Wolne działanie systemu, puste okienka systemowe...

[SargonAnkro]

Houk.

 

Znajoma zwróciła się do mnie z problemem wolno działającego laptopa. Do tego były problemy z działaniem niektórych okien w Windowsie (puste okna zarządzania kontami użytkowników, usług systemowyych (tylko w wersji rozszerzonej - załącznik: services.msc_puste.JPG), a także w oknach skanera antywirusowego McAfee, o czym pózniej). Postanowiłem się zabrać za jego naprawę.

 

W momencie gdy zacząłem go przeglądać, miał zainstalowany Norton Internet Security i antywirusa od McAfee. Zaczęłem robić rzeczy które mogłyby przyśpieszyć jego start, tzn. wyłączyć zbędne aplikacje i procesy przy starcie systemu, a także odinstalować niektóre śmieciowe aplikacje.

Problemy jakie napotkałem podczas tych czynności to:

1. Przy wyłączaniu procesów zauważyłem, że skaner czasu rzeczywistego McAfee jest spauzowany (załącznik: services.msc_mcafee.JPG). Próba jego odpauzowania kończyła się niepowodzeniem, również w trybie awaryjnym (załącznik: mcafee rts service error.JPG).

2. Nie mogłem odinstalować McAfee. Pojawiało się puste okno bez treści, tak jak przedstawiłem we wstępie (załączniki: mcafee_security_center_panel_puste,JPG, mcafee_uninstall_panel_puste,JPG).

Ten problem udało mi się rozwiązać, wpisałem w konsolę

regsvr32.exe /B JSCRIPT.DLL

regsvr32.exe /B VBSCRIPT.DLL

Po kilku próbach zawartość okien była znowu dostępna, toteż mogłem kontynuować odinstalowywanie.

3. Na dysku C są dwa katalogi z losowymi znakami, próba ich usunięcia kończy się niepowodzeniem (czy to normalnie czy w trybie awaryjnym - zalacznik: katalogi nie do usunięcia.JPG), a w katalogach jest coś w rodzaju update'ów do sterowników AMD czy coś takiego.

 

Z racji, że jest to netbook, postanowiłem puścić skana z KIS 2011 zanim przepuszcze go przez OTL i Gmer'a. Sporo czasu poświęciłem, żeby odpalić KIS'a na nim, ale w końcu się udało. Skan nie wykazał żadnych obcych ciał.

Pózniej zacząłem przygotowywać system do skanerów z waszej strony, czyli odinstalowywać wszelkie aplikacje które mogą powodować uzyskanie niewłaściwych wyników.

 

Po wyżej wykonanych operacjach, system startuje szybciej, Mimo to bardzo proszę o sprawdzenie uzyskanych logów i ocenę, czy netbook jest czysty.

 

Info o systemie: system_properities.JPG

 

Pozdrawiam!

M_checkup.txt

M_Extras.Txt

[SargonAnkro]

Nie wiedzieć czemu nie mogę wysłać loga z Gmera do Was, zatem daje link na wklej.org z treścią loga:

http://wklej.org/hash/cc876e65e88/

I jeszcze rzeczony log z KIS'a.

krd_report.txt

[picasso]

No tak, a gdzie jest główny log z OTL? Dołącz. Na razie z braku danych nie mogę potwierdzić braku śmieci, ale przedstawione problemy mają się nijak do infekcji.

 

 

Nie wiedzieć czemu nie mogę wysłać loga z Gmera

 

Wiedzieć czemu = zasady działu i wyraźne sformułowanie na temat dopuszczonych przeze mnie rozszerzeń tekstowych w Załącznikach (tylko *.TXT a nie *.LOG). Zmiana nazwy pliku = plik się załączy.

 

 

W momencie gdy zacząłem go przeglądać, miał zainstalowany Norton Internet Security i antywirusa od McAfee.

 

Katastrofa. Dwa antywirusy. Ale rozumiem, że ten bajzel już naprostowany, lecz w związku z brakiem głównego OTL nie mogę potwierdzić na ile deinstalacje były kompletne.

 

 

Do tego były problemy z działaniem niektórych okien w Windowsie (puste okna zarządzania kontami użytkowników, usług systemowyych (tylko w wersji rozszerzonej - załącznik: services.msc_puste.JPG), a także w oknach skanera antywirusowego McAfee, o czym pózniej).

 

Przypuszczalna przyczyna: McAfee i jego system przejmowania kontroli nad silnikiem skryptowym Windows. Tak, re-rejestracja plików skryptowych pomaga. To już zrobione.

 

 

3. Na dysku C są dwa katalogi z losowymi znakami, próba ich usunięcia kończy się niepowodzeniem (czy to normalnie czy w trybie awaryjnym - zalacznik: katalogi nie do usunięcia.JPG), a w katalogach jest coś w rodzaju update'ów do sterowników AMD czy coś takiego.

 

To są foldery związane z aktualizacjami Windows. Podczas aktualizacji łaty są w pierwszej kolejności ekstraktowane do losowo nazywanych folderów, które są lokowane na partycji, którą instalator przeliczył jako najbardziej posażną w miejsce (czyli niekoniecznie na C). Foldery na partycji NTFS są zablokowane przez uprawnienia. By je usunąć, należy przejąć folder na Własność + przyznać dla konta Pełną kontrolę. Instrukcje: KLIK (Brak praw do pliku lub folderu (XP)).

 

 

 

 

.

[SargonAnkro]

No tak, a gdzie jest główny log z OTL? Dołącz. Na razie z braku danych nie mogę potwierdzić braku śmieci, ale przedstawione problemy mają się nijak do infekcji.

Przepraszam, musiałem przegapić przy przerzucaniu na pendrive.W załączniku.

Wiedzieć czemu = zasady działu i wyraźne sformułowanie na temat dopuszczonych przeze mnie rozszerzeń tekstowych w Załącznikach (tylko *.TXT a nie *.LOG). Zmiana nazwy pliku = plik się załączy.

A-ha. Musiałem przegapić przy czytaniu przyklejonych. Również w załączeniu.

Katastrofa. Dwa antywirusy. Ale rozumiem, że ten bajzel już naprostowany, lecz w związku z brakiem głównego OTL nie mogę potwierdzić na ile deinstalacje były kompletne.

Tak. Przed puszczeniem skanerów odinstalowałem NIS i McAfee. Dla tego drugiego odpaliłem też McAfee Software Removal, ale w trakcie działania zawieszał się i nie odpowiadał (nawet jak zostawiłem go na dłużej (do 2h), to aplikacja była bez odpowiedzi). Zatem zacząłem usuwać z rejestru ręcznie wszystkie wpisy dot. McAfee i dopiero wtedy odpaliłem OTL, Gmer'a i SecurityCheck.

Przypuszczalna przyczyna: McAfee i jego system przejmowania kontroli nad silnikiem skryptowym Windows. Tak, re-rejestracja plików skryptowych pomaga. To już zrobione.

Ok.

To są foldery związane z aktualizacjami Windows. Podczas aktualizacji łaty są w pierwszej kolejności ekstraktowane do losowo nazywanych folderów, które są lokowane na partycji, którą instalator przeliczył jako najbardziej posażną w miejsce (czyli niekoniecznie na C). Foldery na partycji NTFS są zablokowane przez uprawnienia. By je usunąć, należy przejąć folder na Własność + przyznać dla konta Pełną kontrolę. Instrukcje: KLIK (Brak praw do pliku lub folderu (XP)).

Zrobione - sciągnęłem Fajo XP FSE, nadałem uprawnienia użytkownikowi i usunąłem.

M_OTL.Txt

M_gmer.txt

[picasso]

Infekcji czynnej brak, są jedynie odpadki.

 

1. Korekta na powyższe + wpisy puste i martwe rozszerzenia McAfee + Norton w Firefox. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-2291903390-1110412475-1538417202-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-2291903390-1110412475-1538417202-1005\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O20 - AppInit_DLLs: (c:\progra~1\google\google~1\goec62~1.dll) - File not found
FF - prefs.js..extensions.enabledItems: {B7082FAA-CB62-4872-9106-E42DD88EDE45}:3.3.1
FF - prefs.js..extensions.enabledItems: {BBDA0591-3099-440a-AA10-41764D9DB4DB}:2.0
FF - prefs.js..extensions.enabledItems: {2D3F3651-74B9-4795-BDEC-6DA2F431CB62}:5.6
[2010-06-22 15:27:23 | 000,002,772 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\RealDesktop.xml
[2010-06-22 15:27:23 | 000,002,754 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\RealDesktop.xml.bak
[2010-07-11 16:55:36 | 000,000,000 | ---D | M] (ZwankySearch) -- C:\Program Files\Mozilla Firefox\extensions\{5F321A53-3F65-45F2-9903-587E3CA15404}
[2011-06-10 17:23:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ZwankySearch
[2010-05-19 20:31:53 | 000,491,580 | ---- | C] () -- C:\WINDOWS\System32\drivers\str(2).sys
@Alternate Data Stream - 351954 bytes -> C:\WINDOWS\Temp:temp
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000000
"ProxyServer"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000000
"ProxyServer"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000000
"ProxyServer"=-
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Przedstaw log z wynikami usuwania.

 

2. Odinstaluj tego cudaka Przyspiesz Komputer.

 

 

 

 

.

[SargonAnkro]

Infekcji czynnej brak, są jedynie odpadki.

 

1. Korekta na powyższe + wpisy puste i martwe rozszerzenia McAfee + Norton w Firefox. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej:

 

(...)

 

Klik w Wykonaj skrypt. Przedstaw log z wynikami usuwania.

W załączniku.

 

2. Odinstaluj tego cudaka Przyspiesz Komputer.

Zrobione.

11282011_214232_OTL.txt

[picasso]

Skrypt pomyślnie wykonany, duża ilość plików tymczasowych przeczyszczona. Na zakończenie:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Zaktualizuj oprogramowanie: INSTRUKCJE.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 17
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"ie7" = Windows Internet Explorer 7
"Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl)

 

I to by było na tyle.

 

 

 

 

.

[SargonAnkro]

I to by było na tyle.

Dziękuję Ci bardzo za pomoc.

Pozdrawiam.