (kilka minut) nie wykazuje aktywności, to słychać jak rozpędza się wentylator i widać pracę dysku (mruga dioda). Gdy odłączę internet (przełącznik mechaniczy do wifi) przestaje tłuc po dysku i wentylator zwalnia. Próbowałem zaobserwować w menedżerze zadań jakąś aktywność sieciową (0%), czy procesu, ale nic podejżanego nie zauważyłem. Objaw sugeruje, że podczas bezczynności systemu startuje jakieś zadanie. Jedną z możliwości mógłby być skan lub inna akcja AVG zaplanowana do wykonania w trakcie bezczynności. Nie mam pod ręką AVG, by sprawdzić jakie proponuje ustawienia, ale szukaj opcji związanych z planowaniem zadań. Również do sprawdzenia czy wyłączenie osłon AVG wpłynie na efekt. . Odnośnik do komentarza
komodore Opublikowano 9 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Dziękuję bardzo za pomoc. Aktywność jeszcze poobserwuję. Póki co wydaje mi się, że ma związek z indeksowaniem lub WindowsUpdate. Zastanawia mnie tylko, dlaczego w menedżerze zadań nie widać aktywności sieciowej skoro wentylator reaguje na zmniejszeniem obrotów na wyłączenie sieci. Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Czy sprawdziłeś AVG? AVG ma silne związki z siecią. Odnośnik do komentarza
komodore Opublikowano 14 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2014 Tak. Przy wyłączonym jest spokojniej. Przymierzam się do NOD-a. Podobno mniej obciąża system i jest szybszy oraz skuteczniejszy. Co o tym myślisz? Odnośnik do komentarza
picasso Opublikowano 14 Listopada 2014 Zgłoś Udostępnij Opublikowano 14 Listopada 2014 Skoro po deaktywacji jest "spokojniej", to czy na pewno dobrze sprawdziłeś opcje konfiguracyjne pod kątem akcji startowanych w trakcie bezczynności? Oczywiście możesz spróbować zamiany AVG na ESET (byle nie crackowany tylko legalny). Trudno mi naprowadzić na konkretnego antywirusa, bo w zasadzie każdy z nich jest bardzo inwazyjny (ładowanie przy udziale grupy sterowników / mechanizmy filtrowania sieci) i może na określonych konfiguracjach produkować problemy. Nigdy nie wiadomo, aż do momentu instalacji, co się wydarzy na konkretnym komputerze. Dlatego też w większości tematów na forum przy zgłaszanych problemach z wolnym uruchamianiem i pracą systemu czy dysfunkcją sieci pierwsza moja sugestia to sprawdzenie jak wygląda sytuacja bez tego konkretnego antywirusa. Odnośnik do komentarza
Rekomendowane odpowiedzi