Trojan Opublikowano 23 Listopada 2015 Zgłoś Udostępnij Opublikowano 23 Listopada 2015 Dzień dobry, Tak jak pisałem w poprzednim poście, proszę o wyczyszczenie drugiego, stacjonarnego kompa ze śmieci, zbędnych folderów, zbędnych programów, odpadków i wszystkiego, co może go spowalniać/zamulać. Na przykład program - Kobra 11 Weber - nie mogę usunąć przez programy dodaj/usuń - proszę o usunięcie. Pliki tymczasowe wyczyściłem komendą emptytemp z frst by TeamViewer chodził lepiej bo kumpel mi pomaga zdalnie Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2015 Zgłoś Udostępnij Opublikowano 23 Listopada 2015 Nie za wiele jest tu do czyszczenia. Są odpadki infekcji adware, przede wszystkim dwa aktywne sterowniki StdLib, których czynności powinny negatywnie wpływać np. na funkcjonowanie sieci. Ale system może słabo chodzić, bo jest za mało wolnego miejsca na dysku systemowym i problem będzie występował stałe (regularne szamotanie się z tym aspektem). ==================== Dyski ================================ Drive c: () (Fixed) (Total:9.77 GB) (Free:1.35 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive d: (DANE) (Fixed) (Total:223.12 GB) (Free:37.13 GB) NTFS Tak swoją drogą ten XP to jakaś sztuczna przeróbka z powycinanymi komponentami i niedomyślnymi ustawieniami, robiona za pomocą nLite. M.in. poniższy błąd w Dzienniku zdarzeń (obecny "out-of-box") to skutek kastracji XP: Dziennik System: ============= Error: (11/23/2015 05:00:53 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa bramy warstwy aplikacji z powodu następującego błędu: %%2 Na przykład program - Kobra 11 Weber - nie mogę usunąć przez programy dodaj/usuń - proszę o usunięcie. Wg raportu program nie ma wejścia na liście Dodaj/Usuń i wcale nie znaczy, że jest to uszkodzenie. Nie znam tej "KOBRY", ale jest wiele programów, które w ogóle nie tworzą wpisów w rejestrze, w zamian są tylko skróty w Menu Start (w tym deinstalacyjny). Tu widać tylko takie skróty, deinstalacyjnego jednak brak: Shortcut: C:\Documents and Settings\All Users\Pulpit\KOBRA 11 WEBER.lnk -> C:\Program Files\ORGBUD-SERWIS\KOBRA_11_WEBER\KOBRA.exe () Shortcut: C:\Documents and Settings\All Users\Menu Start\Programy\KOBRA 11 WEBER.lnk -> C:\Program Files\ORGBUD-SERWIS\KOBRA_11_WEBER\KOBRA.exe () Shortcut: C:\Documents and Settings\User\Pulpit\Kobra 11 WEBER.lnk -> C:\Program Files\ORGBUD-SERWIS\KOBRA_11_WEBER\KOBRA.exe () Wejdź do folderu C:\Program Files\ORGBUD-SERWIS i szukaj czy nie ma tam pliku o nazwie "uninstall.exe", "uninst.exe" lub coś brzmiącego ponownie. Pod kątem usuwania adware: 1. Był uruchamiany GMER, więc od razu sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {55685567-4840-4a91-962b-49a412e9485a}Gt; C:\WINDOWS\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gt.sys [55224 2014-06-03] (StdLib) R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}t; C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys [55232 2014-05-22] (StdLib) S3 ALG; %SystemRoot%\System32\alg.exe [X] HKU\S-1-5-21-1229272821-2111687655-1801674531-1001\...\Run: [NextLive] => C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\User\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1431724451&z=077e7de419d884f3e31ba35g4z2cfgcm1oczdz1z5m&from=cor&uid=ST3250620NS_9QE2MPAZXXXX9QE2MPAZ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1431724451&z=077e7de419d884f3e31ba35g4z2cfgcm1oczdz1z5m&from=cor&uid=ST3250620NS_9QE2MPAZXXXX9QE2MPAZ&q={searchTerms} URLSearchHook: [s-1-5-21-1229272821-2111687655-1801674531-1001] UWAGA => Brak domyślnego URLSearchHook C:\WINDOWS\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gt.sys C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Trojan Opublikowano 23 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2015 dzięki za szybką odpowiedź, za mało wolnego miejsca na dysku systemowym Czy w jakiś prosty sposób, bez ryzyka i utraty danych, mogę zwiększyć partycję systemową? Wejdź do folderu C:\Program Files\ORGBUD-SERWIS i szukaj czy nie ma tam pliku o nazwie "uninstall.exe", "uninst.exe" lub coś brzmiącego ponownie. Nie było uninstall - wywaliłem ręcznie cały folder ORGBUD. Był uruchamiany GMER, więc od razu sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Jest ok, sprawdzaliśmy wcześniej. - Fix wykonany, poniżej logi. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2015 Zgłoś Udostępnij Opublikowano 24 Listopada 2015 Fix wykonany. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Nie było uninstall - wywaliłem ręcznie cały folder ORGBUD. Już za późno, ale na pewno sprawdziłeś też podfolder C:\Program Files\ORGBUD-SERWIS\KOBRA_11_WEBER? czy w jakiś prosty sposób, bez ryzyka i utraty danych, mogę zwiększyć partycję systemową? Przykładowe darmowe programy udostępniające opcję zmiany rozmiaru partycji bez utraty danych: EASEUS Partition Master Free, Paragon Partition Manager Free Edition, GParted LiveCD. I taka operacja nigdy nie ma 100% gwarancji. Przed akcją należy zrobić kopię zapasową danych. Odnośnik do komentarza
Trojan Opublikowano 24 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2015 Już za późno, ale na pewno sprawdziłeś też podfolder C:\Program Files\ORGBUD-SERWIS\KOBRA_11_WEBER? Tak, sprawdzane było... Możliwe, że umknęło ale szansa mała. I taka operacja nigdy nie ma 100% gwarancji. Przed akcją należy zrobić kopię zapasową danych. Ok, dzięki, na razie nie będę kombinował. Log poniżej. AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2015 Zgłoś Udostępnij Opublikowano 24 Listopada 2015 1. Uruchom AdwCleaner ponownie, wybierz opcję Skanuj, a po tym Usuń. 2. Zastosuj DelFix oraz czyszczenie folderów Przywracania systemu: KLIK. To czyszczenie powinno tymczasowo zwolnić trochę miejsca na dysku. 3. I do aktualizacji Internet Explorer. Link pobierania również w w/w linku. Odnośnik do komentarza
Trojan Opublikowano 25 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 25 Listopada 2015 Dobry wieczór. Zrobiłem z dużą pomocą mojego kolegi wszystkie zalecenia i wskazówki które mi przekazałaś. Moje dwa komputery śmigają znakomicie za co bardzo dziękuję i pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi