Adalbert Opublikowano 7 Marca 2015 Zgłoś Udostępnij Opublikowano 7 Marca 2015 Witam Chciałbym pozbyć się oprogramowania Search Protect oraz pozostałości po Strong Signal. Z góry dziękuję za pomoc. Edit 2015.03.11: temat nadal aktualny. Edit 2015.03.16: temat nadal aktualny. gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 17 Marca 2015 Zgłoś Udostępnij Opublikowano 17 Marca 2015 1. Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Reader 9.1 MUI, ASUS WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-16] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-12] (SysTool PasSame LIMITED) S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File CHR HomePage: Default -> hxxp://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP" FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\ZST2\AppData\Roaming\Mozilla\Firefox\Profiles\rnjoc2g5.default-1394660289860\extensions\fftoolbar2014@etech.com Task: {89D35390-E23B-4F9A-87B4-2FE814087571} - System32\Tasks\{DF4D094B-0912-448A-B8FE-49BF8AC1166A} => pcalua.exe -a "C:\Program Files (x86)\HDvid Codec V6.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {B0ED85DC-C320-46DD-B868-86E87DBB3612} - System32\Tasks\{EEEF41B2-B597-4575-8C03-5BE3F67C0C49} => pcalua.exe -a "D:\Downloads\sonicstage [1].exe" -d D:\Downloads HKU\S-1-5-21-2304537269-2391276559-412557570-1000\...\MountPoints2: {9dc4f8c3-95cc-11e4-848e-485b395ba884} - F:\_AUTORUN\AUTORUN.EXE HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> none ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\XTab C:\ProgramData\{*}.log C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\Users\ZST2\AppData\Local\{976222BF-FF50-4DE1-95D6-C4AC44D37A0A} C:\Users\ZST2\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\ZST2\AppData\Roaming\key-find C:\Users\ZST2\AppData\Roaming\Microsoft\Excel\wersja%20pierwsza%20Zestawienie%20uczestników%20pr304177612576894628\wersja%20pierwsza%20Zestawienie%20uczestników%20projektu222.xls.lnk C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUS WebStorage" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze gdzieś widoczne problemy. Odnośnik do komentarza
Adalbert Opublikowano 20 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 20 Marca 2015 Kroki wykonane, logi w załączniku, na razie problemów nie widać. Laptop nieco muli, pewnie ze względu na małą ilość RAM-u, jakieś sugestie co można zmienić/usunąć? Czytałem o dużej zasobożerni Adblock Plusa, planuję zastąpić go uBlockiem. Chciałem jeszcze dograć coś typu Disconnect i Ghostery - czy jest sens dublowania tego typu narzędzi? Jakieś sugestie? FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Marca 2015 Zgłoś Udostępnij Opublikowano 21 Marca 2015 Jeśli chodzi o czyszczenie z adware, wszystko pomyślnie wykonane. Teraz: Uruchom AdwCleaner. Wybierz na razie tylko Szukaj (nie stosuj jeszcze Usuń) i zaprezentuj log z folderu C:\AdwCleaner. Laptop nieco muli, pewnie ze względu na małą ilość RAM-u, jakieś sugestie co można zmienić/usunąć? Statystyki RAM z pierwszego zestawu raportów: ==================== Memory info =========================== Processor: Intel® Core i3 CPU M 350 @ 2.27GHz Percentage of memory in use: 72% Total physical RAM: 1964.36 MB Available physical RAM: 542.45 MB Total Pagefile: 3928.71 MB Available Pagefile: 2024.2 MB Total Virtual: 8192 MB Available Virtual: 8191.81 MB W raportach nic nie rzuca się w oczy. Mógłyś jeszcze przewertować inne zintegrowane ASUSowe aplikacje i odinstalować to co zbędne. ==================== Installed Programs ====================== ASUS AP Bank (HKLM-x32\...\ASUS AP Bank_is1) (Version: 1.0.0.0 - ASUSTEK) ----> "sklep" / ofery trial, etc. ASUS CopyProtect (HKLM-x32\...\{6B77A7F6-DD63-4F13-A6FF-83137A5AC354}) (Version: 1.0.0015 - ASUS) ----> zabezpieczenie przed nieautoryzowanym kopiowaniem danych ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.0.20 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (HKLM-x32\...\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}) (Version: 2.5.9 - ASUS) ----> autoaktualizacja sterowników / BIOS ASUS MultiFrame (HKLM-x32\...\{9D48531D-2135-49FC-BC29-ACCDA5396A76}) (Version: 1.0.0021 - ASUS) ----> system dzielenia okien ASUS Power4Gear Hybrid (HKLM\...\{91EFE3A1-585E-4F66-B5F6-F118F56C4C47}) (Version: 1.1.30 - ASUS) ----> tweaker zasilania ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0008 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0028 - ASUS) ----> asusowe "poprawianie" jakości obrazu Asystent rejestracji usługi Windows Live (HKLM-x32\...\{74CC5B4D-CBB5-46F1-82B0-3169977B1D36}) (Version: 5.000.818.6 - Microsoft Corporation) ControlDeck (HKLM-x32\...\{5B65EF64-1DFA-414A-8C94-7BB726158E21}) (Version: 1.0.5 - ASUS) CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1908 - CyberLink Corp.) CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.1.3602c - CyberLink Corp.) Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.5 - ASUS) ----> menedżer startu Narzędzie do przekazywania usługi Windows Live (HKLM-x32\...\{205C6BDD-7B73-42DE-8505-9A093F35A238}) (Version: 14.0.8014.1029 - Microsoft Corporation) Podstawowe programy Windows Live (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8050.1202 - Microsoft Corporation) Windows Live Sync (HKLM-x32\...\{C3335EFB-008F-44DB-A87A-9EC8EE53D045}) (Version: 14.0.8050.1202 - Microsoft Corporation) Czytałem o dużej zasobożerni Adblock Plusa, planuję zastąpić go uBlockiem. Chciałem jeszcze dograć coś typu Disconnect i Ghostery - czy jest sens dublowania tego typu narzędzi? Jakieś sugestie? Oczywiście możesz to wgrać, ale nie powielaj funkcji. Albo Disconnect, albo Ghostery. Jeśli wybór panie na Ghostery, nie zaznaczaj udziału w GhostRank - to niepożądana funkcja wykluczająca się z zadaniem zasadniczym. Odnośnik do komentarza
Adalbert Opublikowano 21 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2015 Skan AdwCleaner wykonany, log w załączniku. Statystyki RAM takie dobre, bo przy wyłączonych przeglądarkach. Ale już po wykonanych krokach jest lepiej, liczę że odchudzenie przeglądarek z ABP przyniesie korzyści. Odinstalowałem część oprogramowania i zaktualizowałem co wiedziałem. A w przeglądarkach zostałem ostatecznie przy 3 rozszerzeniach: uBlock, Disconnect i HTTPS everywhere. Jeszcze 2 pytania. Pobieżnie szukając informacji nt. Search Protect i Strong Signal natrafiłem na kwestię wykradania danych. Czy którekolwiek niechciane oprogramowanie znajdujące się na tym komputerze ma w swoim profilu działania wykradanie danych (np. logowania), czy to czysty adware? Zastanawiam się jeszcze nad zmianą antywirusa MSE na Panda Free Antivirus (z raportów av-test wynika, że ma znacznie lepsze wykrywanie i jest mniej zasobożerny przez korzystanie z chmury) oraz na zainstalowaniu Malwarebytes Anti-Exploit, CryptoPrevent oraz SpywareBlaster. Jakieś sugestie? Edit 2015.03.22 Jednak problem ze spowolnieniem dalej występuje. Zauważyłem, że tuż po uruchomieniu systemu, proces "Proces hosta dla usług systemu Windows" (svchost.exe z lokalizacji C:\Windows\System32) zabiera coraz więcej pamięci operacyjnej i potrafi dojść prawie do 1GB. Dodatkowo po kilku minutach od włączenia proces "Instalator modułów systemu Windows" (TrustedInstaller.exe z lokalizacji C:\Windows\servicing) zabiera pełny jeden wątek procesora (wykorzystanie 25%) i swoje w RAM-ie też odkłada (kilkaset MB). Prowadzi to do wykorzystania ponad 90% RAM-u, a wtedy wszystkie operacje mocno lagują. Czy to normalne zachowanie tych procesów? Można coś z tym zrobić? Edit 2015.03.30: temat nadal aktualny. Edit 2015.05.05: temat nadal aktualny. Czy potrzebne nowe logi? Komputer był używany (ale nic chyba nie było instalowane). AdwCleanerR0.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się