DK77 Opublikowano 1 Marca 2011 Zgłoś Udostępnij Opublikowano 1 Marca 2011 Witam. Bardzo proszę o pomoc. Od jakiegoś czasu obserwuję duże i raptowne spowolnienie mojego komputera. Prócz tego, raz na jakiś czas ekran staje się czarny po czym komp. powraca do poprzedniej pracy. Trwa to ok 2 sekund. W pasku powiadomień, między innymi ikonami, jest wyraźna przerwa, tak jakby była tam jeszcze jedna niewidoczna ikona ( nie wiem czy to akurat ma jakieś znaczenie, ale nie znam sie na tym i staram się być dokładny ). Podczas przeglądania stron intrnetowych, często w miejsce już otwartych wyskakuje inna, bardzo uboga pod względem graficznym, namawiająca do udziału w przeróżnych konkursam, w których to można wygrać laptopa lub najnowszego iPhona, namawia też do udziąłu w różnych grach online. Po zaktualizowaniu pr. Avast, jego bazy wirusów i dokładnym przeskanowaniu okazało sie, że na moim kompie znajdują się 32 zainfekowane pliki - Nazwa pliku: C\User\Acer\AppData\Local...\$[38].dll Zagrożenie: Win32:Rootkit-gen [ Rtk ] i takich 32 sztuki ). Nie wiedziałem co mam zrobić więc przeniosłem je do kwarantanny. Od tej aktualizacji z ikony av, na pasku powiadomień, przy prawie każdym otwarciu nowej strony wyskakuje powiadomienie o zablokowaniu podejrzanej strony z Rootkit lub Mal. Czasem jednak strona nie zostaje zablokowana i mimo powiadomienia wyskakuje ta wyżej opisana, z reklamami. Jeszcze raz proszę o pomoc, nie znam się na tym. Extras.Txt OTL.Txt prescan GMER.txt Pełny scan GMER.txt Odnośnik do komentarza
picasso Opublikowano 1 Marca 2011 Zgłoś Udostępnij Opublikowano 1 Marca 2011 Log z GMER jest zaciemniony działaniem sterownika emulacji napędów SPTD. Proszę skorzystaj z narzędzia SPTDinst (KLIK) w celu eliminacji tego sterownika + restart systemu i powtórz pełny skan GMER. DRV - [2011-02-23 13:14:30 | 000,428,088 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Analizując log z OTL: masz zainstalowane adware w przeglądarce Internet Explorer. Dla porównania inny przypadek, gdzie to ten sam obiekt robił dziwne sztuki z naszym forum: KLIK. 1. Rozpocznij od prostej czynności. Przejdź do Panelu sterowania do apletu deinstalacji programów i odinstaluj AutocompletePro + Netbits Contextual Tracking. Wpisy są dostępne na liście. Przy okazji, jeśli nie korzystasz, możesz też odmontować pasek narzędziowy Yahoo. 2. Po wykonaniu czynności deinstalacyjnych wyprodukuj nowe logi z OTL z opcji Skanuj. . Odnośnik do komentarza
DK77 Opublikowano 4 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2011 Cześć. Zastosowałem się do wskazówek. Przesyłam też nowe logi: Następny scan GMER 2.txt OTL ponowny.Txt Odnośnik do komentarza
picasso Opublikowano 4 Marca 2011 Zgłoś Udostępnij Opublikowano 4 Marca 2011 W logu z GMER nie widzę nic podejrzanego. Deinstalacja reklamodawców odbyła się pomyślnie. Zrób jeszcze drobną poprawkę kosmetyzującą: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-897335369-3984349583-2002778222-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found :Files C:\Users\Acer\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz na końcu log z tych działań. 2. Do prezentacji końcowy log z OTL z opcji Skanuj. Czy problemy ustąpiły? . Odnośnik do komentarza
DK77 Opublikowano 4 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2011 Bardzo dziękuję. Komputer pracuje lepiej, a problemy wspominane wcześniej ustąpiły. Mam jeszcze dwa pytania: 1. Przerwa w pasku powiadomień jakby niewidoczna ikona między standardowymi, czy to ma jakieś znaczenie w sensie zagrożenia? Słyszałem kiedyś, choć to może bzdura, że pozostawiają ją jakieś szkodliwe programy. 2. Od jakiegoś czasu i coraz częśiej, Avast ostrzega mnie o takim zagrożeniu: Obiekt: 87.250.162.3:135/tpc, Zarażenie: DCOM Exploit, Działanie: Czynność zablokowana. Czy mam się tym przejmować, czy póki av tak komunikuje to wszystko jest pod kontrolą? Przesyłam ostatnie logi: Wykonaj skrypt log OTL.txt Log końcowy OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Marca 2011 Zgłoś Udostępnij Opublikowano 4 Marca 2011 1. Drobnostka: pomyliłam się w skrypcie wyżej i zedytowałam za późno, zdążyłeś wykonać wadliwą instrukcję. Dlatego skrypt nie skasował plików-śmieci nabitych przez Gadu. Wejdź do folderu C:\Users\Acer\AppData\Local i z niego przez SHIFT+DEL skasuj wszystkie pliki o modelu nazwy Temp*.html. Operacja nie ma charakteru trwałego, GG10 znów zacznie produkować te śmieci. 2. W OTL wywołaj opcję Sprzątanie. To usunie kwarantannę programu oraz sam program. 3. Możesz ze startu wyłączyć zbędniki. Zaopatrz się w program Autoruns i w nim w karcie Logon odptaszkuj te wpisy ze startu: O4 - HKLM..\Run: [Acer Tour] File not foundO4 - HKLM..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (Acer Inc.)O4 - HKLM..\Run: [setPanel] File not foundO4 - HKLM..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe (Acer Inc.)O4 - HKU\S-1-5-21-897335369-3984349583-2002778222-1003..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (Acer Inc.)O4 - HKU\S-1-5-21-897335369-3984349583-2002778222-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe ()O4 - HKU\S-1-5-21-897335369-3984349583-2002778222-1003..\Run: [CollaborationHost] C:\Windows\System32\p2phost.exe (Microsoft Corporation)O4 - HKU\S-1-5-21-897335369-3984349583-2002778222-1003..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation) Nieuważna byłam, jeszcze do usunięcia ten odpadek, czyli w karcie Services skasuj: SRV - File not found [Auto | Stopped] -- -- (CLTNetCnService) 4. Aktualizacja: Odinstaluj Adobe Reader 7.0 i zastąp przez najnowszy Adobe Reader X (odptaszkuj montaż sponsora McAfee). Opcjonalnie: sugeruję zamianę potwora GG10 na inny lekki program z dobrą obsługą sieci GG8/10 (długie numery, szyfrowanie, multilogowanie ...) i bez reklam. Opisy w temacie: Darmowe komunikatory. Propozycje z mojej strony: WTW, Miranda. 5. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. 1. Przerwa w pasku powiadomień jakby niewidoczna ikona między standardowymi, czy to ma jakieś znaczenie w sensie zagrożenia? Słyszałem kiedyś, choć to może bzdura, że pozostawiają ją jakieś szkodliwe programy. Szczerze wątpię w zagrożenie. Skoro jest tu w obszarze powiadomień jakaś przerwa, spróbuj zresetować cały obszar powiadomień, by odświeżyć ikony. Szybko może to przeprowadzić narzędzie Fixit z tego artykułu: KB945011. Nie sugeruj się treścią artykułu. Edycja rejestru automatycznie prowadzona przez Fixit służy do rozwiązywania wielu problemów z wadliwymi ikonami obszaru powiadomień. 2. Od jakiegoś czasu i coraz częśiej, Avast ostrzega mnie o takim zagrożeniu: Obiekt: 87.250.162.3:135/tpc, Zarażenie: DCOM Exploit, Działanie: Czynność zablokowana. Czy mam się tym przejmować, czy póki av tak komunikuje to wszystko jest pod kontrolą? Do zignorowania. . Odnośnik do komentarza
DK77 Opublikowano 7 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2011 Cześć. Zrobiłem wszystko według wskazówek. Myślę, że wszystko działa bez zarzutów, nie zauważam nic podejrzanego. Jeszcze raz bardzo dziękuję! Mam tylko jeszcze jedno pytanie: Folder Windows zajmuje mi grubo ponad 16GB, czy to jest normalne? Mam mało pojemny dysk (80GB). Nic, co wymagałoby więcej miejsca nie było przeze mnie dłuższy czas instalowane, a mimo to dość szybko ubywa mi go na dysku. Czy chodzi o aktualizacje Visty? Odnośnik do komentarza
picasso Opublikowano 7 Marca 2011 Zgłoś Udostępnij Opublikowano 7 Marca 2011 Czy mam rozumieć, że reset obszaru powiadomień narzędziem Fix-it skorygował tę "lukę" na pasku? Mam tylko jeszcze jedno pytanie:Folder Windows zajmuje mi grubo ponad 16GB, czy to jest normalne? Mam mało pojemny dysk (80GB). Nic, co wymagałoby więcej miejsca nie było przeze mnie dłuższy czas instalowane, a mimo to dość szybko ubywa mi go na dysku. Czy chodzi o aktualizacje Visty? 1. To jak najbardziej możliwe i naturalne. Pierwsza z brzegu instalacja Vista na mojej maszynie wirtualnej ma ten folder rozmiaru ~15GB. Co najwyżej z folderu Windows od razu możesz skasować tylko obiekty pobranych aktualizacji, czyli opróżnić folder C:\Windows\SoftwareDistribution\Download. 2. Tak, jest tu słabowita statystyka ogólna: Drive C: | 64,77 Gb Total Space | 4,04 Gb Free Space | 6,24% Space Free | Partition Type: NTFS Do precyzyjnej diagnozy zajętości miejsca możesz użyć mały darmowy programik portable SpaceSniffer i ewentualnie wyszukać gdzie poza folderem Windows można redukować. Aplikację należy wywołać przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku włączyć detekcję i nieznanej przestrzeni z menu Edit > Configure > Show Unknown Space. . Odnośnik do komentarza
DK77 Opublikowano 17 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2011 Cześć. Przepraszam, że tak późno. 1. Reset w obszarze powiadomień nic nie zmienił, nadal jest ta przerwa między ikonami. 2. Udało mi sie uporać z brakukjącym miejscem na dysku, mam go teraz więcej. 3. Od prawie tygodnia nie pojawiają się powiadomienia av na temat wspominanych wyżej ataków "Obiekt: 87.250.162.3:135/tpc, Zarażenie: DCOM Exploit". Za to przez parę dni, raz na jakiś czas, znów pojawiał się, na niecałą sekundę, czarny ekran. Też kilka razy, na parę sekund zawieszał sie komputer, jednak w ostatnich paru dniach tych objawów już nie było. Nie wiem co to może być. Piszę o tym, bo może jest to istotne. Poza tym jest wszystko ok. Mam jeszcze jedno pytanie: Co z plikami które znajdują się w kwarantannie ( C\User\Acer\AppData\Local...\$[38].dll Zagrożenie: Win32:Rootkit-gen [ Rtk ] - jest ich tam 50 ), usunąć je? Odnośnik do komentarza
picasso Opublikowano 17 Marca 2011 Zgłoś Udostępnij Opublikowano 17 Marca 2011 nadal jest ta przerwa między ikonami (...) Za to przez parę dni, raz na jakiś czas, znów pojawiał się, na niecałą sekundę, czarny ekran. Też kilka razy, na parę sekund zawieszał sie komputer, jednak w ostatnich paru dniach tych objawów już nie było. Pokaż nowe logi z OTL. Mam jeszcze jedno pytanie:Co z plikami które znajdują się w kwarantannie ( C\User\Acer\AppData\Local...\$[38].dll Zagrożenie: Win32:Rootkit-gen [ Rtk ] - jest ich tam 50 ), usunąć je? Oczywiście możesz usunąć wszystko z kwarantanny w sposób całkowity. . Odnośnik do komentarza
DK77 Opublikowano 18 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2011 Zastanawiam się czy te ostatnie objawy to przypadkiem nie wynik automatycznych uaktualnień Visty, chyba pod czas tego procesu tak się dzieje i podczas aktualnień definicji wirusów. Jeszcze się temu przyjrzę, ostatnio mało korzystałem z kompa. Mimo to przesyłam log z OTL: OTL 18.03.11.Txt Odnośnik do komentarza
picasso Opublikowano 19 Marca 2011 Zgłoś Udostępnij Opublikowano 19 Marca 2011 1. Nie wyłączyłeś wszystkiego z Autostartu, co zadałam. Ostał się "Acer Tour" (nie wykluczam, że to od niego jest ta przerwa). Uruchom Autoruns ponownie i w karcie Logon odznacz te pozycje: O4 - HKLM..\Run: [Acer Tour] File not foundO4 - HKU\S-1-5-21-897335369-3984349583-2002778222-1003..\Run: [CollaborationHost] C:\Windows\System32\p2phost.exe (Microsoft Corporation)O4 - HKU\S-1-5-21-897335369-3984349583-2002778222-1003..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation) Zresetuj system i podaj czy nadal jest przerwa między ikonami. 2. Wg raportu posiadasz Avast 5. Aktualnie jest już dostępny Avast 6. Za darmo jest więcej funkcji. . Odnośnik do komentarza
DK77 Opublikowano 19 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2011 Właśnie nie mogę dostrzec tych pozycji w Autorun. Przepraszam, może jestem "ślepy". Możesz zerknąć: Jeśli chodzi o Avast, to właśnie nawet w Autorun pokazuje wersję 5, ale ja już od chyba dwóch tyg. mam 6-kę: Odnośnik do komentarza
picasso Opublikowano 19 Marca 2011 Zgłoś Udostępnij Opublikowano 19 Marca 2011 Właśnie nie mogę dostrzec tych pozycji w Autorun. Przepraszam, może jestem "ślepy". Możesz zerknąć: Rzeczywiście, nie zgadza się zawartość.... W Autoruns odfajkuj jeszcze: QuickTime oraz WMPNSCFG. Natomiast na temat tego "Acera", którego nie widać w Autoruns: Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator > wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run I popatrz czy jest Acer Tour. Jeśli jest, skasuj i restart komputera. Podaj wyniki, czy nadal widać "przerwę". Jeśli chodzi o Avast, to właśnie nawet w Autorun pokazuje wersję 5, ale ja już od chyba dwóch tyg. mam 6-kę: Właśnie mnie zastanowiło co robi WebRep w Twoim logu (to jedna z owych nowości Avasta 6), przy jednoczesnej ścieżce "Avast 5". Możliwe, że piątka w ścieżce pozostaje przy technice nadpisania wersji metodą aktualizacyjną a nie na czysto. . Odnośnik do komentarza
DK77 Opublikowano 26 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2011 Jak zawsze zastosowałem się do wskazówek. Nie wiem tylko co zrobić w tym kluczu: W katalogu Run jest folder AutorunsDisabled, a w nim dopiero Acer Tour Reminder. To kasować? Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2011 (edytowane) W katalogu Run jest folder AutorunsDisabled, a w nim dopiero Acer Tour Reminder. To kasować? To nie ten obiekt. To jest inny wpis: O4 - HKLM..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (Acer Inc.) ... wyłączony przez Autoruns (dlatego zostało to przemigrowane do podstruktury "AutorunsDisabled"). Sprawa strasznie dla mnie zagmatwana dlaczego jest taka różnica w detekcji wpisu między OTL a Autoruns. Zróbmy inaczej: przejrzę Twój rejestr osobiście. Proszę wytwórz kopię rejestru za pomocą ERUNT, jako miejsce kopii wskaż pusty folder utworzony na Pulpicie do tego celu, po ukończeniu zadania zapakuj wygenerowane pliki SOFTWARE + NTUSER.DAT do pliku ZIP, umieść na jakimś hostingu i podaj mi do tego link. . Edytowane 7 Maja 2011 przez picasso 7.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi