Bravo3k Opublikowano 25 Lutego 2015 Zgłoś Udostępnij Opublikowano 25 Lutego 2015 Witam, proszę o pomoc w związku ze znacznym spowolnieniem mojego systemu. Od pewnego czasu procesor wykazuje obciążenie na poziomie >80%, ciągle chodzi maksymalne chłodzenie a nie działają żadne programy, nawet skanowanie antywirusowe, co może powodować obciążenie ? Dodatkowo od pewnego czasu znacznie zwiększył się czas uruchamiania systemu oraz programów, spowolniła się też przeglądarka (IE). W przeglądarce bardzo często po wpisaniu adresów stron następuje przekierowanie na komunikat o przekierowaniu na niebezpieczne witryny. Skanowałem system McAfee SC ale nic nie wykazało. Mam wrażenie, że zagnieździło się coś czego antywirus nie wykrywa a co cały czas działa w tle. Proszę o pomoc, załączam raport z ComboFix. ComboFix.txt GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2015 Zgłoś Udostępnij Opublikowano 25 Lutego 2015 Na temat używania ComboFix: KLIK. Log już zostaw, by było wiadome co narzędzie robiło. Co tu się podaje jako obowiązkowe: KLIK. Odnośnik do komentarza
Bravo3k Opublikowano 25 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2015 Przepraszam za niedoczytanie regulaminu i niezachowanie zasad... Załączam brakujące logi i proszę o pomoc w analizie problemu. Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Problemem nie jest infekcja. Obciążenie systemu i długi start = najbardziej podejrzany McAfee, jest bardzo rozbudowany (mnóstwo usług i sterowników się uruchamia). Proponuję więc sprawdzić jak działa system po jego deinstalacji. Owszem, problem adware także tu jest i ComboFix usuwał (niedokładnie) określone obiekty, ale to nie jest przyczyna problemów. Użycie tu ComboFix nie było dobrym pomysłem z kilku względów: - Adware nie zostało poprawnie odinstalowane. Skutki: na liście zainstalowanych obecnie "wiszą" wpisy brutalnie usuniętych przez ComboFix obiektów. - Do czyszczenia adware są lepsze bardziej specjalizowane narzędzia niż ComboFix. Działania wstępne: 1. Przez Panel sterowania odinstaluj: Adobe Reader X (10.1.13) MUI, Java SE Development Kit 7 Update 17 (64-bit), Java SE Development Kit 7 Update 51 (64-bit), JavaFX 2.1.1, McAfee SecurityCenter, McAfee SiteAdvisor, MyFreeCodec. Proponuję też dokładniej przejrzeć listę i pozbyć się nieużywanych programów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1620440060-2774587105-184453412-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1620440060-2774587105-184453412-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1620440060-2774587105-184453412-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKU\S-1-5-21-1620440060-2774587105-184453412-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=BA60685D437CC965 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisawsome.info/?l=1&q={searchTerms}&pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49 SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss&mntrId=BA60685D437CC965 SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {49D52718-9182-4735-931A-7D93EBD1299F} URL = SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisawsome.info/?l=1&q={searchTerms}&pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49 SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {F2D3BE99-5CF2-4FD3-870A-B6017BE01715} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=C1F47A9D-8F8A-40C7-AB89-A0C729906138&apn_sauid=FAC3B708-6AA4-4B35-99D2-3A0447F8B235 BHO-x32: WoebsaaVe -> {0EF9B24D-1522-0100-E9FB-4FDB3BEF8613} -> No File BHO-x32: weBsavE -> {8B6F2AD6-E5D7-0997-C979-F2FC3821207E} -> No File BHO-x32: SNT -> {EB582856-4086-A3BD-4351-33E83F8C323B} -> No File BHO-x32: YoutubeAdblocker -> {F4576C82-5942-164A-3ACD-1D3B75137B32} -> No File Task: {3A992151-5590-4CC3-8A8A-7F11A4B2792E} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect Task: {4925CDC1-6FA9-4857-B83E-92410C0D5AFB} - System32\Tasks\{47BD6A46-6487-44A3-A6CC-AAB40C590D55} => pcalua.exe -a "C:\Users\RT2\Desktop\PND32GB\PEN Data\Wirus POLICJA\ComboFix.exe" -d "C:\Users\RT2\Desktop\PND32GB\PEN Data\Wirus POLICJA" Task: {6AE9079E-9886-487D-A166-64860266E77F} - System32\Tasks\{55721E0C-E21A-4835-B398-E22E69295D24} => pcalua.exe -a "C:\Users\RT2\Desktop\TL-WR740N_V4_Easy Setup Assistant\wr741n\EasySetupAssistant.exe" -d "C:\Users\RT2\Desktop\TL-WR740N_V4_Easy Setup Assistant\wr741n" Task: {7D0E666C-6F78-4CEB-8CDA-F909385057BD} - System32\Tasks\{1D9B899B-E750-4B62-ADED-B319C3D259DD} => pcalua.exe -a C:\Users\RT2\AppData\Local\Temp\RarSFX0\Instaluj_SAM_st.exe Task: {AF8408A4-11F5-4582-813A-B77F785FA21B} - System32\Tasks\{1ABC53D5-9892-4DB9-B038-8230574ABF5B} => pcalua.exe -a D:\Apps\Nokia_PC_Suite_ALL.exe -d D:\Apps Task: {B3113BF6-03D1-4A8A-B4C3-77CB15C61950} - System32\Tasks\{CCC7E120-C0F4-4C06-9F63-9A34E6E2A863} => pcalua.exe -a C:\Users\RT2\Desktop\Chipset_Intel_W7_X03_A01_Setup-8JF3Y_ZPE.exe -d C:\Users\RT2\Desktop Task: {BD249304-E26C-4216-AB14-C787DD09B87F} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 0203001424724882mcinstcleanup; C:\Windows\TEMP\020300~1.EXE -cleanup -nolog [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 iscFlash; \??\C:\Users\RT2\AppData\Local\Temp\7zS4182.tmp\iscflashx64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Users\Administrator C:\Users\Gość C:\users\HomeGroupUser$ C:\Users\RT2\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\RT2\AppData\Local\Comodo C:\Users\RT2\AppData\Local\Google\Chrome SxS C:\Users\RT2\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\RT2\AppData\Local\Mozilla C:\Users\RT2\AppData\Local\Torch C:\Users\RT2\AppData\Roaming\Mozilla C:\Users\Mcx1-RT2-KOMPUTER\AppData\Local\Comodo C:\Users\Mcx1-RT2-KOMPUTER\AppData\Local\Google C:\Users\Mcx1-RT2-KOMPUTER\AppData\Local\Torch C:\Windows\system32\Drivers\PROCEXP90.SYS C:\Windows\SysWOW64\CF22844.exe C:\Windows\SysWOW64\cmd.execf CMD: for /d %f in (C:\Users\RT2\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS6ServiceManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoforFilesInstaller Starter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{476D78C4-1DB0-2D88-7FCC-AA6559F59A8D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C670DCAE-E392-AA32-6F42-143C7FC4BDFD} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{CF830981-8F31-C561-C7A0-FE2CE1878B40} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji pakietu McAfee jest jakaś poprawa w działaniu systemu. Odnośnik do komentarza
Bravo3k Opublikowano 2 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 2 Marca 2015 Dziękuję za analizę i wskazówki. Wykonałem wszystkie Twoje polecenia oraz usunąłem zbędne oprogramowanie. Dezinstalacja McAfee faktycznie poprawiła czas uruchamiania systemu i większości programów, przeglądarka też działa jakby sprawniej. Czy w takiej sytuacji warto powrócić do McAfee czy sugerujesz inne zabezpieczenie antywirusowe ? Wspomniałaś, że moje (niefortunne) działanie ComboFixem nie usunęło w pełni Adware i pozostały po nim jakieś śmieci w rejestrach - czy da się to jakoś naprawić, czy może FRST i skrypt, który podałaś powyżej już to "sfixował" ? Załączam wyniki nowego skanowania z FRST i proszę o analizę. Addition.txt FRST.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 4 Marca 2015 Zgłoś Udostępnij Opublikowano 4 Marca 2015 Dezinstalacja McAfee faktycznie poprawiła czas uruchamiania systemu i większości programów, przeglądarka też działa jakby sprawniej. Czy w takiej sytuacji warto powrócić do McAfee czy sugerujesz inne zabezpieczenie antywirusowe ? Można sprawdzić ponownie jak się zachowa McAfee po reinstalacji, ale sugeruję porzucić ten trop. Trudno też doradzić zastępstwo, bo aż do momentu instalacji danego pakietu nie jest wiadome jak wpłynie na system. Konfiguracje są unikatowe. Wspomniałaś, że moje (niefortunne) działanie ComboFixem nie usunęło w pełni Adware i pozostały po nim jakieś śmieci w rejestrach - czy da się to jakoś naprawić, czy może FRST i skrypt, który podałaś powyżej już to "sfixował" ? Widoczne elementy już korygował skrypt FRST. Będą jeszcze inne poprawki. 1. Otwórz Notatnik i wklej w nim: CHR HomePage: Default -> hxxp://websearch.webisawsome.info/?pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49 CHR StartupUrls: Default -> "hxxp://websearch.webisawsome.info/?pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49" HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Program Files (x86)\MyFree Codec C:\Program Files (x86)\WoebsaaVe C:\Program Files (x86)\YoutubeAdblocker C:\ProgramData\26513859ba0f54e0 C:\ProgramData\McAfee C:\ProgramData\WoebsaaVe C:\ProgramData\YoutubeAdblocker Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
Bravo3k Opublikowano 5 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2015 Wykonałem powyższe polecenia, załączam wyniki z FRST i AdwCleanera AdwCleanerR0.txt Fixlog.txt Odnośnik do komentarza
Bravo3k Opublikowano 13 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2015 Wykonałem powyższe polecenia, załączam wyniki z FRST i AdwCleanera Odnośnik do komentarza
Bravo3k Opublikowano 16 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2015 Witam, czy jest szansa na dalszą pomoc ? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się