Suerav Opublikowano 17 Listopada 2014 Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Witam. Na początek powiem że nigdy wcześniej nie miałem żadnych problemów z laptopem. Od 2-3 tygodni - czasami rozłącza się internet, bywały godziny gdzie średnio rozłączało mnie co 2-5min, a nawet 10 sekund, po czym automatycznie połączenie było wznowione lub pomogło dopiero ponowne włączenie karty sieciowej i tak do 30 razy w ciągu dnia. Od kilku dni problem ten niemal nie występuje. Wiem że możliwych przyczyn jest wiele, ale nie o to mi chodzi, wymieniam tylko wszystkie zauważone mankamenty. - kilka razy zdarzyło się że komputer zwolnił wizualnie tzn. procesor nie jest obciążony a przeciągając jakiekolwiek okno pozostają ślady tego przeciągania, minimalizując program w jego miejscu zamiast tapety z ikonami jest czarne tło lub zanika po części pasek zadań. Wszystko to mija po chwili. Do rzeczy, regularnie wykonuje pełne skanowanie Nortonem jednak nie wykrywa niczego lub drobne ustrojstwo. Dzisiaj spróbowałem dla odmiany Anti-Malwarem i doznałem szoku, załączony log. Ponad 200 potencjalnych zagrożeń, pytanie co z tym dalej zrobić, chyba nie ma możliwości usunięcia tego tym programem. W ogóle co to za pliki, nie pisałbym tutaj gdyby nie to. Zgodnie z warunkami założenia nowego tematu dołączyłem inne obowiązkowe logi, za wyjątkiem FRST. Ściągając ten program z linku zamieszczonego na tym forum Norton od razu go usuwa pod pretekstem - zagrożenie stwarzane przez ten plik jest wysokie. Po incydencie z GMER wolałem nie ryzykować, jeżeli naprawdę trzeba to go przywrócę i dołączę raport. Jakim incydencie? Otóż po wykonaniu raportu po ok. 20min, po raz pierwszy na tym lapku wyskoczył blue screen, co ciekawe zauważyłem że po nim z dysku zniknęło 5GB, nie wiem co to przepadło. Chyba to jego wina ponieważ raport z OLT przeprowadziłem przed nim. Pozdrawiam. Log Anti-Malware.txt Extras.Txt OTL.Txt LogGMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2014 Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Skan MBAM wykrył po prostu instalacje adware (wyglądają na szczątkowe) będące rezultatem działań podonych do tych: KLIK. Zanim przejdziemy do konkretów: Zgodnie z warunkami założenia nowego tematu dołączyłem inne obowiązkowe logi, za wyjątkiem FRST. Ściągając ten program z linku zamieszczonego na tym forum Norton od razu go usuwa pod pretekstem - zagrożenie stwarzane przez ten plik jest wysokie. Fałszywy alarm Nortona. Proszę wyłącz Nortona na czas pobierania programu i dostarcz raporty z FRST. OTL jest jednak zbyt przestarzały (nie posiada też wielu skanów obecnych w FRST) i jego odczyty są traktowane tylko jako uzupełniająca opinia. Po incydencie z GMER wolałem nie ryzykować, jeżeli naprawdę trzeba to go przywrócę i dołączę raport. Jakim incydencie? Otóż po wykonaniu raportu po ok. 20min, po raz pierwszy na tym lapku wyskoczył blue screen, co ciekawe zauważyłem że po nim z dysku zniknęło 5GB, nie wiem co to przepadło. GMER jest fanaberyjny i może mu się nie podobać określone środowisko, np. działa tu potężna instalacja Norton oparta o inwazyjne sterowniki poziomu kernel. Co do brakujących 5GB: jest dużo mechanizmów w Windows, które powodują, że miejsce na dysku nie jest stałe i może być w określonych okolicznościach redukowane (np. Tempy, cieniowanie woluminu i punkty Przywracania systemu, zrzuty pamięci, etc.), więc jeśli nie posiadasz konkretów skąd ubyło, a nie zgłaszasz tu jawnego braku danych, nie widzę tu nic niepokojącego jeszcze. . Odnośnik do komentarza
Suerav Opublikowano 17 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Skoro tak. Zrobione, edytowałem post pierwszy. Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2014 Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Tak jak mówiłam, jest w systemie adware, czynne rozszerzenia w Google Chrome (a wersja przeglądarki stara) oraz inne szczątki. Jednakże są to wiekowe odpadki datowane na rok 2013 (nie doczyszczone po prostu wcześniej), ponadto one są na innym niskim poziomie i nie mogą powodować tych efektów: - czasami rozłącza się internet, bywały godziny gdzie średnio rozłączało mnie co 2-5min, a nawet 10 sekund, po czym automatycznie połączenie było wznowione lub pomogło dopiero ponowne włączenie karty sieciowej i tak do 30 razy w ciągu dnia. Od kilku dni problem ten niemal nie występuje. Wiem że możliwych przyczyn jest wiele, ale nie o to mi chodzi, wymieniam tylko wszystkie zauważone mankamenty. - kilka razy zdarzyło się że komputer zwolnił wizualnie tzn. procesor nie jest obciążony a przeciągając jakiekolwiek okno pozostają ślady tego przeciągania, minimalizując program w jego miejscu zamiast tapety z ikonami jest czarne tło lub zanika po części pasek zadań. Wszystko to mija po chwili. Powyższe efekty niestety może wytwarzać coś wręcz przeciwnego niż infekcja, tzn. Norton Internet Security - jak już zaznaczałam, jest to bardzo inwazyjna instalacja. Ponadto, w Dzienniku zdarzeń są błędy sugerujące problemy z oprogramowaniem nVidia (usługę zgłaszającą błędy będę wyłączać) oraz sprzętowe: System errors: ============= Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera. Application errors: ================== Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Ubytek miejsca jest wyjaśniony, za mało miejsca w magazynie kopii cieniowych i system samoczynnie opróżnił starsze punkty Przywracania systemu. Odnotował to Dziennik zdarzeń: Error: (11/16/2014 10:33:14 PM) (Source: volsnap) (EventID: 25) (User: ) Description: Kopie w tle woluminu C: zostały usunięte, ponieważ nie można było powiększyć magazynu kopii w tle. Rozważ zmniejszenie obciążenia We/Wy w systemie lub wybierz wolumin magazynu kopii w tle, który nie jest kopiowany w tle. Jeśli chodzi o doczyszczanie śmieci i wpisów pustych oraz inne drobne korekty (włączając deaktywację problematycznej usługi nVidia), przeprowadź następujące działania: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Extended Protection, Lightning Newtab Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchURL = http://home.microsoft.com/access/autosearch.asp?p=%s HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKLM-x32\...\Run: [fst_pl_127] => [X] HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] S3 mdf16; C:\Users\E531\AppData\Local\Temp\mdf16.sys [20400 2014-01-30] () S3 mvd23; C:\Users\E531\AppData\Local\Temp\mvd23.sys [99248 2014-01-30] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [X] U2 wuaserv; No ImagePath Task: {0CA8A32D-B428-4CF1-A290-9CD8B74DAB06} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {21325EC4-40A1-4AFD-8F0C-34486A6627BF} - System32\Tasks\{C8F5BEA8-3AB5-402D-9109-6D8265E603B9} => C:\Users\E531\Desktop\oko.exe Task: {5D134D70-348E-4123-9B8A-62E21CC1A44F} - System32\Tasks\{206CDF2C-0BF5-4B29-B5BE-685248D3FA2D} => F:\Microsoft Office\Office12\EXCEL.EXE Task: {75CCF3DB-843F-4431-94DE-EC75854E139E} - System32\Tasks\{9737F133-28EF-4F61-83A7-D29338A817A8} => C:\Users\E531\Desktop\oko.exe Task: {9AB6171C-9333-4D0E-A223-3B56123B027D} - System32\Tasks\{E87B8B75-C669-446A-94EF-23277B12A1AC} => F:\Microsoft Office\Office12\excelcnv.exe Task: {A3A33DA4-8FC5-4EFC-9E23-B2F657D1DA69} - System32\Tasks\{F266EFF3-A646-4D03-ADF5-2BE999CA18D2} => F:\Microsoft Office\Office12\excelcnv.exe Task: {ACA279F8-079F-41B6-9BA0-C0C9A4FADB59} - System32\Tasks\{97980ECF-2753-47F2-8202-A867E9C05864} => F:\Microsoft Office\Office12\EXCEL.EXE Task: {C7EA8C0F-9E46-438A-BAC5-99E18AE23267} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {EBEE5AA0-3738-4E43-9B6E-A1E83577C22C} - System32\Tasks\{5AE3A8FC-10DC-497F-A8FE-AEED80B14A44} => F:\Microsoft Office\Office12\EXCEL.EXE Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe CustomCLSID: HKU\S-1-5-21-3670591184-648614672-2990897947-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\E531\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File C:\ProgramData\eSafe C:\Users\E531\AppData\Local\freeSOFTtoday C:\Users\E531\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx C:\Users\E531\Downloads\DTLite4491-0356.exe Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\qone8 Browser Protecter" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\qone8Software /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config NvStreamSvc start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Odpowiadaj już w nowym poście, nie edytuj pierwszego posta. . Odnośnik do komentarza
Suerav Opublikowano 17 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Przejrzałem ustawienia zaawansowane kilka razy i nie znalazłem takiej opcji, po prostu jej tam nie ma. Powinna być w tym miejscu http://screenshot.it.sftcdn.net/blog/it/2014/01/Chrome-Reset-browser-settings.jpg ale u mnie ostatnią sekcją jest system. Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2014 Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Wspominałam już o starej wersji przeglądarki. Nie pamiętam od której dokładnie wersji Chrome występuje ten reset, ale wygląda na to, że Twoja wersja 30.0.1599.101 jest jej pozbawiona. Opuść ten punkt i kontynuuj dalej. Odnośnik do komentarza
Suerav Opublikowano 17 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Gotowe, zajrzę tu jutro. FRST.txt Fixlog.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2014 Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main"/f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Suerav Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Trochę się porobiło. Po pierwszym uruchomieniu FRST zacząłem się niecierpliwić, czekałem dłużej niż gdy robiłem to już wcześniej. Potem zauważyłem że w pliku do którego program zapisuje nic nie przybywa, zostawiłem go jeszcze na 20min i żadnego postępu. Zamknąłem go i uruchomiłem drugi raz, raport z pierwszego uruchomienia przepadł, ponowna sytuacja z tym że program zaczął nie odpowiadać i został ubity, nie mam logu. Po trzecim uruchomieniu sytuacja się powtórzyła jak przy drugim uruchomieniu ale raport z tego uruchomienia dołączyłem, chyba nie zrobił zbyt wiele, za pierwszym razem pamiętam że plik był szerszy. Gdy program został ubity momentalnie przybyło 6GB na dysku za sprawą reg.exe. Później ten program powoli zajął pozostałe miejsce na dysku(10GB) i gdy tylko zwolniło się jakiekolwiek miejsce(usunąłem film żeby sprawdzić) od razu zostało zapchane. Uruchomiłem ponownie komputer wyskoczył komunikat: System Windows utworzył tymczasowy plik stronicowania na komputerze, ponieważ wystąpił problem z konfiguracją pliku stronicowania podczas uruchamiania komputera. Całkowity rozmiar pliku stronicowania dla wszystkich stacji dysków może być nieco większy od podanego rozmiaru. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Widzę, że skrypt stopuje na komendach Reg. Zrobiłam literówkę w jednej z komend (brak spacji). Powtórz skrypt z korektą: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Jeśli i tym razem będą problemy, podam inne instrukcje, by wykonać te same zadania. . Odnośnik do komentarza
Suerav Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Teraz gładko poszło. Miejsce na partycji C zostało przywrócone ale na E już nie. System_DRV(E) to chyba jakaś partycja systemowa, może wiesz? Coś mi świta jakby była powiązana z przywracaniem systemu. Ogólnie 600mb, było 200 wolnego zostało 30. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Skrypt wykonany, czyszczenie systemu zakończone. Czy jest jakaś poprawa w działaniu systemu notowana po wyłączeniu usługi nVidia? A o reszcie już mówiłam. Miejsce na partycji C zostało przywrócone ale na E już nie. System_DRV(E) to chyba jakaś partycja systemowa, może wiesz? Coś mi świta jakby była powiązana z przywracaniem systemu. Ogólnie 600mb, było 200 wolnego zostało 30. Skrypt FRST nie ma z tym związku, on nic nigdzie nie zapisywał (poza logiem wynikowym), było tylko usuwanie z rejestru i trwałe usunięcie dwóch folderów narzędzi. Skoro partycja System_DRV wykazuje zmiany, zaszły całkiem inne niepowiązane z moimi działaniami procesy. Wspominasz o 200MB wolnego, w pierwszym raporcie przed jakimikolwiek operacjami SYSTEM_DRV miało mniej, czyli 120MB: ==================== Drives ================================ Drive c: (Windows7_OS) (Fixed) (Total:111.21 GB) (Free:14.25 GB) NTFS ==>[system with boot components (obtained from reading drive)] Drive e: (SYSTEM_DRV) (Fixed) (Total:0.57 GB) (Free:0.12 GB) NTFS ==>[system with boot components (obtained from reading drive)] ==================== MBR & Partition Table ================== Disk: 0 (Size: 111.8 GB) (Disk ID: 4B243DA7) Partition 1: (Active) - (Size=587 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=111.2 GB) - (Type=07 NTFS) SYSTEM_DRV jest mini partycją serwisową Lenovo, która trzyma dostęp do środowiska naprawczego RE: KLIK. Partycja ta jest ustawiona jako aktywna, czyli bootuje Twój Windows, gdybyś coś z nią zrobił, system już nie zastartuje. Dla świętego spokoju możesz podać spis plików na tej partycji i zobaczymy przez co konkretnie miejsce jest zajęte. Otwórz Notatnik i wklej w nim: Folder: E:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. . Odnośnik do komentarza
Suerav Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Jeżeli o to pytasz to nadal mnie czasami rozłączy. Z tym miejscem na SYSTEM_DRV strzelałem, na pewno było więcej niż 100mb wolnego, okazuje się że 120. Dzięki za wyjaśnienie, nie jestem pewien ale powiedziałbym że przybyło tam 90mb po ponownym uruchomieniu komputera(post 9). Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Końcowe kroki pod kątem czyszczenia: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj stare wersje Adobe i Java, zastąp najnowszymi, zaktualizuj też Google Chrome: KLIK. Wtyczka Adobe Flash całkowicie zbędna, używasz Google Chrome, które ma wbudowany własny wewnętrzny Flash. ==================== Installed Programs ====================== Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.42.34 - Adobe Systems Incorporated) Adobe Reader X (10.1.12) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Google Chrome (HKLM-x32\...\Google Chrome) (Version: 30.0.1599.101 - Google Inc.) Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.670 - Oracle) Z tym miejscem na SYSTEM_DRV strzelałem, na pewno było więcej niż 100mb wolnego, okazuje się że 120. Skan FRST nie wykazuje żadnych dodatkowych elementów na tej partycji. Są tam tylko serwisowe narzędzia Lenovo i pliki rozruchowe Windows oraz plik pamięci wirtualnej i folder Przywracania systemu (System Volume Information), a 99% elementów jest datowana na rok 2013. Jeżeli o to pytasz to nadal mnie czasami rozłączy. vs. Powyższe efekty niestety może wytwarzać coś wręcz przeciwnego niż infekcja, tzn. Norton Internet Security - jak już zaznaczałam, jest to bardzo inwazyjna instalacja. Sprawdzenie tej teorii poprzez tymczasową deinstalację programu, proste wyłączanie w opcjach nie znosi określonych aktywności pakietu. Jeśli po deinstalacji nic się nie zmieni, program po prostu przywrócisz. Oraz jeszcze zostaje sprawa tego błędu, który sugeruje aktualizację BIOS i/lub sterowników sprzętowych: System errors: ============= Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera. . Odnośnik do komentarza
Suerav Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu. Miałem zastosować już zaznaczoną opcje Delfix i później wyczyścić foldery Przywracania systemu zgodnie z opisem pod linkiem? Bo trochę się pośpieszyłem i nie wiedząc że dalej jest taki opis zaznaczyłem w Delfix opcje Purge system restore. Jakaś różnica czy na jedno wychodzi? Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Tak, zadania miały być podzielone. Skoro pośpieszyłeś się i w DelFix zaznaczyłeś dodatkową opcję, nic się oczywiście nie stało. Na wszelki wypadek sprawdź jednak w oryginalnym interfejsie konfiguracji Przywracania czy program poprawnie usunął punkty. Odnośnik do komentarza
Suerav Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Wszystko wyczyszczone za wyjątkiem pierwszego punktu przywracania z opisem Punkt przywracania obrazu systemu, oraz jednego punktu utworzonego teraz zdaje się przez Delfix. Zastosować jeszcze opcję Remove disinfection tools? Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Zastosować jeszcze opcję Remove disinfection tools? To Ty tego nie zrobiłeś wcześniej? Jeśli nie, to wdróż opcję, ale jeśli było to już wykonywane, powtarzanie jest bez sensu. I pokaż wynikowy plik C:\DelFix.txt. Odnośnik do komentarza
Suerav Opublikowano 21 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2014 Nie mogę aktualizować Google Chrome ponieważ występuje ten błąd https://support.google.com/chrome/answer/111996?hl=pl (błąd 1) Próbowałem odinstalować przez panel sterowania żeby później pobrać najnowszą wersje ale wyskoczył komunikat mniej więcej taki: ten program musiał być już wcześniej odinstalowany, czy chce usunąć go z listy. W jaki inny sposób można go poprawnie odinstalować? Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2014 Zgłoś Udostępnij Opublikowano 21 Listopada 2014 Po prostu zatwierdź to "usuwanie z listy" i uruchom instalator z tej strony: KLIK. On nadpisze całą instalację (przy zachowaniu profilu). Odnośnik do komentarza
Suerav Opublikowano 21 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2014 Nie nadpisał ale utworzył folder obok i dalej mam pliki starszej wersji. Chyba pozostało mi usunąć folder ze starszą wersją? Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2014 Zgłoś Udostępnij Opublikowano 21 Listopada 2014 Jeśli chodzi Ci o to, że masz dwa foldery jak poniżej podane, to jest normalne i to się dzieje także podczas naturalnej aktualizacji. Google Chrome i tak używa wyższej wersji i ten starszy folder można ręcznie skasować. C:\Program Files (x86)\Google\Chrome\Application\30.0.1599.101 C:\Program Files (x86)\Google\Chrome\Application\39.0.2171.65 Odnośnik do komentarza
Suerav Opublikowano 21 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2014 Tak, to miałem na myśli. Wykonałem pierwsze 2 kroki z postu 14, nie mogę dodać pliku DelFix.txt, pisze: wysyłanie ominięte(Nie wybrano pliku do importu). Nie wiem jak ale mam już z powrotem 120GB wolnego miejsca na SYSTEM_DRV. Sprawdzenie tej teorii poprzez tymczasową deinstalację programu, proste wyłączanie w opcjach nie znosi określonych aktywności pakietu. Jeśli po deinstalacji nic się nie zmieni, program po prostu przywrócisz. A wyrzucenie go z autostartu? Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2014 Zgłoś Udostępnij Opublikowano 21 Listopada 2014 A wyrzucenie go z autostartu? To za mało. Autostart to tylko cząstka aktywności, jest jeszcze zestaw usług i sterowników (m.in. filtrujących sieć). Ich wyłączanie po pierwsze zajmie więcej czasu (nie wszystko jest dostępne via opcje Windows i wymagane cyrki z importami rejestru), po drugie uczyni program kompletnie nieużytkowym. Wiarygodna metoda znosząca wszystkie aktywności to deinstalacja (przy założeniu, że deinstalacja będzie kompletna i bez błędu). Jeśli po deinstalacji poprawi się funkcjonowanie sieci, winowajca znaleziony. Jeśli nie, program przywrócisz na miejsce. Wykonałem pierwsze 2 kroki z postu 14, nie mogę dodać pliku DelFix.txt, pisze: wysyłanie ominięte(Nie wybrano pliku do importu). Może Norton bruździ. O ile sobie przypominam, tu były podobne zgłoszenia na forum. Zawartość pliku jest mała, więc po prostu przeklej do posta. . Odnośnik do komentarza
Suerav Opublikowano 21 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2014 # DelFix v10.8 - Logfile created 21/11/2014 at 22:16:12 # Updated 29/07/2014 by Xplode # Username : E531 - KOSA-E531 # Operating System : Windows 7 Professional Service Pack 1 (64 bits) ~ Removing disinfection tools ... ########## - EOF - ########## Odnośnik do komentarza
Rekomendowane odpowiedzi