QbaM Opublikowano 3 Grudnia 2014 Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Witam, Ostatnio bardzo wolno zaczął mi działać system, zwykłe czynności zajmują mu bardzo dużo czas oraz antywirus wykrył rootkit. Poniżej zamieszczam obowiązkowe logi. Addition.txt FRST.txt Shortcut.txt Extras.Txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Podaj w czym (jaka ścieżka dostępu) Avast widzi rootkita, gdyż GMER nie wykazuje takiego problemu. Przeklej wynik bezpośrednio z dzienników Avast. Jeśli zaś chodzi o to co widać ogólnie w logach, to owszem są wpisy startowe adware grupy Spigot - załatwiły Cię instalatory programów typu PDF Architect (na to wskazują daty w logu), możliwe że również i IOBit (to samo adware instalują, w systemie są odpadki po niepełnych instalacjach IOBit). W ogóle nie polecam żadnego programu IOBit tutaj na forum. Nie dość, że adware w instalatorach, to jeszcze inne podejrzane związki partnerskie i niewiarygodne praktyki (w przeszłości zostali złapani na kradzieży bazy definicji MBAM, którą sobie wsadzili w swój program do walki z malware). Kręcisz się wokół terenu infekcji, ale: - Adware niekoniecznie jest głównym problemem spowolnienia (daty instalacji są dalekie i ostatnio żadne śmieci nie powstały), to system na którym uruchamia się duża liczba procesów. - Bardzo dużo jakoby pustych wpisów od programów które figurują jako zainstalowane, co pachnie mi raczej uszkodzeniem Zmiennych niż rzeczywistym "no file". Chyba że to Ty coś zmalowałeś i przeinwestowałeś jakieś "czyszczenie" tworząc puste wpisy. - W Dzienniku zdarzeń sypie błędami usług Microsoftu: System errors: ============= Error: (12/01/2014 10:04:47 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Pomoc TCP/IP NetBIOS z powodu następującego błędu: %%1069 Error: (12/01/2014 10:04:47 PM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Usługa lmhosts nie może zalogować się jako NT AUTHORITY\LocalService za pomocą obecnie skonfigurowanego hasła z powodu następującego błędu: %%1352 Aby upewnić się, że usługa jest skonfigurowana prawidłowo, użyj przystawki Usługi w programie Microsoft Management Console (MMC). Error: (11/28/2014 04:31:26 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Serwer zakończyła działanie; wystąpił następujący błąd: %%13 Error: (11/28/2014 04:31:26 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący błąd: %%1115 Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Usługa inteligentnego transferu w tle zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023781. Error: (11/28/2014 04:31:24 AM) (Source: Microsoft-Windows-Bits-Client) (EventID: 16392) (User: ZARZĄDZANIE NT) Description: Uruchomienie usługi BITS nie powiodło się. Błąd 2147943515. Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Agent zasad IPsec z powodu następującego błędu: %%1069 Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Usługa PolicyAgent nie może zalogować się jako NT Authority\NetworkService za pomocą obecnie skonfigurowanego hasła z powodu następującego błędu: %%50 Aby upewnić się, że usługa jest skonfigurowana prawidłowo, użyj przystawki Usługi w programie Microsoft Management Console (MMC). Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Odnajdywanie SSDP z powodu następującego błędu: %%1069 Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Usługa SSDPSRV nie może zalogować się jako NT AUTHORITY\LocalService za pomocą obecnie skonfigurowanego hasła z powodu następującego błędu: %%50 Aby upewnić się, że usługa jest skonfigurowana prawidłowo, użyj przystawki Usługi w programie Microsoft Management Console (MMC). Operacje wstępne pod kątem adware i wpisów jakoby "pustych": 1. Przez Panel sterowania odinstaluj: - Adware i śmieci: Browser Extensions, Slick Savings, Qtrax Player, Surfing Protection (od IOBit). - Stare dziurawe wersje: Gadu-Gadu 10, Java� 6 Update 14, OpenOffice.org 3.2. OpenOffice.org również, gdyż to on bazuje na starej niebezpiecznej Java 6 i nie umie korzystać z nowszej, potem wymagana będzie instalacja najnowszej wersji pakietu serii 4.x. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM-x32 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> DefaultScope {208659B4-57CE-4DDF-BCC0-A2C33EF8FDD8} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=402027&p={searchTerms} SearchScopes: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> {208659B4-57CE-4DDF-BCC0-A2C33EF8FDD8} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=402027&p={searchTerms} SearchScopes: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2151200 2013-10-25] (IObit) HKU\S-1-5-21-1816805013-2468701961-1920383271-1000\...\Run: [DIMDownloading your update...1300677038363] => "C:\Program Files (x86)\Corel\CorelDRAW Graphics Suite X5\Programs\DIM.exe" "c:\programdata\corel\downloads\540215253_610005\1300677038363\dim_params.xml" -Launch=3 -uibase="c:\programdata\corel\messa (the data entry has 47 more characters). Task: {82E61B9D-60B1-4308-B19E-D1EBF8FD2560} - System32\Tasks\{4B23CCCD-CF38-46B8-9EE0-C872E6EBB87E} => Iexplore.exe http://ui.skype.com/ui/0/5.1.0.112.280/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Toolbar: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF HKLM-x32\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\Common Files\Spigot C:\Program Files (x86)\IObit C:\Users\Dominika\AppData\Local\Temp*.html C:\Users\Dominika\AppData\Local\Slick Savings C:\Users\Dominika\AppData\Roaming\IObit C:\Users\Dominika\AppData\Roaming\OpenCandy C:\Users\Dominika\AppData\Roaming\Slick Savings DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions CMD: SET EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wszystkie widoczne rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan na warunku: odznacz Whitelist dla pola Services, nie zaznaczaj pól Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakieś zmiany. Odnośnik do komentarza
QbaM Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Witam Infekcja (rootkit) została wykryta podczas logowania się do skrzynki mailowe.Zapomniałem napiasać, ze GMER został uruchominony w trybie awaryjny, gdyż kilkakrotna próba uruchomienia go konczyła sie fiaskiem i otrzymywałem taki komunikat patrz plik1.png dodatkowo teraz mam jeszcze taki komunika po uruchomienu komputera patrz plik2.png Po wykonanu Twoich wskazówek odniosłem jakby komputer minimalnie przyskieszył swoja prac. Poniżej zamieszczam logi, o które prosłaś Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2014 Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 Jak mówiłam, nie sądzę, by to był problem infekcji. Na razie: ========= SET ========= Path=C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Windows Live\Shared Ustawienia Zmiennych środowiskowych do korekty, by zidentyfikować które wpisy są naprawdę "not found" a które tylko pozornymi. 1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, by łatwo można było to zedytować i zamalowany na pomarańczowo blok: C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Windows Live\Shared ... przesuń w to miejsce: C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Windows Live\Shared Nie omiń żadnego średnika oddzielającego ścieżki. Tak poprawiony ciąg wklejasz w oknie edycji Path zastępując poprzedni, zapisujesz zmiany i resetujesz system. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Odnośnik do komentarza
QbaM Opublikowano 5 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 Witam, Zamieszczam Log, o który prosiłaś po wykonaniu powyższych czynności. FRST.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2014 Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 Coś nadal podejrzanie dużo "not found" od programów zainstalowanych. Wstępnie więc doczyszczę tylko te pozycje, które zadałam do deinstalacji, i dodatkowo zweryfikuję czy zedytowałeś Zmienne poprawnie. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000\...\Run: [slick Savings] => "C:\Users\Dominika\AppData\Roaming\Slick Savings\CouponsHelper.exe" HKU\S-1-5-21-1816805013-2468701961-1920383271-1000\...\Run: [browser Extensions] => "C:\Users\Dominika\AppData\Roaming\Slick Savings\CouponsHelper.exe" BHO: Browser Extensions -> {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} -> C:\Users\Dominika\AppData\Roaming\Slick Savings\Coupons64.dll No File BHO-x32: Browser Extensions -> {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} -> C:\Users\Dominika\AppData\Roaming\Slick Savings\Coupons.dll No File BHO-x32: Advanced SystemCare Browser Protection -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File S4 sptd; System32\Drivers\sptd.sys [X] CMD: SET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
QbaM Opublikowano 6 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2014 Witam, Zamieszczam Fixlog-a po wykonanu powyzszej czynnści. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2014 Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Źle wkleiłeś skrypt, obciąłeś ostatnią literkę ("SE" zamiast "SET"). Powtarzaj skrypt o zawartości i dostarcz wynikowy fixlog.txt: CMD: SET Odnośnik do komentarza
QbaM Opublikowano 8 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Witam, Zamieszczam poprawiony Log. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2014 Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 Zmienne skorygowane, więc dokończ pozostałe puste wpisy, choć nadal mnie niepokoi ich "wygląd". Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll No File BHO-x32: PDF Architect Helper -> {3A2D5EBA-F86D-4BD3-A177-019765996711} -> C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll No File BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File BHO-x32: Pomocnik logowania za pomocą identyfikatora Windows Live -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll No File BHO-x32: Windows Live Messenger Companion Helper -> {9FDDE16B-836F-4806-AB1F-1455CBEFF289} -> C:\Program Files (x86)\Windows Live\Companion\companioncore.dll No File BHO-x32: Skype add-on for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File Toolbar: HKLM-x32 - PDF Architect Toolbar - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Program Files (x86)\PDF Architect\PDFIEPlugin.dll No File Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File [ ] FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Cytat Po wykonanu Twoich wskazówek odniosłem jakby komputer minimalnie przyskieszył swoja prac. Jak mówiłam: picasso napisał: Adware niekoniecznie jest głównym problemem spowolnienia (daty instalacji są dalekie i ostatnio żadne śmieci nie powstały), to system na którym uruchamia się duża liczba procesów. Problemem może być też Avast per se. Na razie wyłącz zbędne wpisy ze startu i zobaczymy czy będzie jakaś poprawa. W Autoruns odznacz poniższe pozycje (by widzieć niektóre wpisy, należy włączyć pokazywanie wpisów Microsoftu): - W karcie Logon: Adobe ARM, GrooveMonitor, TkBellExe, Toshiba Registration, Toshiba TEMPRO, ToshibaServiceStation, TosNC, TosReelTimeMonitor, WinampAgent, Windows Mobile Device Center - W karcie Services: AdobeARMservice, LMS, SkypeUpdate, SVPWUTIL, TemproMonitoringService, TMachInfo, WinDefend Zresetuj system. Odnośnik do komentarza
QbaM Opublikowano 10 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 Witam, zamieszczam Fixlog-a. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2014 Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 Fix wykonany, ale to była tylko poboczna sprawa nie mająca wpływu na wydajność systemu. Interesuje mnie wynik operacji w Autoruns - czy wykonałeś polecenia i czy są widoczne efekty. Odnośnik do komentarza
QbaM Opublikowano 11 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Witam, Wyłączyłem powyższe procesy za pomocą Autoruns tak jak kazałaś, komputer zaczął płynniej działać oraz nie pojawia się juz komunikat od programu Toshiba Notebook Registration Reminder. Dodatkowo uaktualniłem Avasta do nowszej wersji. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się