Spowolnienie komputera

[przemekk121]

Witam, od niedawna mój komputer zaczął wolniej działać i dłużej się włącza. Nie mogę również nic usunąć przez "Dodaj, usuń programy" (lista się nie zapełnia) oraz podczas korzystania z Internetu co jakiś czas ładuje się strona "http://www.cyberzation.com" (używam Chrome ale dzieje się też tak na IE).

 

Mam logi z OTL:

Extras.txt: http://wklej.org/id/499135/

OTL.txt http://wklej.org/id/499136/

 

GMERA nie mogę dodać, ponieważ mam zainstalowanego DAEMONa (nie idzie go usunąć).

 

Malwarebytes' Anti-Malware podczas szybkiego skanowania wykrył jakiegoś robala ale go usunął.

 

Jeżeli jeszcze coś mam podać to piszcie..

Pozdrawiam i czekam na szybką odpowiedź.

[Landuss]

GMERA nie mogę dodać, ponieważ mam zainstalowanego DAEMONa (nie idzie go usunąć)

 

Próbowałeś narzędziem SPTDinst tak jak opisane na forum? I napisz co to znaczy ze nie możesz go usunąć, bardziej konkretnie.

 

W logach głównie infekcja z mediów przenośnych.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
w9.exe /alldrives
autorun.inf /alldrives
C:\WINDOWS\system32\arking0.dll
C:\WINDOWS\System32\arking1.dll
C:\Documents and Settings\Admin\fswagz.exe
 
:OTL
IE - HKU\S-1-5-21-1708537768-1604221776-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.entretieneteds.vze.com
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaultthis.engineName: "PageRage Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNxmk142YYPL&ptb=c7bvz1hAul0KB1K9O3PKSg&psa=&ind=2010120613&ptnrS=ZNxmk142YYPL&si=46776&st=kwd&n=77d001a5&searchfor="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties"
[2010-02-10 21:52:24 | 000,000,000 | ---D | M] (HyperCam Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC}
[2010-04-06 18:09:32 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2010-09-22 21:45:50 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\vshare@toolbar
[2010-04-06 18:09:28 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\searchplugins\sweetim.xml
O4 - HKU\S-1-5-21-1708537768-1604221776-839522115-1003..\Run: []  File not found
O4 - HKU\S-1-5-21-1708537768-1604221776-839522115-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe ()
[2010-03-04 16:25:24 | 000,000,304 | ---- | M] () -- C:\WINDOWS\Tasks\expressburnSevenDaysInit.job
[2011-03-24 14:54:08 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\PCConfidential.job
[2010-09-14 17:16:02 | 000,000,298 | ---- | M] () -- C:\WINDOWS\Tasks\expressburnShakeIcon.job
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Odinstaluj vShare Plugin. Jest oceniany jako szkodliwy: KLIK

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[przemekk121]

Ok udało mi się usunąć DAEMONa. Już wiem też czym było spowodowane spowolnienie pracy komputera.

Od jakiegoś czasu muszę walnąć co 1-2 tygodnie format partycji E, ponieważ robi się ona "niesformatowana".

 

GMER: http://wklej.org/id/499229/

 

Extras: http://wklej.org/id/499234/

OTL: http://wklej.org/id/499235/

 

(Cały czas co 2-3h wyskakuje ta strona cyberzation.)

[Landuss]

Wykonaj kolejny skrypt bo nie wszystko poszło jak należy:

 

:Files
C:\Documents and Settings\Admin\fswagz.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-
 
:OTL
[2011-03-24 16:48:20 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\vshare@toolbar
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Admin\fswagz.exe) - C:\Documents and Settings\Admin\fswagz.exe ()
 
:Commands
[emptytemp]

 

Wklejasz nowe logi z OTL.

 

 

 

[przemekk121]

http://wklej.org/id/499505/ - po wykonanym skrypcie

 

http://wklej.org/id/499510/ - skan po rebocie

[Landuss]

OTL nie może jakoś sobie poradzić z tym ustrojstwem:

 

O20 - HKLM Winlogon: TaskMan - (c:\documents and settings\admin\fswagz.exe) - c:\Documents and Settings\Admin\fswagz.exe ()

 

Trzeba zmienić metode. Pobierz Avenger i wklej do okna taki tekst:

 

Files to delete:
c:\Documents and Settings\Admin\fswagz.exe
 
Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | TaskMan

 

Klik w Execute i restart komputera.

 

Do pokazania log z Avengera i nowy log z OTL.

 

 

 

[przemekk121]

http://wklej.org/id/499674/ - avenger (nie znam się ale chyba coś nie tak poszło)

http://wklej.org/id/499675/ - OTL

[Landuss]

Infekcja została pomyślnie usunięta. Pytanie czy problemy minęły? Do wykonania poniższe czynności:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine

 

3. Masz mało miejsca wolnego na partycji systemowej i w dodatku system plików to stary FAT:

 

Drive C: | 18,55 Gb Total Space | 1,66 Gb Free Space | 8,96% Space Free | Partition Type: FAT32

Przeanalizuj dysk za pomocą SpaceSniffer aby sprawdzić co ewentualnie można z tej partycji usunąć i co zajmuje najwięcej miejsca. Po uzyskaniu większej ilości miejsca wykonaj szybką konwersję FAT do NTFS

 

Start > Uruchom > cmd i w linii komend wpisz polecenie convert C: /fs:ntfs Na pytanie o dezinstalację woluminu odpowiedz twierdząco.

 

4. Wykonaj aktualizacje Firefoxa i Adobe Rader: KLIK.

 

5. Na końcu wyzeruj stan przywracania systemu: KLIK

 

 

 

 

[przemekk121]

Skoro twierdzisz, że usunięta to dobrze. Nie zauważyłem żeby wyświetlały się samoczynnie jakieś strony internetowe.

Już zabieram się za dalsze polecenia.

 

Mam jednak pytanie co do partycji E: Czym mogę ją przeskanować aby sprawdzić co jest z nią nie tak? Jak już wcześniej pisałem to co jakiś tydzień, może dwa muszę ją formatować bo się gubi :/

 

 

Wielkie DZIĘKI za pomoc w czyszczeniem kompa.. teraz jeszcze tylko to E: .