Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

"Pracujący" kursor i wykryte niepożądane aplikacje

Ewa

Przez Ewa
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Ewa

Ewa

Opublikowano
Opublikowano

Witam,

 

o tym, że mam problem z komputerem zasygnalizował mi "pracujący" kursor czyli z kręcącym się kółeczkiem co parę sekund. Wygooglowałam, że może być to wirus, więc wzięłam się za przeskanowanie komputera skanerem online (mój antywirus - ArcaVir - nic nie wykrył). Natomiast skaner online NOD wykrył mi takie problemy:

C:\Program Files (x86)\RayDld\ihpmServer.exe    odmiana zagrożenia Win32/ELEX.FZ potencjalnie niepożądana aplikacja
C:\Program Files (x86)\RayDld\ihpmServer.ini    odmiana zagrożenia Win32/ELEX.FZ potencjalnie niepożądana aplikacja

C:\Windows.old\Users\Ewa\AppData\Local\Microsoft\Windows\INetCache\IE\385W415E\BiTool[1].dll    Win32/Somoto.T potencjalnie niepożądana aplikacja    wyleczony przez usunięcie - poddany kwarantannie
C:\Windows.old\Users\Ewa\AppData\Local\Microsoft\Windows\INetCache\IE\385W415E\setup[1].exe    Win32/Somoto.G potencjalnie niepożądana aplikacja    usunięty - poddany kwarantannie
C:\Windows.old\Users\Ewa\AppData\Local\Temp\bitool.dll    Win32/Somoto.T potencjalnie niepożądana aplikacja    wyleczony przez usunięcie - poddany kwarantannie
C:\Windows.old\Users\Ewa\AppData\Local\Temp\nsj99A7.tmp    Win32/Somoto.G potencjalnie niepożądana aplikacja    usunięty - poddany kwarantannie
C:\Windows.old\Users\Ewa\AppData\Local\Temp\in2D544B40\1380B7F1_stp\5125_cor_istartpageing.exe    odmiana zagrożenia Win32/ELEX.FK potencjalnie niepożądana aplikacja    wyleczony przez usunięcie - poddany kwarantannie
P:\Program Files\DAEMON Tools Lite\Extractor.exe    odmiana zagrożenia Win32/Amonetize.LM potencjalnie niepożądana aplikacja    wyleczony przez usunięcie - poddany kwarantannie

Dwa pierwsze problemy chyba usunęłam, resztę "obiecał" zrobić NOD, ale czy skutecznie to chyba nie, bo kursor nadal mi wariuje. Dochodząc do wniosku, że sama sobie z tym nie poradzę, wykonałam zalecane logi w programie FRST. Niestety GMER nie mogę uruchomić (żadnej z 3 instalek), bo Windows robi problemy i zamyka aplikację (standardowa formułka).

 

Krótka historia systemu: W niedzielę całkowity format i instalacja czystego systemu Windows 8.1. W środę instalacja pakietu Office 2013, tego samego dnia wieczorem aktualizacja do Windows 10.1.

Antywirus: wspomniana ArcaVir.

 

Pracuję z plikami z sieci (praca zdalna, obsługa plików w chmurze).

 

Z góry dziękuję za pomoc.

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Detekcje ESET bez znaczenia w kontekście sprawy, to głównie odpadki po starych instalacjach adware: folder RayDld nieaktywny (brak usługi), wszystkie wyniki kierujące na katalog C:\Windows.old w ogóle nieistotne (to kopia poprzedniego systemu operacyjnego) i jeden plik w folderze DAEMON Tools (aplikacja ma integracje z adware). W raportach brak oznak czynnej infekcji, są tylko drobniutkie odpadki adware, które nie wpływają na pracę systemu. Ten "pracujący kursor" jest z innej przyczyny. Z logów nic nie wynika, ale sprawdziłabym jednak czy problemu nie tworzy właśnie ArcaVir. Na próbę go odinstaluj i podaj czy widzisz

 

 

PS. Mały skrypt kosmetyczny do wykonania na wpisy odpadkowe. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartpageing.com/web/?type=ds&ts=1448759007&z=fb1b2a94ef71a28c1c34754gcz9z5bbm5w2teede0m&from=cor&uid=sandiskxsdssdhii120g_143406401997&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1448759007&z=fb1b2a94ef71a28c1c34754gcz9z5bbm5w2teede0m&from=cor&uid=sandiskxsdssdhii120g_143406401997&q={searchTerms}
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\io60h0x8.default\extensions\deskCutv2@gmail.com => nie znaleziono
HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe"
HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe"
Task: {10E0A2B0-55B0-49E7-BCCB-3278F3119B3C} - System32\Tasks\Microsoft\Windows\SetupSQMTask => C:\Windows\SYSTEM32\OOBE\SETUPSQM.EXE
Task: {29567BC2-47DE-417A-B80A-11A56ADBF109} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {2CF6684A-F0A4-4622-BE0A-FB054EC62A37} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {2D389171-A987-4E50-A7C9-022A1234C807} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {60AFCD6D-21D4-4A8F-BE3F-081F78280953} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {6E5B0611-387A-4B03-AA74-F45E282DB0C6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {AF9AC52D-7198-4E43-86D1-10CA5B30A7B6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {B3B9B7AE-8A76-46AA-A9F6-6E21A1E16488} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {E6AA4D26-76B0-43A8-8C24-D99D72165AAB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {E768B3FE-AB77-4B2D-91C5-8412496DDF8D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {F896C958-2EF7-48B7-AEF9-76D4C052DCB3} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {FDFD8E13-A135-456B-BC64-A63E8B1FFFE9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
C:\Program Files (x86)\RayDld
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Odnośnik do komentarza
Ewa

Ewa

Opublikowano
  • Autor
Opublikowano

Dziękuję za informacje. Plik fixlog.txt w załączniku.

 

Odinstalowałam ArcaVir i faktycznie kursor przestał wariować. Ale za to ja zaczęłam, bo nie wyobrażam sobie pracować z tyloma plikami różnego pochodzenia bez antywirusa. Dlatego zainstalowałam jeszcze raz Arcę, tym razem już na Windows 10 i... kuror się nie kręci. Dla pewności zrestartowałam komputer i wygląda na to, że wszystko jest w porządku. Dziękuję za te wskazówki :)

Fixlog.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Chodziło mi o upewnienie się czy antywirus tworzy problemy, a nie o stan permanentny bez antywirusa. Gdyby się okazało, że jednak po reinstalacji problem wraca, należałoby szukać innego antywirusa. A skąd ten problem, trudno powiedzieć, może rzeczywiście migracja aplikacji na Windows 10 bez czystej instalacji była problemem.

 

Fix FRST wykonany. Zastosuj DelFix. Dodatkowo, z rozpędu przeoczyłam że masz wyłączone Przywracanie systemu - instalator Windows 10 robi deaktywację przy określonym progu dysku. Możesz tę funkcję włączyć, by mieć wyjście awaryjne na zapas, choć wolnego miejsca na dysku nie ma za dużo.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...