Skocz do zawartości

Nieprawidłowe działanie programów, spowolniona praca komputera.


Rekomendowane odpowiedzi

Witam!

 

Wystąpił problem z komputerem. Odsyłam do tematu, w którym próbowaliśmy z użytkownikiem Morda poradzić sobie z problemem:

 

[szukaj]/index.php?showtopic=138870

 

Nie mogę wykonać logów z GMER ani RootRepeal. W przypadku programu GMER prędzej czy później następuje natychmiastowe wyłączenie komputera. Dysponuję tylko fragmentami logów wykonanych przed wyłączeniem komputera. RootRepeal nie dał rady zainicjować działania przez cztery godziny.

 

Stare gg nie działa, ICQ też nie. Mozilli zdarza się wyłączyć. Nieraz po włączeniu komputera explorer.exe zużywa prawie całą pamięć procesora. Wówczas wyłączam go przez menedżer zadań i ponownie uruchamiam, wówczas działa poprawnie. msmsgs.exe też nieraz pochłania dużą część zasobów, wówczas go wyłączam bez ponownego uruchomienia. Od czasu do czasu zdarza się, że znów pojawia się komunikat o błędzie services.exe i odliczanie do wyłączenia komputera. Dzieje się to, jak zauważyłem, gdy np. podczas uruchamiania komputer się zawiesi i muszę zrobić reset. Wówczas pomaga wyłączenie komputera i włączenie go ponownie, ale nie przez Start->Uruchom ponownie, tylko przez frontalny power-przycisk komputera. Obecnie nie mam antywirusa, który ostatnio zainstalowany po jakimś czasie sprawnego działania zaczął zżerać pamięć procesora, w wyniku czego go odinstalowałem. Mój odtwarzacz MP3 czasami zostaje zarzucony ukrytymi śmieciami o rozszerzeniu .exe, wykrywanymi przez antywirus innego komputera. Dołączam raport z OTL.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Aktualnie mam loga sprzed wyłaczenia komputera, to znaczy zapisałem go w trakcie skanowania, nim wystąpił błąd, może się przyda? Nie zobaczyłem opcji włączenia GMERa w trybie awaryjnym, nie było tego przycisku... Pandę odinstalowałem przez panel sterowania, więc na moje oko nie powinno jej być... Chyba, że to procesy pozostałe jeszcze z innych instalacji?

 

http://wklej.org/id/360579/

 

Jeszcze kawałek tego loga, który nie mogłem "wkleić":

 

.text  C:\WINDOWS\explorer.exe[3956] WININET.dll!InternetWriteFile                                                          3FD660F6 5 Bytes  JMP 0EA75710 
.text  C:\WINDOWS\explorer.exe[3956] WININET.dll!InternetCheckConnectionA                                                   3FD66664 5 Bytes  JMP 0EA7C127 
.text  C:\WINDOWS\explorer.exe[3956] WININET.dll!HttpSendRequestExA                                                         3FD7A70A 5 Bytes  JMP 0EA74894 
.text  C:\WINDOWS\explorer.exe[3956] WININET.dll!HttpEndRequestA                                                            3FD7A812 5 Bytes  JMP 0EA7C278 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!sendto                                                                      71A52F51 6 Bytes  JMP 5F100F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!recvfrom                                                                    71A52FF7 6 Bytes  JMP 5F0A0F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!closesocket                                                                 71A53E2B 6 Bytes  JMP 5F220F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!connect                                                                     71A54A07 6 Bytes  JMP 5F040F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!send                                                                        71A54C27 6 Bytes  JMP 5F0D0F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSARecv                                                                     71A54CB5 6 Bytes  JMP 5F160F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!recv                                                                        71A5676F 6 Bytes  JMP 5F070F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSASend                                                                     71A568FA 6 Bytes  JMP 5F1C0F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSARecvFrom                                                                 71A5F66A 6 Bytes  JMP 5F190F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSASendTo                                                                   71A60AAD 6 Bytes  JMP 5F1F0F5A 
.text  C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSAConnect                                                                  71A60C81 6 Bytes  JMP 5F130F5A 
.text  C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!NtEnumerateValueKey            7C90D2EE 5 Bytes  JMP 0EA76C0C 
.text  C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!NtQueryDirectoryFile           7C90D76E 5 Bytes  JMP 0EA77330 
.text  C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!NtResumeThread                 7C90DB3E 5 Bytes  JMP 0EA774C4 
.text  C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!NtVdmControl                   7C90DF1E 5 Bytes  JMP 0EA773E8 
.text  C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!LdrLoadDll                     7C9163C3 5 Bytes  JMP 0EA7227B 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!NtEnumerateValueKey                               7C90D2EE 5 Bytes  JMP 0EA06C0C 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!NtQueryDirectoryFile                              7C90D76E 5 Bytes  JMP 0EA07330 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!NtResumeThread                                    7C90DB3E 5 Bytes  JMP 0EA074C4 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!NtVdmControl                                      7C90DF1E 5 Bytes  JMP 0EA073E8 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!LdrLoadDll                                        7C9163C3 5 Bytes  JMP 0EA0227B 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ADVAPI32.dll!CryptEncrypt                                   77DDE360 5 Bytes  JMP 0EA05330 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] USER32.dll!TranslateMessage                                 7E368BF6 5 Bytes  JMP 0EA04566 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!sendto                                           71A52F51 6 Bytes  JMP 5F100F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!recvfrom                                         71A52FF7 6 Bytes  JMP 5F0A0F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!closesocket                                      71A53E2B 6 Bytes  JMP 5F220F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!connect                                          71A54A07 6 Bytes  JMP 5F040F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!send                                             71A54C27 6 Bytes  JMP 0EA0BB21 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSARecv                                          71A54CB5 6 Bytes  JMP 5F160F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!recv                                             71A5676F 6 Bytes  JMP 5F070F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSASend                                          71A568FA 6 Bytes  JMP 5F1C0F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSARecvFrom                                      71A5F66A 6 Bytes  JMP 5F190F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSASendTo                                        71A60AAD 6 Bytes  JMP 5F1F0F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSAConnect                                       71A60C81 6 Bytes  JMP 5F130F5A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetQueryOptionA                            3FD00049 5 Bytes  JMP 0EA0C14B 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetSetOptionA                              3FD03302 5 Bytes  JMP 0EA0C139 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetReadFile                                3FD0654B 5 Bytes  JMP 0EA0C21A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpQueryInfoA                                  3FD0878D 5 Bytes  JMP 0EA0CE1A 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetCloseHandle                             3FD09088 5 Bytes  JMP 0EA0D0A2 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetQueryDataAvailable                      3FD0BF7F 5 Bytes  JMP 0EA0CF8F 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpAddRequestHeadersA                          3FD0CF46 5 Bytes  JMP 0EA0C15D 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpOpenRequestA                                3FD0D508 5 Bytes  JMP 0EA0CCC9 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetConnectA                                3FD0DEAE 5 Bytes  JMP 0EA0C115 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpSendRequestW                                3FD0FABE 5 Bytes  JMP 0EA04813 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetOpenA                                   3FD1D690 5 Bytes  JMP 0EA0C0F1 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetSetStatusCallback                       3FD1DCC8 5 Bytes  JMP 0EA0C103 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpSendRequestA                                3FD1EE89 5 Bytes  JMP 0EA04792 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetReadFileExA                             3FD23381 5 Bytes  JMP 0EA0CFF6 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetSetFilePointer                          3FD659F1 5 Bytes  JMP 0EA0C266 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetWriteFile                               3FD660F6 5 Bytes  JMP 0EA05710 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetCheckConnectionA                        3FD66664 5 Bytes  JMP 0EA0C127 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpSendRequestExA                              3FD7A70A 5 Bytes  JMP 0EA04894 
.text  C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpEndRequestA                                 3FD7A812 5 Bytes  JMP 0EA0C278 

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x0C 0x50 0xA6 0x6E ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Program Files\DAEMON Tools Lite\
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x58 0x20 0xAD 0xC2 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x82 0xA3 0x8D 0xF0 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x1D 0xF0 0x5E 0xE5 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x0C 0x50 0xA6 0x6E ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Run@cleansweep.exe                                                    C:\cleansweep.exe\cleansweep.exe

---- Files - GMER 1.0.15 ----

File   C:\Program Files\BearShare\db\config.bin                                                                             3103 bytes

Odnośnik do komentarza

1. Według logów Panda wcale nie jest odinstalowana. Prosze użyć narzędzia Panda Uninstaller pod wersje 2009 taką jaką posiadasz.

 

2. Tu prawdopodobnie jest nadal infekcja widoczna w Gmer:

 

Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Run@cleansweep.exe                     C:\cleansweep.exe\cleansweep.exe

 

Zamontuj następujący skrypt do OTL:

 

:Processes
killallprocesses
 
:Files
C:\cleansweep.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cleansweep.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

3. Wklejasz nowe logi z OTL i nowy log z Gmer.

 

 

 

Odnośnik do komentarza

Załączam. Gmer dał radę do końca przeprowadzić skanowanie, ale niemal nic nie wykazał. Po włączeniu komputera przez jakieś dwie-trzy minuty nie działa Internet, także na pozostałych urządzeniach korzystających z wi-fi. Na C:/ istnieje folder cleansweep.exe, a wewnątrz niego pliki cleansweep.exe i config.bin. Oprócz tego przy zamykaniu Mozilli zazwyczaj wyskakuje komunikat Javy, żewystąpiła próba modyfikacji i czy chcę zapobiec zmianie.

OTL.Txt

Extras.Txt

Gmer.txt

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...