FiK Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Witam. Dostałem od znajomego laptopa do sformatowania, gdyż miał blokadę z prośbą o token ukash (na forum trochę tego było). W trybie awaryjnym usunąłem przez msconfig uruchamianie dwóch podejrzanych execów i znalazlem w ProgramData folder ze stroną, która uruchamiała się ponad systemem. Naturalnie ją usunąłem. Miałem już oddać lapka (Pavilion dv6) bez formatowania, ale widzę 100% użycia procesora, dlatego zdecydowałem się dostarczyć logi i być może uda się go odratować i nie formatować. Antywirus mu wygasł kilka dni temu, chciałem tymczasowo mu wrzucić avasta, ale instalacja w tych warunkach mija się z celem. Zestaw logów: Results of screen317's Security Check version 0.99.42 Windows 7 x64 (UAC is disabled!) Out of date service pack!! Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! Norton Internet Security WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Java™ 6 Update 19 Java version out of Date! Adobe Flash Player 10 Flash Player out of Date! Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 12.0 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Edit: Logi wygenerowane w trybie awaryjnym. Dzwoniłem do znajomego z zapytaniem co robił z komputerem, ale nie był w stanie stwierdzić czego dokonał. Edit 2: Naturalnie w wykazie procesów nie widać skurczybyka, który tak bardzo obciąża komputer OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Infekcja zdaje się być usunięta, choć nadal widzę po niej jeden plik w ProgramData. System jest tu upstrzony różnymi paskami sponsoringowymi. Ponadto, stary program antywirusowy AVG zdaje się być niedokładnie usunięty, a drugi w kolekcji może być problemem. System jest też kompletnie nieaktualizowany (brak SP1+IE9). Miałem już oddać lapka (Pavilion dv6) bez formatowania, ale widzę 100% użycia procesora, dlatego zdecydowałem się dostarczyć logi i być może uda się go odratować i nie formatować Dobry kandydat na obciążenie ujawnianie w Trybie normalnym lecz nie awaryjnym to Norton Internet Security. Toto ma macki jak ośmiornica, rozbudowany zestaw niskopoziomowych sterowników. I właśnie: Antywirus mu wygasł kilka dni temu, chciałem tymczasowo mu wrzucić avasta, ale instalacja w tych warunkach mija się z celem. Toteż dlatego jest tu prowadzony punkt 1 w instrukcjach. 1. Usuń antywirusy i ich szczątki. Spróbuj odinstalować Nortona naturalną drogą przez Panel sterowania. Następnie z poziomu Trybu awaryjnego załaduj kombinację specjalizowanych usuwaczy: Norton Removal Tool + AVG Remover. 2. Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater, MediaBar (podwójne wystąpienie od Bearshare + Shareaza), Pasek narzędzi AOL 5.0. W Firefox w menedżerze dodatków powtórz usuwanie oraz dodatkowo odmontuj rozszerzenie po AVG. 3. Zastosuj AdwCleaner z opcji Delete. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\hpvrgsfa.exe C:\Users\pawel\AppData\Local\Temp*.html @C:\Windows:0595212A53846229 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i w C:\_OTL powstanie log z wynikami usuwania. 5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania narzędziami w punktach 3+4. . Odnośnik do komentarza
FiK Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 1. Antywirusy odinstalowałem jak kazałaś 2. Te operacje wykonałem jeszcze zanim mi odpowiedziałaś, podobnie jak większość instrukcji z Twojego skryptu, dlatego log z ptk. 4 wygląda jak wygląda 3. Log w załączniku, nic nie wykrył 4. Log w załączniku - jak już pisałem, sporo już było wykonane wcześniej 5. Log w załączniku Ponadto wywaliłem z autoruna trochę ficzerów HP, bo też zamulały. Muszę koledze jeszcze odradzić GG10 bo żre porównywalnie z Photoshopem Komputer działa teraz dużo szybciej niż w momencie gdy go otrzymałem. Dziękuje serdecznie na pomoc, a odnośnie PM - odpiszę jak wrócę z pracy. Wtedy też zainstaluje na tym laptopie brakujące SP i update-y Windowsa a także pożądnego antywirusa. Jeżeli widzisz coś jeszcze do poprawy, to czekam już bardzo cierpliwie rozumiejąc niski już priorytet tego tematu. Raz jeszcze dzięki i obiecane logi (przy czym log z wykonania skryptu ma zmienione rozszerzenie txt, gdyż komputer w pracy blokuje możliwość przesyłania plików *.log): OTL.Txt AdwCleanerS1.txt 07042012_032900.txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Jest jakiś szczególny powód dla którego logi tym razem zrobione z poziomu awaryjnego? (przy czym log z wykonania skryptu ma zmienione rozszerzenie txt, gdyż komputer w pracy blokuje możliwość przesyłania plików *.log) To nie wina komputera w pracy lecz moich ustawień forum. W załącznikach dopuszczam tylko format *.TXT, *.LOG jest wykluczone. 3. Log w załączniku, nic nie wykrył Widzę tu sprzeczność między "nic nie wykrył" a jawnymi kasacjami nagranymi w logu. Może masz na myśli, iż po usunięciu ponownie uruchomiony nic już nie wykrywa? Ponadto wywaliłem z autoruna trochę ficzerów HP, bo też zamulały. Idąc tym tropem te wpisy startowe też niekluczowe: O4 - HKLM..\Run: [AutoEJCD_0ACE20FF] C:\Program Files (x86)\AutoInstall\ZD1211B_Auto_Install_CD_Only_Gen_0ACE20FF\AutoEJCD.EXE ()O4 - HKLM..\Run: [HPCam_Menu] c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKLM..\Run: [NokiaMServer] C:\Program Files (x86)\Common Files\Nokia\MPlatform\NokiaMServer.exe (Nokia)O4 - HKLM..\Run: [NokiaMusic FastStart] C:\Program Files (x86)\Nokia\Ovi Player\NokiaOviPlayer.exe (Nokia)O4 - HKLM..\Run: [updatePRCShortCut] C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKLM..\Run: [WinampAgent] C:\Program Files (x86)\Winamp\winampa.exe ()O4 - HKU\S-1-5-21-149139801-2917846268-1919882342-1000..\Run: [NokiaOviSuite2] C:\Program Files (x86)\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe (Nokia)O4 - HKU\S-1-5-21-149139801-2917846268-1919882342-1000..\Run: [shareaza] "C:\Program Files (x86)\Shareaza\Shareaza.exe" -tray File not found I ta usługa ma kwalifikacje do wyłączenia, skoro ma tu wejść pełnowartościowy antywirus (który i tak zdeaktywuje częściowo funkcjonalność Defendera): SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) 1. Minimalne korekty: ---- Zapuść skrypt o treści (usuwanie odpadków pasków w Firefox): :OTL FF - prefs.js..extensions.enabledItems: {1d5287d1-8a92-0001-1f31-1cec198018d8}:2.0.20080718 FF - prefs.js..extensions.enabledItems: {D238F46A-64EC-11DE-9C5A-D54056D89593}:3.1 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100013 ---- Oraz zaimportuj plik REG o treści (przestawienie domyślnej wyszukiwarki 64-bitowego IE): Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" 2. Porządki po narzędziach: w OTL Sprzątanie, w AdwCleaner Uninstall, usunięcie folderu C:\Users\pawel\DoctorWeb. 3. Czyszczenie folderów Przywracania systemu. 4. Trzymam za słowo: Wtedy też zainstaluje na tym laptopie brakujące SP i update-y Windowsa a także pożądnego antywirusa. Nie zapomnij i o pobocznych aplikacjach, którymi m.in. straszy SecurityCheck. 5. Można jeszcze wykonać defragmentację dysku, w tym Boot Time dysku systemowego. Darmowe propozycje z tą funkcjonalnością: PerfectDisk Free Defrag, Puran Defrag Free Edition. . Odnośnik do komentarza
FiK Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Zrobione. Naturalnie o aktualizacji Javy i adobe (flasha i reader) pamiętam. FF chyba mu wymienię na chrome, IE się ściąga razem z poprawkami powolutku. Wszelkie sprzątania porobione. Wpis do rejestru dodany. Na później zostawiam czyszczenie folderów przywracania i defragmentację. Teraz czas odespać noc póki jeszcze jest temperatura pozwalająca na spokojny sen. Myślę, że temat jest do zamknięcia. Dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi