Adalbert Opublikowano 2 Grudnia 2014 Zgłoś Udostępnij Opublikowano 2 Grudnia 2014 Witam Siostra zwróciła się do mnie z netbookiem w nieco słabym stanie - trochę uporządkowałem (zamieniłem avasta na MSE, wywaliłem JRE, przeinstalowałem Chroma do x64), ale jak MBAM wykrył jakieś zagrożenia (w międzyczasie MSE się uaktywnił i zwrócił uwagę na te pliki) to pomyślałem, że przydałaby się profesjonalna pomoc. Wszystkie wymagane logi w załączniku. Z góry dziękuję i pozdrawiam. Extras.Txt OTL.Txt Addition.txt FRST.txt Shortcut.txt mbam.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2014 Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Doączony tu log MBAM nie przedstawia żadnych detekcji, zaprezentuj wcześniejszy log. Natomiast w podanych ogólnych raportach nie widać nic ciekawego. Tylko kosmetyczne działania na wpisy puste: 1. W systemie siedzi odpadkowy sterownik wyglądający na pozostałość po odinstalowanym Hotspot Shield: R1 HssDRV6; C:\Windows\System32\DRIVERS\hssdrv6.sys [41704 2012-07-10] (AnchorFree Inc.) Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > z prawokliku na każde tam obecne pobierz Właściwości > w karcie Ogólne sprawdź czy jest filtr Hotspot Shield > zaznacz i odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - C:\program files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: No Name -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-431021187-217253523-1019275998-1003 -> No Name - {C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - No File HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-19\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-18\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] C:\ProgramData\AVAST Software C:\ProgramData\Temp C:\Users\Karla\AppData\Roaming\eIntaller C:\Users\Karla\AppData\Roaming\iPlus C:\Users\Karla\AppData\Roaming\Thunderbird C:\Users\Marek\AppData\Roaming\iFree C:\Users\Marek\AppData\Roaming\iPlus C:\Users\Marek\AppData\Roaming\Patcher C:\Users\Marek\AppData\Roaming\PrimoPDF C:\Users\Marek\AppData\Roaming\Systweak Hosts: CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały dostarczone raporty FRST z kontekstu konta Karla, a są tu dwa konta: ========================= Accounts: ========================== Karla (S-1-5-21-431021187-217253523-1019275998-1003 - Administrator - Enabled) => C:\Users\Karla Marek (S-1-5-21-431021187-217253523-1019275998-1000 - Administrator - Enabled) => C:\Users\Marek Zaloguj się na konto Marek poprzez pełny restart systemu (a nie opcję Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi na tym koncie. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Adalbert Opublikowano 3 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Wszystko wykonane pomyślnie. Wygląda na to, że konto Marek chyba bardziej zapuszczone... Logi (prawidłowy mbam, Fixlog z wykonania fix na koncie Karla oraz komplet logów FRST z konta Marek) w załączniku. Addition.txt Fixlog.txt FRST.txt mbam.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Akcje pomyślnie wykonane, a sterownik Hotspot zniknął. Na drugim koncie jest zanieczyszczony Firefox i kilka pustych wpisów w starcie. Operacje na Marku: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-431021187-217253523-1019275998-1000\...\Run: [HDSoft] => "C:\Program Files (x86)\iFree Skype Recorder\irecorder.exe" HKU\S-1-5-21-431021187-217253523-1019275998-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" SearchScopes: HKU\S-1-5-21-431021187-217253523-1019275998-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=69157" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=69157" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v Default_Page_URL /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=69157" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Page" /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=54896" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W Google Chrome: - MBAM brutalnie usuwał katalog rozszerzenia adware Lightning Newtab. To nie jest poprawna metoda deinstalacji i pozostaje wpis rozszerzenia w preferencjach. Ustawienia > karta Rozszerzenia > sprawdź czy widać to tam i w razie czego odinstaluj. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom narzędzie Fix It usuwające błąd WMI numer 10: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Adalbert Opublikowano 7 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2014 W Chrome nie znalazłem obecnych rozszerzeń. Reszta kroków wykonana, logi w załączniku. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2014 Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Czego nie skasuje DelFix (np. pobrany GMER), to już ręcznie dokończ. Odnośnik do komentarza
Adalbert Opublikowano 8 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Operacje wykonane na obu kontach, logi z DelFix w załączniku, niepotrzebne pliki (instalki) z Download usunięte, pliki do przywracania systemu usunięte. Na obu kontach zastosowałem w programie USB-set z zakładki Autorun settings ustawienia zalecane. Planuję użyć jeszcze TFC i na koniec zdefragmentować dysk. Jakieś jeszcze wskazówki, co można usunąć bądź zoptymalizować by trochę szybciej netbook działał? Wiem, że procesor jest tutaj wąskim gardłem, ale może widzisz co jeszcze można zmienić. Bardzo dziękuję za dotychczasową pomoc. DelFix_Marek.txt DelFix_Karla.txt Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2014 Zgłoś Udostępnij Opublikowano 9 Grudnia 2014 Jakieś jeszcze wskazówki, co można usunąć bądź zoptymalizować by trochę szybciej netbook działał? Nie za bardzo widzę tu szerokie pole do popisu, obiekty startowe już są okrojone. Możesz jeszcze wyłączyć niektóre usługi Acer i Skype, co obetnie kilka procesów z tła. W Autoruns w karcie Services wyłącz GREGService, Live Updater Service, RS_Service, SkypeUpdate i zresetuj system. Na obu kontach zastosowałem w programie USB-set z zakładki Autorun settings ustawienia zalecane. Windows 7 ma wbudowane natywne zabezpieczenie zapobiegające wykonaniu autorun.inf z USB: KLIK. Planuję użyć jeszcze TFC i na koniec zdefragmentować dysk. TFC owszem możesz użyć, by usunąć nowe obiekty, bo czyszczenie Tempów już tu było na samym początku (komenda EmptyTemp: w skrypcie FRST - robi ciut więcej niż stary TFC). Operacje wykonane na obu kontach, logi z DelFix w załączniku Możesz oczywiście już usunąć log Delfix z dysku. Odnośnik do komentarza
Adalbert Opublikowano 12 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Procesy wyłączone, dzięki za informacje dodatkowe. Bardzo dziękuję za, jak zwykle, profesjonalną pomoc, temat można zamykać. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi