Powodzenia Opublikowano 25 Lutego 2015 Zgłoś Udostępnij Opublikowano 25 Lutego 2015 Dzień dobry Niedawno zaobserwowałem dość znaczny spadek wydajności systemu, który jak podejrzewam jest związany z wirusami. Bez mojej ingerencji ukryte pliki ukryły się (w opcjach folderów), po pokazaniu ich zobaczyłem folder VTRoot na dysku systemowym. Skanowałem Malwarebytes Anti-Malware, gdzie wykryło kilka rzeczy, oraz Comodo gdzie także wykryło kilka rzeczy. Nic się jednak nie zmieniło odnośnie wydajności. Zaobserwowałem także dziwne piksele w lewym górnym rogu ekranu pojawiające się zaraz po załadowaniu pulpitu i tak samo szybko znikające(na oko ok. 3 białych pikseli). Nie wiem czy są one związane z jakimś chcianym przeze mnie programem, czy to też oznaka wirusa. Pozdrawiam Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Niedawno zaobserwowałem dość znaczny spadek wydajności systemu, który jak podejrzewam jest związany z wirusami. Główny podejrzany: COMODO Internet Security. By się o tym przekonać, testowa deinstalacja, gdyż tylko to gwarantuje ustanie wszystkich czynności, wyłączanie w opcjach niestety nie. Druga sprawa to fatalny stan aktualizacji systemu - brak SP1, IE11 i rezty łat: Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: Chrome) Bez mojej ingerencji ukryte pliki ukryły się (w opcjach folderów), po pokazaniu ich zobaczyłem folder VTRoot na dysku systemowym. Ukryty folder VTRoot jest folderem Comodo związanym z funkcją piaskownicy. Trzyma dane wirtualizowane, zostanie opróżniony po zresetowaniu piaskownicy. 2015-02-06 16:14 - 2015-02-11 15:03 - 00000000 ___HD () C:\VTRoot Samoistne przestawienie opcji ukrywania obiektów to już inna sprawa - prawdopodobnie zrobił to Brontok (patrz dalej). Zaobserwowałem także dziwne piksele w lewym górnym rogu ekranu pojawiające się zaraz po załadowaniu pulpitu i tak samo szybko znikające(na oko ok. 3 białych pikseli) Możliwe, że to także jest związane z COMODO. Były na forum dwa tematy związane z pokazywaniem dziwnej zniekształconej ikony: KLIK, KLIK. Skanowałem Malwarebytes Anti-Malware, gdzie wykryło kilka rzeczy, oraz Comodo gdzie także wykryło kilka rzeczy. Nie zaprezentowałeś wyników, by można było ocenić stopień ważności i czy to aby nie fałszywe alarmy. Brak oznak czynnej infekcji, ale owszem są ślady że ona była, a konkretnie są tu źle doczyszczone obiekty robaka Brontok (plik HOSTS ze śmieciami HTML i kilka innych drobnych wpisów). Widać też szczątki adware. Niemniej żaden z tych wpisów nie jest odpowiedzialny za zgłaszane bieżące problemy. Drobne działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędnik COMODO: Adobe Flash Player ActiveX, Java 7 Update 71 (64-bit), GeekBuddy. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj niepożądane rozszerzenie Foxtab Speed Dial. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" Task: {375F213B-2231-40EB-82C7-57CF8C981A88} - System32\Tasks\{80FF1741-8C57-4297-A63E-A286FF66ADEC} => C:\Users\Bartek\Downloads\battlelog-web-plugins_2.6.2_154.exe Task: {3B6238C6-9138-4025-B6BE-B24C157204AF} - System32\Tasks\{08F88807-8246-4C45-9511-EF6370C72ADF} => C:\Users\Bartek\Downloads\battlelog-web-plugins_2.6.2_154.exe HKU\S-1-5-21-1318935594-1313143014-225757962-1000\...\Policies\system: [DisableCMD] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://home.sweetim.com/?crg=3.1010000.10011 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] U3 kwrdipob; \??\C:\Users\Bartek\AppData\Local\Temp\kwrdipob.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Download Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\This War of Mine C:\Users\Bartek\AppData\Local\Bron.tok.A15.em.bin C:\Users\Bartek\AppData\Local\Kosong.Bron.Tok.txt C:\Users\Bartek\AppData\Local\ListHost15.txt C:\Users\Bartek\AppData\Local\Update.15.Bron.Tok.bin C:\Users\Bartek\AppData\Local\CrashRpt C:\Windows\system32\Drivers\etc\hosts.ccebak CMD: for /d %f in (C:\Users\Bartek\AppData\Local\*Bron*) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Odnośnik do komentarza
Powodzenia Opublikowano 26 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Wykonałem wszystkie punkty. Comodo odinstalowałem, wydajność poprawiła się. Folder VTRoot pozostał, mogę go bezpiecznie, ręcznie usunąć? Piksele raczej nie były skutkiem Comodo, bo teraz także mignęły. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Fix FRST pomyślnie wykonany. Comodo odinstalowałem, wydajność poprawiła się. Folder VTRoot pozostał, mogę go bezpiecznie, ręcznie usunąć? Tak, folder można usunąć. Na wszelki wypadek zrób mi jednak nowy log FRST (wlącznie z Addition), by potwierdzić dokładne usunięcie komponentów startowych Comodo. Piksele raczej nie były skutkiem Comodo, bo teraz także mignęły. Przetestuj czy problem ujawnia się też w stadium czystego rozruchu: KLIK. Odnośnik do komentarza
Powodzenia Opublikowano 26 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Testowałem na czystym rozruchu kilka razy i nie zauważyłem żadnych artefaktów. Potem kilka razy na normalnym rozruchu i także nic nie zaobserwowałem. Przy deinstalacji Comodo komputer uruchamiał się ponownie i właśnie wtedy artefakty pojawiły się ostatni raz, więc problem raczej rozwiązany. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 1. Do usunięcia drobne szczątki Comodo (foldery i strumienie NTFS). Otwórz Notatnik i wklej w nim: C:\ProgramData\Comodo C:\Users\Bartek\AppData\Roaming\Comodo AlternateDataStreams: C:\Windows\system32\amdmantle64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\amdmmcl6.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\amdocl64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\amdpcom64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiadlxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiapfxx.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticalcl64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticaldd64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticalrt64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticfx64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atidemgy.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atidxx64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atieclxx.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiesrxx.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\atig6pxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atig6txx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiglpxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atimpc64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atimuixx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atio6axx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atitmm64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiu9p64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiumd64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiumd6a.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiuxp64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\clinfo.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\coinst_14.30.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\mantle64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\mantleaxl64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\OpenCL.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\OpenVideo64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\OVDecode64.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdmantle32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdmmcl.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdocl.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdpcom32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiadlxy.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticalcl.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticaldd.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticalrt.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticfx32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atidxx32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atigktxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiglpxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atimpc32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atioglxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiu9pag.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiumdag.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiumdva.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiuxpag.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\mantle32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\mantleaxl32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\OpenCL.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\OpenVideo.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\OVDecode.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\amdacpksd.sys:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\ati2erec.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\atikmdag.sys:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\atikmpag.sys:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Desktop\FRST64.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Desktop\FRST64.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Desktop\Protokół, Nr IV 15 projekt (2).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Desktop\Wykaz_podpisĂłw_poparcia_Andrzeja_Dudy-1 (1).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\DNA-ATi-Legacy_10_2_1_64.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\DNA-ATi-Legacy_10_2_1_64.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\driver_setup.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\driver_setup.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\FlacSquisher-1.3.4-Installer.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\FlacSquisher-1.3.4-Installer.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\GlyphInstall-0-1.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\GlyphInstall-0-1.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\GPU-Z.0.8.1.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\GPU-Z.0.8.1.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\LAN_Broadcom_v.10.46.0.0_Vistax86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Maffia_II_health_decreasing_bug_fix.rar:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Minecraft.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\Minecraft.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Protokół, Nr IV 15 projekt (1).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Protokół, Nr IV 15 projekt (2).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Protokół, Nr IV 15 projekt.doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Tede Bezele - Techno Jazda Jazda.mp3:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\u06b1vir.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\u06b1vir.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\VGA_Intel_v.7.14.10.1409_Vistax86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\VGA_Intel_v6.14.10.4885_XPx86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wireless LAN_Atherors_v.5.3.0.67_XPx86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wireless LAN_Atheros_v7.3.1.73_Vistax86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wireless LAN_Broadcom_v4.170.25.12_XPx86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wykaz_podpisĂłw_poparcia_Andrzeja_Dudy-1.doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\xp3264-10.0.0.274-whql_www.INSTALKI.pl.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\xvm-5.1.0.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\YChan 2.2.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\YChan 2.2.exe:$CmdZnID Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Jeszcze drobna sprawa do korekty w Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres adware home.sweetim.com. FRST to jakoby przetwarzał, a wpis nadal jest. 3. Zastosuj DelFix (losowo nazwany GMER należy dokasować ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK. 4. I jak mówię, kompleksowa aktualizacja całego Windows do wykonania. Odnośnik do komentarza
Powodzenia Opublikowano 26 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Wszystko wykonane, nie dołączam pliku fixlog.txt po wykonywaniu operacji FRSTem, bo najpierw użyłem DelFixa, dopiero potem pomyślałem, że log może się przydać, jednak zajrzałem do pliku i wszystkie operacje zostały przeprowadzone z powodzeniem (na końcu każdej linijki było [...] successful.) Wszystkie aktualizacje zrobię najszybciej jak będzie to możliwe. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 DelFix wykonał co należy. Możesz skasować plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi