Lucky Opublikowano 31 Maja 2013 Zgłoś Udostępnij Opublikowano 31 Maja 2013 Witam! Tym razem chciałbym oczyścić laptopa z niechcianego oprogramowania. Od jakiegoś czasu zauważyłem, że komputer zaczął się dziwnie zachowywać. - Użycie RAM-u w granicach 50-60 procent gdy nie jest włączony żaden program - Ciągła praca dysku - Dźwiękowy alert antywirusowy co jakieś czas brzmi bez określenia jakie to są wirusy. Dołączam logi. OTL http://wklej.org/id/1053297/ Extras http://wklej.org/id/1053298/ GMER http://wklej.org/id/1053780/ Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2013 Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 Nie widzę tu zbyt dużo do roboty, ani infekcji trojanami (tylko adware). Akcja: 1. Na początek prawidłowe deinstalacje: - Przez Panel sterowania odinstaluj: adware IB Updater 2.0.0.578, IB Updater Service, McAfee Security Scan Plus oraz przestarzały skaner Spybot - Search & Destroy. - W Google Chrome w Rozszerzeniach powtórz deinstalację IB Updater - W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox [2013-03-03 19:54:20 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Program Files\IB Updater\Firefox [2013-03-03 19:54:20 | 000,000,000 | ---D | M] O3 - HKU\S-1-5-21-2168721248-620634778-2884216615-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O37 - HKU\S-1-5-21-2168721248-620634778-2884216615-1000\...exe [@ = exefile] -- Reg Error: Key error. File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Vostro\AppData\Local\Temp\catchme.sys -- (catchme) [2011-08-16 21:48:05 | 000,000,000 | ---D | M] -- C:\Users\Vostro\AppData\Roaming\ScanSpyware [2008-12-30 00:17:06 | 000,000,000 | ---D | M] -- C:\Users\Vostro\AppData\Roaming\tmp [2011-08-05 21:04:38 | 000,000,805 | ---- | C] () -- C:\Windows\ScanSpyware.INI :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Search bar"=- "Secondary Start Pages"=- "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
Lucky Opublikowano 2 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 AdwCleaner http://wklej.org/id/1055032/ OTL http://wklej.org/id/1055034/ Ciągle co jakiś czas słychać ten alert. Czym może on być spowodowany? Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Akcje pomyślnie wykonane, tylko kosmetyczne poprawki i kończymy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. Tzn. odinstaluj stare Java i Silverlight, zaktualizuj Skype, zainstaluj SP1 dla Office. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 26 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.7) - Polish "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "Office14.PROPLUS" = Microsoft Office Professional Plus 2010 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation) - Użycie RAM-u w granicach 50-60 procent gdy nie jest włączony żaden program - Ciągła praca dysku Nie wypowiadasz się czy po przeprowadzonych działaniach nastąpiła jakaś poprawa. Jeśli nie, to na wszelki wypadek sprawdź jeszcze transfer dysku, czy przypadkiem z DMA nie spadł do poziomu PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu" a nie ogólne ustawienie. Jeśli będzie tam PIO, z prawokliku odinstaluj kanał, zresetuj system, Windows przebuduje układ. Ciągle co jakiś czas słychać ten alert. Czym może on być spowodowany? Czy to na pewno jest alert od Avira? Przejrzyj dzienniki antywirusa co w nich jest. Trochę mnie zastanawiają falsyfikaty autorun.inf stworzone na wszystkich dyskach przez USBFix, Avira nie lubi takich obiektów (nie rozpoznaje, że to obiekt blokujący a nie infekcja): O32 - AutoRun File - [2012-06-01 17:43:09 | 000,000,000 | ---D | M] - C:\Autorun.inf -- [ NTFS ] O32 - AutoRun File - [2012-06-01 17:43:09 | 000,000,000 | ---D | M] - D:\Autorun.inf -- [ NTFS ] Poza tym, Avira jest tu w nienajnowszej wersji (komponenty datowane na rok 2011). Odinstaluj ją, zainstaluj najnowszą i sprawdź co się stanie. . Odnośnik do komentarza
Lucky Opublikowano 3 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Wszystko jest już ok. Alerty ustąpiły po odinstalowaniu USBFixa. W raportach nic nie było. Ram spadł do około 35% a dysk przestał cały czas mielić. Wygląda na to, że nic już nie zostało do roboty. Dziękuje wielce Ci za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi