Brychu Opublikowano 15 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2016 Windows 10 Home 64 bitowy system Intel Core i-5, 2 x 2,5 GHz 6GB Ram Brak antywirusa przez bardzo długi czas spowodował, że komputer jest mocno zainfekowany. Teraz mam możliwość zainstalowania płatnego NODA. Nie wiem czy czekać na odpowiedź i dopiero wtedy go instalować czy już mogę, ale chyba poczekam. Manager wskazuje 99%, a przy uruchomieniu programu, 100% użycia dysku. Filmy zawsze na początku się zacinają. Komputer jest zamulony a nie jest wcale stary. Żona próbowała usuwać wirusy za pomocą darmowych antywirusów i skasowała choćby takiego o nazwie ifk.hard.....coś...com, kilka trojanów, keyloggerów, ale pewnie innych świństw jest ich jeszcze z milion. Dołączam screeny oraz logi. GMER wykrył 4 rootkit/malware. Przy okazji chciałem się zapytać jak mogę przekazać darowiznę/dofinansowanie/dotacje, bo uważam, że osoba, która naprawiła mi komputer powinna otrzymać zapłatę za swoją pracę. Pomijam już fakt ile osób może się cieszyć z darmowej pomocy za co Ci Picasso serdecznie dziękuję. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2016 Raporty FRST skonfigurowane niezgodnie z ustawieniami forum, opcje Lista BCD, MD5 sterowników oraz Pliki z 90 dni nie miały być zaznaczone. Masa zbędnych danych, które służą do analizy rzeczy bardzo rzadko już tu występujących. Te "4 rootkity" to raczej fałszywe alarmy. GMER oznacza komponenty stricte systemowe (usługi Instalator Modułów Windows + Windows Defender) jako "rootkit", a taki odczyt m.in. może występować jeśli system jest mało responsywny / bardzo obciążony. Service C:\WINDOWS\servicing\TrustedInstaller.exe (*** hidden *** ) [AUTO] TrustedInstaller Service C:\WINDOWS\system32\drivers\WdBoot.sys (*** hidden *** ) [bOOT] WdBoot Service C:\WINDOWS\system32\drivers\WdFilter.sys (*** hidden *** ) [bOOT] WdFilter Service C:\Program Files (x86)\Windows Defender\MsMpEng.exe (*** hidden *** ) [AUTO] WinDefend Natomiast w raportach FRST owszem widać elementy infekcji: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Run: [spoolsv32] => "C:\WINDOWS\system32\javaw.exe" -jar "C:\Users\Ewelina\AppData\Roaming\Win32\spoolsv32.jar" Dodatkowo, są ślady instalacji programu śledzącego w typie Mini Monitoring / Oko szefa - czy to była celowa instalacja? HKLM-x32\...\Run: [dtmcfg] => C:\Pliki Systemowe\Nod\x94\dtmcfg\dtmcfg.exe [1304576 2010-05-31] (Dyzmond Software) Ale te elementy nie mają związku z obciążeniem, one zostały już wyłączone za pomocą Menedżera zadań Windows 10. Wysokie obciążenie to raczej z powodu katastrofy w antywirusach, tu działają wspólnie: majdan AVG z niepoprawnie odinstalowanym ESET, a na dokładkę jeszcze lewy skaner SpyHunter 4. Są też odpadkowe sterowniki po odinstalowanym MBAM. [hr] Czyli następujące operacje do wdrożenia: 1. Wejdź w Tryb awaryjny Windows. Zastosuj ESET Uninstaller. 2. Opuść Tryb awaryjny. Klawisz z flagą Windows + X > odinstaluj stare wersje i zbędne aplikacje: Adobe Reader X (10.1.12) MUI, AVG Web TuneUp, Java 7 Update 45 (64-bit), Java 7 Update 67, SpyHunter 4. Jeśli będzie jakiś problem z deinstalacją SpyHunter, skorzystaj z narzędzia SpyHunterCleaner. 3. Doczyszczanie głównie wpisów szczątkowych / pustych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [dtmcfg] => C:\Pliki Systemowe\Nod\x94\dtmcfg\dtmcfg.exe [1304576 2010-05-31] (Dyzmond Software) Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Run: [spoolsv32] => "C:\WINDOWS\system32\javaw.exe" -jar "C:\Users\Ewelina\AppData\Roaming\Win32\spoolsv32.jar" HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Run: [Mobile Partner] => C:\Michał\net\Huawei E5372\Huawei E5372 HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Policies\system: [DisableLockWorkstation] 0 S3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [25816 2015-10-05] (Malwarebytes) S3 MBAMWebAccessControl; C:\WINDOWS\system32\drivers\mwac.sys [64216 2015-10-05] (Malwarebytes Corporation) Task: {15975FC2-5B99-4383-9B25-15AA19F9F119} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2A6FA746-EB11-4570-BC22-469993C1013D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2CC9561D-3A76-422E-92E2-DBDC12D77442} - System32\Tasks\{C92E8478-8A1B-4260-9F34-2208E48FC04A} => pcalua.exe -a C:\Users\Ewelina\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {4A346F29-9A1F-4170-AC6C-548A483D37ED} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {56D6AF1C-2A8A-43EF-B32A-C049B9BA6982} - System32\Tasks\SAgent => C:\Program Files\Samsung\S Agent\CommonAgent.exe Task: {5D81EFE7-157C-49DF-B9B2-CB0B8AE380CC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {68FB1AAE-B47A-4277-BF97-BD96C0E382F1} - System32\Tasks\{AF6DA228-E8C6-41F2-940A-CC5D7D3BB0F7} => pcalua.exe -a "C:\Users\Ewelina\AppData\Local\Europa Casino\internalEuropaSetupUninstall1389109868205_7f2d9b_pl.exe" -c /executeuninstall /trafficsource='caver3' /profile='nasdec' /userid='BEC57A6FA8B94421BD22FA925046BB5FUI' /skinid='new' Task: {768779C3-5474-4F17-8989-F74DD1E20EC8} - System32\Tasks\{DD7B7164-27AC-4565-B9B1-D33BD5CD1E95} => pcalua.exe -a "C:\Users\Ewelina\AppData\Local\Casino Tropez\internalTropezSetupUninstall1389092744832_b8b35_pl.exe" -c /executeuninstall /trafficsource='nokws' /profile='main' /userid='EBD63FB308FA42E59D2AEE043035711FUI' /skinid='new_icons' Task: {78A79BB3-898C-46DA-ACC9-5A0CBD07FB60} - System32\Tasks\{479D3E8A-4F12-4A79-B087-431F2D86E932} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {7EB1AF35-A4DA-46EF-80E2-D19D9B1832C3} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8A98AC78-7436-4386-8301-97D7C461D66F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {8D866BB0-ABE6-4A6D-985F-F037221E770D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {B4FA2981-E0F1-40DD-B0E9-5C30DFEAD341} - System32\Tasks\{6DA83E79-4B81-4235-A50B-1D8136A9B60E} => pcalua.exe -a "C:\Program Files (x86)\Image-Line\Shared\uninstall.exe" Task: {B670F1A1-0469-4E73-9A91-20E4CEFD8BC2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {C5487043-BFB8-4950-833D-4BF8EEF66485} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C74D8655-68A6-44B6-AFDD-2027ADD4043B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C89D345F-6F07-4E63-96CF-6DDC6A140EFC} - System32\Tasks\{76BA7823-6504-4749-AEC9-8988F970AAE7} => pcalua.exe -a D:\SETUP.EXE -d D:\ Task: {CEA24034-8B61-4300-8876-9CCDD8BD91B7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {D3374684-E6B4-4A61-9A0F-4DB8AB6165FA} - System32\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon Task: {D52743E4-45F4-4984-8789-94B094663400} - System32\Tasks\{7E90E837-52B3-4B5D-81F4-081969A70FA1} => pcalua.exe -a "C:\Users\Ewelina\Desktop\Tibia Map Installer.exe" -d C:\Users\Ewelina\Desktop Task: {D56326A5-290B-483F-A72B-A5CAD07C844A} - System32\Tasks\{DC67236D-08AD-4A49-A111-21C533702C4F} => pcalua.exe -a "C:\Program Files (x86)\Common Files\myCuteBuddy\Bootstrapper{4.wfBHCKiGLgWE12.102}.exe" Winsock: Catalog5 01 C:\WINDOWS\SysWOW64\napinsp.dll [55808 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\napinsp.dll" Winsock: Catalog5 02 C:\WINDOWS\SysWOW64\pnrpnsp.dll [70656 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Winsock: Catalog5 03 C:\WINDOWS\SysWOW64\pnrpnsp.dll [70656 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Winsock: Catalog5 04 C:\WINDOWS\SysWOW64\NLAapi.dll [65024 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 C:\WINDOWS\SysWOW64\mswsock.dll [312160 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 06 C:\WINDOWS\SysWOW64\winrnr.dll [23552 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\winrnr.dll" CustomCLSID: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> Brak ścieżki do pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={F6612E51-E9EF-489D-8641-0BFF948889D6}&mid=7a80442b378d47cca1dcf1c0c2f5592d-5233c8df0424be70114540273ff17c4401ab22ac&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-04-13 15:09:02&v=4.2.9.726&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={F6612E51-E9EF-489D-8641-0BFF948889D6}&mid=7a80442b378d47cca1dcf1c0c2f5592d-5233c8df0424be70114540273ff17c4401ab22ac&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-04-13 15:09:02&v=4.2.9.726&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={F6612E51-E9EF-489D-8641-0BFF948889D6}&mid=7a80442b378d47cca1dcf1c0c2f5592d-5233c8df0424be70114540273ff17c4401ab22ac&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-04-13 15:09:02&v=4.2.9.726&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001 -> {F2E48B17-78B7-406A-BE47-7FB63603E514} URL = BHO: Brak nazwy -> {89BDDABE-B308-89D1-AB93-14E8F6D8CDB3} -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RGSC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AlcoholAutomount /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "BIL Start" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v spoolsv32 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v vilanscr.exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CnxMon.exe " /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "EA Core" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v MyCuteBuddy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Cudanv /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v egui /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLMLServer_For_P2G8 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Intel AppUp(SM) center" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RemoteControl10 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v WinPatrol /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BIL Start" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v dtmcfg /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v vProt /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f C:\Program Files (x86)\fwmdpwclxd C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ivo C:\Users\Ewelina\AppData\Local\nsq925.tmp C:\Users\Ewelina\AppData\Local\Google C:\Users\Ewelina\AppData\Local\Mozilla C:\Users\Ewelina\AppData\Local\Sparta C:\Users\Ewelina\AppData\Roaming\*.* C:\Users\Ewelina\AppData\Roaming\Nature C:\Users\Ewelina\AppData\Roaming\PDEs C:\Users\Ewelina\AppData\Roaming\Pipe Organ C:\Users\Ewelina\AppData\Roaming\Mozilla C:\Users\Ewelina\AppData\Roaming\sparta111 C:\Users\Ewelina\AppData\Roaming\WarThunder C:\Users\Ewelina\AppData\Roaming\Win32 C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia Map Viewer C:\Users\Ewelina\Documents\Bajki dla dzieci\YTD Video Downloader.lnk C:\Users\Ewelina\Documents\MAGIX\Video_deluxe_MX_Download_Version\Pokaz zdjęć z muzyką.lnk C:\Users\Ewelina\Documents\MAGIX\Video_deluxe_MX_Download_Version\_TV Anti Cropping.LNK C:\WINDOWS\msdownld.tmp C:\WINDOWS\system32\drivers\mbam.sys C:\WINDOWS\system32\drivers\mwac.sys C:\WINDOWS\SysWOW64\HRUPPROG.TXT C:\WINDOWS\SysWOW64\HRUPPROG.EXIT Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. [Jeśli keylogger instalowany celowo, wykreśl ze skryptu linię z dtmcfg] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wg wytycznych z forum, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa w działaniu. Odnośnik do komentarza
Brychu Opublikowano 15 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2016 Mini Monitoring zainstalowany celowo. Keylogger już nie. Wyczyściłem wszystko FRSTem. Odinstalowałem podane wyżej pozycje. Niestety brak poprawy. Zainstalowałem NOD32. Skanuję komputer antywirusem. Usunęło 24 zagrożenia. Dysk wciąż wykorzystywany w 100%. NOD32 http://wklej.org/id/2285702/ Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2016 Mini Monitoring zainstalowany celowo. Keylogger już nie. Miałam na myśli Mini Monitoring = keylogger. Zainstalowałem NOD32. Skanuję komputer antywirusem. Ale dlaczego ładujesz nowe instalacje, które tylko zaciemniają problem i go mogą pogłębić. Nie zadałam instalacji NOD, ani żadnego innego skanera, gdyż: - Nie było to potrzebne, na podstawie raportów już stwierdziłam, że problem obciążenia nie jest wynikiem infekcji, gdyż nie ma żadnych aktywnych jej elementów (wpis infekcji był wyłączony w Menedżerze). - Poprzednio ESET nawet nie był odinstalowany poprawnie i nowy log FRST miał potwierdzić skuteczność użycia narzędzia czyszczącego ESET. - Nie instaluje się nowych kobył (każdy antywirus jest takową), gdy jest problem obciążenia dysku. To co się wtedy robi, to po kolei redukuje kolejne. Miała być sprawdzona sytuacja po usunięciu szczątków ESET przy pozostawieniu AVG, teraz już nie wiadomo jak działał system w takiej kombinacji, skoro komponenty NOD znów wskoczyły na miejsce. - Kwarantanny innych narzędzi nie zostały wyczyszczone, by zapobiec detekcji rzeczy już usuniętych, bo ten etap miał być dopiero zadany. Te wyniki NOD są w większości bez znaczenia. On wykrył głównie obiekty już usunięte (kwarantanny C:\AdwCleaner i C:\FRST\Quarantine). Reszta to drobnostki adware/PUP i nie ma to wpływu na system. To co w istocie wykrył NOD to tylko trzy pliki *-dp.exe "Asystenta pobierania" dobrychprogramów, szczątkowy folder adware i plik w folderze Alcohola, instalator uTorrent (jest sponsorowany) i niepożądane aplikacje "boosterowe" w folderze WinZIP: C:\Ewelina\Programy\yt\YTD-Video-Downloader(27896)-dp.exe - odmiana zagrożenia Win32/InstallCore.ADX.gen potencjalnie niepożądana aplikacja - usunięty C:\Michał\Ked\kED(11810)-dp.exe - odmiana zagrożenia Win32/InstallCore.ACZ potencjalnie niepożądana aplikacja - usunięty C:\Michał\VSO Downloarder\VSO-Downloader(35453)-dp.exe - odmiana zagrożenia Win32/InstallCore.ACZ potencjalnie niepożądana aplikacja - usunięty C:\Program Files (x86)\69dc8177-a574-4dff-8461-b3267b078dcf\df39313b-a6cf-4d63-af6f-f56dc07d9775.dll - odmiana zagrożenia Win64/Toolbar.Crossrider.P potencjalnie niepożądana aplikacja - usunięty C:\Program Files (x86)\Alcohol Soft\69dc8177-a574-4dff-8461-b3267b078dcf.dll - odmiana zagrożenia Win64/Toolbar.Crossrider.P potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSS.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSHelper.dll - odmiana zagrożenia Win32/Systweak.N potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSPrivacyProtector.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSRegClean.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSRegistryOptimizer.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSSystemCleaner.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\Users\Ewelina\AppData\Roaming\uTorrent\updates\3.4.2_32354.exe - odmiana zagrożenia Win32/AdkDLLWrapper.A potencjalnie niepożądana aplikacja - usunięty Jeśli chodzi o wykonane zadania to niekompletnie. Nie został odinstalowany AVG Web TuneUp. Poza tym, jak mówię, teraz po ponownym doładowaniu ESET nie wiadomo jak wpływa na stan, bo przedtem też były jego komponenty aktywne i w tym kontekście sytuacja bez zmian. Odnośnik do komentarza
Brychu Opublikowano 16 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2016 Z tym AVG jest problem. Próbowałem odinstalować go przez panel sterowania, ale tych na chwilę pokazywało się okno deinstalacji i się wyłączało. Ściągałem nawet AVG Remover, który wynajdował AVG i niby go usuwał restartując następnie komputer, ale po 2 takich próbach dałem sobie spokój. Wywaliłem tylko ręcznie folder TuneUp. Logi robiłem zanim zainstalowałem NODA, ponieważ nie było żadnej poprawy i miałem nadzieje, że antywirus wykryje tego wrednego robala i zabezpieczy system na przyszłość. Czy można coś jeszcze z tym zrobić czy już nie? EDIT: 1. Wyłączyłem automatyczną defragmentację dysku 2. Wyłączyłem indeksowanie plików 3. Wyłączyłem wstępne ładowanie do pamięci (HKEY_LOCAL_MACHINE > System > CurrentControlset > Control > Session Manager > Memory Management > PrefetchParameters i tam 2 pozycje na "0") 4. Wyłączyłem pamięć wirtualną - ustawiłem bez stronicowania DZIAŁA! Moim zdaniem wszystkie te 4 operacje się na to złożyły, ale najbardziej pamięć wirtualna. Dołączam screen. Muszę sobie teraz zapłacić ; p Czy można przenieść wątek do odpowiedniego działu i zmienić temat postu i dołączyć na " [ROZWIĄZANY] 100% użycia dysku"? Na pewno pomoże to następnym userom forum z tym problemem. Proszę mi jeszcze wytłumaczyć jak mogę zapłacić za pomoc, bo takowa jednak była za co bardzo dziękuję. Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2016 4. Wyłączyłem pamięć wirtualną - ustawiłem bez stronicowania (...) Moim zdaniem wszystkie te 4 operacje się na to złożyły, ale najbardziej pamięć wirtualna. Nie zalecam tego, mogą być skutki uboczne. Były tu nawet takie tematy na forum - komunikaty "W komputerze brakuje pamięci", pomimo dużej ilości fizycznego RAM. Nawet przy ogromnej ilości RAM plik pamięci wirtualnej i tak jest potrzebny, a przy jego braku określone aplikacje mogą się dziwnie zachowywać lub nawet nie uruchomić. Plik pamięci wirtualnej, choćby najmniejszy (czyli minimalnie przyjęty przez system 2MB), powinien zostać przywrócony. Rozmiar tego pliku ustala się w inny sposób poprzez monitorowanie: KLIK. Z tym AVG jest problem. Próbowałem odinstalować go przez panel sterowania, ale tych na chwilę pokazywało się okno deinstalacji i się wyłączało. Ściągałem nawet AVG Remover, który wynajdował AVG i niby go usuwał restartując następnie komputer, ale po 2 takich próbach dałem sobie spokój. Wywaliłem tylko ręcznie folder TuneUp. W tej sytuacji spróbuj tych kroków: 1. Pod kątem wejścia instalacyjnego zastosuj Wise Program Uninstaller. Prawdopodobnie program usunie więcej niż tylko rejestrację programu (tak było przynajmniej w innym temacie), ale i tak w punkcie dwa zadaję usuwanie elementów AVG Web TuneUp widocznych w raporcie FRST (plus pozostałe odpadki). 2. Usunięcie szczątków AVG, SpyHunter i kwarantann. Otwórz Notatnik i wklej w nim: R2 WtuSystemSupport; C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe [1223752 2016-04-13] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-12] () HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG Web TuneUp\vprot.exe [2885704 2016-04-13] () BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.2.9.726\AVG Web TuneUp.dll [2016-04-13] (AVG) RemoveDirectory: C:\$AVG RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\AVG_Remover RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\69dc8177-a574-4dff-8461-b3267b078dcf RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\AVG Web TuneUp RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\AVG Secure Search RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\ProgramData\AVG Web TuneUp RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Program Files\Common Files\AVG Secure Search RemoveDirectory: C:\sh4ldr RemoveDirectory: C:\Users\Ewelina\AppData\Local\AVG RemoveDirectory: C:\Users\Ewelina\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Ewelina\AppData\Local\MFAData RemoveDirectory: C:\Users\Ewelina\AppData\Roaming\Enigma Software Group RemoveDirectory: C:\Users\Ewelina\AppData\Roaming\TuneUp Software CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AVG_UI /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż fixlog.txt. Po jego prezentacji: 3. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. PS. Co do pytań o dotacje, to mam w swojej sygnaturze przecież dane. Moja pomoc była jednak skromna. Odnośnik do komentarza
Brychu Opublikowano 16 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2016 Odinstalowałem AVG TuneUP. Obciążenie dysku po uruchomieniu komputera skacze na 100%, ale po kilku minutach się uspokaja. nie wiem od czego to zależy. Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się