Spowolnie laptopa,problem z defragmentacją i in.

[JN11]

Dzień Dobry!

 

Problemy z laptopem:
 

1. Spowolnienie, a niekiedy zawieszanie się laptopa.

2. W firefox nie otwiera się większość stron 

 

3. Niemożność przeprowadzenia defragmentacji. Mimo wielokrotnego puszczania programu Puran Defrag, cały czas olbrzymia liczba "czerwonych", niezmieniających się ani położenia mimo skasowania różnych plików.

 

4. Program SequoiaViev po pewnym czasie zawiesza się nie pokazując obrazu 
 

5. Nie wiem czy nie ma to związku z niekończącymi się "schodkami" jaki powstały, co sprawia że "adres" pliku staje się niezwykle długi.

 

Shortcut1.txt

FRST1.txt

Addition1.txt

[Miszel03]

System jest zainfekowany przez adware, ale wstrzymam się z zadaniami, bo poprosiłem moderatora działu Hardware by najpierw rzucił okiem na raport, który może być bardzo niepokojący. 

 

EDIT:

 

Wygląda na to, że wszystko jednak w porządku, jutro zabiorę się za Twój temat. 

[JN11]

System jest zainfekowany przez adware, ale wstrzymam się z zadaniami, bo poprosiłem moderatora działu Hardware by najpierw rzucił okiem na raport, który może być bardzo niepokojący. 

 

EDIT:

 

Wygląda na to, że wszystko jednak w porządku, jutro zabiorę się za Twój temat. 

 

 

Czy jest już jutro? Czy problem za trudny?

[Miszel03]

Spokojnie, przeoczyłem temat, ale nie trzeba od razu takim tonem się do mnie zwracać. Jestem tylko człowiekiem. Jutro zaczynam swoje obowiązki o 7:30, w domu będę po 15 - wtedy priorytetowo zajmie się tematem. 

[JN11]

Przepraszam jeśli uraziłem, to było w intencji wyłącznie żartobliwe, i to podwójnie, przypomnienie mojej prośby do Państwa, widać trzeba było dać emotikony,..
 

[Miszel03]

W porządku, jeśli nie pisałeś tego w złości to nie ma żadnego problemu. Tak, emotikony są bardzo ważnym elementem w tego typu przekazach w Internecie.
 

---

 
Jak już wcześnie mówiłeś - widoczne są aktywne infekcje adware / PUP. Tym będziemy zajmować się pierwszorzędnie, zaś później zajmiemy się innymi problemami.
Pobocznym wątkiem jest również sprzątanie systemu z resztek po wcześniej odinstalowanym oprogramowaniu.
 
Czy ustawienie Proxy jest celowe? 

1. Przez Panel Sterownia odinstaluj adware / PUP: Browser-Security.
 
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
C:\Program Files\ByteFence
HKU\S-1-5-21-3101784868-3512781141-925727211-1000\...\Run: [safe_urls768] => "C:\Users\User\AppData\Roaming\Browser-Security\s768.exe"
BHO: Brak nazwy -> {E6E66045-E911-4C01-961D-42487CE12089} -> C:\Users\User\AppData\LocalLow\Browser-Security\safe_url.dll [2016-06-20] ()
C:\Users\User\AppData\Roaming\Browser-Security
C:\Users\User\AppData\LocalLow\Browser-Security
AppInit_DLLs: C:\ProgramData\Viatax\Candox.dll => C:\ProgramData\Viatax\Candox.dll [257536 2016-02-28] ()
S2 Viatax; C:\ProgramData\\Viatax\\Viatax.exe shuz -f "C:\ProgramData\\Viatax\\Viatax.dat" -l -a'
C:\ProgramData\Viatax
C:\ProgramData\\Viatax
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = 
HKU\S-1-5-21-3101784868-3512781141-925727211-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csD0_FpLuc1LI5bnAw0TIBoBrHu9MfnDE3RjohrvqTjMGgX80RM_iVm0UOcS4lGTnTuBLYsf4JACn2PEtCkyWkvEN2B3w1NKpZ4xJjOmqC5V2UChzgHIJeFd8J_eQQOOgGoToHXbmig6T2lpeyiwEI2xHCpSu_Y,&q={searchTerms}
SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csD0_FpLuc1LI5bnAw0TIBoBrHu9MfnDE3RjohrvqTjMGgX80RM_iVm0UOcS4lGTnTuBLYsf4JACn2PEtCkyWkvEN2B3w1NKpZ4xJjOmqC5V2UChzgHIJeFd8J_eQQOOgGoToHXbmig6T2lpeyiwEI2xHCpSu_Y,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3101784868-3512781141-925727211-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csD0_FpLuc1LI5bnAw0TIBoBrHu9MfnDE3RjohrvqTjMGgX80RM_iVm0UOcS4lGTnTuBLYsf4JACn2PEtCkyWkvEN2B3w1NKpZ4xJjOmqC5V2UChzgHIJeFd8J_eQQOOgGoToHXbmig6T2lpeyiwEI2xHCpSu_Y,&q={searchTerms}
2016-02-28 11:56 - 2016-02-28 11:56 - 008003072 _____ () C:\Users\User\AppData\Roaming\agent.dat
2016-02-28 11:56 - 2016-02-28 11:56 - 000064752 _____ () C:\Users\User\AppData\Roaming\Config.xml
2016-02-28 11:55 - 2016-02-28 11:56 - 000011424 _____ () C:\Users\User\AppData\Roaming\InstallationConfiguration.xml
2016-02-28 11:56 - 2016-02-28 11:56 - 000127488 _____ () C:\Users\User\AppData\Roaming\Installer.dat
2016-02-28 11:56 - 2016-02-28 11:56 - 000018432 _____ () C:\Users\User\AppData\Roaming\Main.dat
2016-02-28 11:56 - 2016-02-28 11:56 - 000005568 _____ () C:\Users\User\AppData\Roaming\md.xml
2016-02-28 11:56 - 2016-02-28 11:56 - 000126464 _____ () C:\Users\User\AppData\Roaming\noah.dat
2016-02-28 11:56 - 2016-02-28 11:56 - 001894911 _____ () C:\Users\User\AppData\Roaming\RankCof.tst
2016-02-28 11:56 - 2016-02-28 11:56 - 000032038 _____ () C:\Users\User\AppData\Roaming\uninstall_temp.ico
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SequoiaView\Uninstall SequoiaView.lnk
C:\Program Files (x86)\Google\Chrome
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\User\AppData\Local\Google\Chrome
DeleteKey: HKCU\Software\Google\Chrome
DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Na czas zadania wyłącz COMODO - może blokować niektóre zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 
 
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[JN11]

W porządku, jeśli nie pisałeś tego w złości to nie ma żadnego problemu. Tak, emotikony są bardzo ważnym elementem w tego typu przekazach w Internecie.

 

---

 

Jak już wcześnie mówiłeś - widoczne są aktywne infekcje adware / PUP. Tym będziemy zajmować się pierwszorzędnie, zaś później zajmiemy się innymi problemami.

Pobocznym wątkiem jest również sprzątanie systemu z resztek po wcześniej odinstalowanym oprogramowaniu.

 

Czy ustawienie Proxy jest celowe? 

 

1. Przez Panel Sterownia odinstaluj adware / PUP: Browser-Security.

 

 

"czy jest już jutro" to było takie nawiązanie do tego jak dzieci się pytają, gdy czegoś niecierpliwie oczekują, a zarazem do Pana zapowiedzi.

---

 

 

 



Nie, ustawienie Proxy nie jest celowe.

 

 

Gdy zacząłem pkt 1, pojawił się komunikat:

 

[Miszel03]

W porządku. 

 

Kliknij Tak i przejdź do następnych kroków. 

[JN11]

*61aw53 s5e n6wy *r6b3e0,

 

Za05ast 35ter 5nne zna25
 

1, Ra65rt z a3warebytes

 

2, Ra*6ty z FRST

 

3, 6g *6*rzedn5 s5e n5e za*5sa3,

 

4, n5e dz5a3a 2a nad*5szwan5e

 

 

---

---

 

Dziwnie się teraz porobiło.

By to napisać, muszę skorzystać z innego kompa. Powyżej ten nieczytelny tekst, to zostało napisane po przeprowadzeniu wskazanych działań - tak dziwnie laptop zareagował.

1. Nastąpiła jakaś niezwykła podmiana - zamiast niektórych liter pojawiają się inne znaki i cyfry, i to takie same dla różnych liter.

 

2. W katalogu (pulpit) skąd był start FRST nie znajduję wskazanego pliku "fixlog.txt"

3. Log ze skanowania Malwarebytes w załączniu

4. Przy pierwszym puszczaniu FRST zawiesil się - "brak odpowiedzi" jak na screenie.

5. Dwa nowe raporty z FRST w załączeniu

ra.txt

Addition .txt

FRST .txt

[Miszel03]

1. Nastąpiła jakaś niezwykła podmiana - zamiast niektórych liter pojawiają się inne znaki i cyfry, i to takie same dla różnych liter.

 

Czy lewym, dolnym rogu przy znaczku klawiatury wybrany jest język Polski (programisty)?  Jeśli nie to ustaw go. 

Nie włączyłeś przypadkiem klawiatury numerycznej?

 

4. Przy pierwszym puszczaniu FRST zawiesil się - "brak odpowiedzi" jak na screenie.

 

W takim razie powtórz tą akcję, a następnie potwórz resztę kroków po nim.

[JN11]

N5czeg6 n5e z05en5a3e0 - by 5 "jest język Polski (programisty)"

 

"powtórz tą akcję" - 2trą?

 

 

 

---

 

 

A teraz nagle coś się zmieniło, I mogę pisać już normalnie. Niczego nie przestawiałem. Jakby samoistna zmiana.
Był cały czas ustawiony język programisty.

 

A którą akcję mam powtórzyć?
.

[Miszel03]

Pkt. 2, 3 i 4. Poprzednio skrypt się nie wykonał z jakiegoś powodu.

[JN11]

Pkt. 2, 3 i 4. Poprzednio skrypt się nie wykonał z jakiegoś powodu.

 

Przeszło teraz wszystko.Nowe raporty:

 

 

PS.

1. Po przejściu PuranDefrag stare pola czerwone wciąż bez zmiany.

 

2. SequoiaView nadal nie daje obrazu dysku C - zawiesza się (ale jak sprawdziłem daje bez problemu wyniki na podłączonym przez USB innym dysku)

 

 

 

Fixlog.txt

raport Malware.txt

Addition..txt

FRST.txt

[Miszel03]

Wszystko pomyślnie wykonane i system uprzątnięty. 

 

1. Zagrożenia wykryte przez Malwarebytes możesz dać do kasacji. Pomiń tylko detekcję z lokalizacji C:\PROGRAMDATA\COMODO\CIS\QUARANTINE - to kwarantanna Comodo.

 

2. Raporty wyglądają już w porządku, powiedz czy jakieś problemy ustały i czy nie pojawiły się nowe. 

[JN11]

1. Nie wiem jak dać do kasacji.
2. Zrobiłem nowy skan tym Malwarebytes -  pojawiły się nowe zagrożenia.
3. Czy i jak w sposób właściwy usunąć te z kwarantanny comodo.
 

raport MWB.txt

[Miszel03]

W Interfejsie skanu masz przecież opcję Wybierz akcje, dla wyników, których lokalizacja wynosi C:\PROGRAMDATA\COMODO\CIS\QUARANTINE zastosuj opcje Pomiń, dla reszty zaś Usuń. 

 

2. Zrobiłem nowy skan tym Malwarebytes -  pojawiły się nowe zagrożenia.

 

To te same, tylko wcześniejszych nie usunąłeś.

 

3. Czy i jak w sposób właściwy usunąć te z kwarantanny comodo.

 

Nie ma potrzeby ich usuwania, aczkolwiek w Opcjach kwarantanny powinno być coś na ten temat.

[JN11]

Niestety problemy z PuranDefrag i Sequoia nadal takie same.
Tzn.

1. Po przejściu programu PuranDefrag taka sama liczba pól "czerwonych" i w tych samych miejscach jak na początku,
 

2. Program SequoiaViev po dojściu do etapu kiedy winien pokazać obraz, zawiesza się.

 

3. Wciąż są te "niekończące" się "schodki" sprawiające że "adres" pliku jest niezwykle długi (za długi dla kompa?).

[Groszexxx]

Problem aktualny? 

 

W kwestii czerwonych pól być może odpowiedź kryje się w poście, który napisałem w tym temacie. Musiałbyś pokazać szczegóły czerwonych pól (klastrów) - czyli do jakich plików należą i pokazać jakiegoś screena ze szczegółami.

 

https://www.fixitpc.pl/topic/33430-problem-z-defragmentacja-rozruchu/?hl=defragmentacja

 

Jeśli problem z tą anomalią w Document and Settings dalej występuję, to daj znać. Spróbujemy coś zaradzić.