Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Proszę o sprawdzenie logów

keyko777 03 Lut 2012 10:03 1529 20
  • #1 03 Lut 2012 10:03
    keyko777
    Poziom 8  

    Witam,
    na sprzęcie firmowym znajomy ma od dłuższego czasu problem z laptopem. najprościej by było zrobić format C i postawić nowy system, ale póki co jest tam za dużo informacji firmowych do przeanalizowania i skopiowania, więc jeśli się uda dojść do tego co jest nie tak byłbym wdzięczny.
    Zauważyłem, że najwięcej problemów sprawia svchost.exe. Zrobiłem skan OTL-em i zamieszczam poniżej logi. Jeżeli ktoś by znalazł chwilę aby to przejrzeć było by super.
    Prosiłbym również o propozycję dalszego postępowania.
    Pozdrawiam
    Key

    0 20
  • #2 03 Lut 2012 12:12
    Acorus 20
    Spec od komputerów

    Odinstaluj Vuze Remote Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

    Cytat:
    :OTL

    IE - HKU\S-1-5-21-839522115-1767777339-2147053123-1003\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)
    FF - prefs.js..browser.search.defaultenginename: "Ask"
    FF - prefs.js..browser.search.order.1: "Ask"
    FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q="
    [2012-01-04 09:17:19 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Documents and Settings\BON\Dane aplikacji\Mozilla\Firefox\Profiles\vzwev07v.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
    [2011-05-12 08:32:31 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\BON\Dane aplikacji\Mozilla\Firefox\Profiles\vzwev07v.default\extensions\engine@conduit.com
    [2009-09-10 08:28:27 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\BON\Dane aplikacji\Mozilla\Firefox\Profiles\vzwev07v.default\searchplugins\ask.xml
    O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-839522115-1767777339-2147053123-1003\..\Toolbar\ShellBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-839522115-1767777339-2147053123-1003\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)
    O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)

    :Commands
    [emptytemp]


    Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
    Pokaż nowy log OTL.txt oraz raport z usuwania.

    0
  • #3 06 Lut 2012 13:18
    keyko777
    Poziom 8  

    Witam,
    przepraszam Was bardzo , ale nie miałem dostępu do komputera firmowego w piątek i dopiero teraz wykonałem skan.
    poniżej zamieszczam logi.
    Pozdrawiam
    Key

    0
  • #4 06 Lut 2012 14:54
    Acorus 20
    Spec od komputerów

    Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

    Cytat:
    :OTL

    :Reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

    :Commands
    [emptytemp]


    Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware
    http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
    Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Bardzo mało wolnego miejsca na dysku:
    Wyczyść pliki tymczasowe za pomocą TFC - Temp Cleaner http://www.geekstogo.com/forum/TFC-Temp-File-Cleaner-OldTimer-file187.html http://www.itxassociates.com/OT-Tools/TFC.exe
    Wyłącz i włącz przywracanie systemu.
    http://www.searchengines.pl/Czyszczenie-punktow-przywracania-systemu-t141981.html
    Przez SHIFT+DEL opróżnij cały folder C:\Windows\SoftwareDistribution\Download
    Do dalszej analizy miejsca skorzystaj z programu SpaceSniffer. http://www.uderzo.it/main_products/space_sniffer/
    wykonaj defragmentację dysku http://www.puransoftware.com/

    0
  • #5 07 Lut 2012 10:03
    keyko777
    Poziom 8  

    Witam,
    wykonałem wszystkie czynności, prócz TFC, który się wieszał na samym starcie. Tempy usunąłem CCleaner. W jaki sposób mam użyć SpaceSniffera?
    Niestety problem z svchost.exe nie został rozwiązany, nadal zużywa maksymalną wolną część procesora.
    Jakieś pomysły?
    Co prawda komfort pracy troszkę się polepszył.
    Bardzo dziękuję za powyższe rady.
    Pozdrawiam
    Key

    0
  • #6 07 Lut 2012 11:22
    Kolobos
    Spec od komputerów

    Daj log z TDSSKiller. Do tego screeny z Process Explorer z wlasciwosci procesu svchost, zakladka services i threads.

    0
  • #8 07 Lut 2012 15:13
    Kolobos
    Spec od komputerów

    Wlacz zapore systemowa (o ile masz wylaczona). Nastepnie wpisz w uruchom: netsh firewall reset
    Uruchom ponownie system i sprawdz czy cos sie zmienilo.

    0
  • #9 07 Lut 2012 15:29
    keyko777
    Poziom 8  

    Teraz nad procesem svchost.exe górę wziął System Idle Process...???


    edit:
    Już doczytałem...systemowy proces bezczynny...czyli jest już w miarę ok?
    Czy jeszcze to jakoś sprawdzić?

    0
  • #10 07 Lut 2012 18:58
    Kolobos
    Spec od komputerów

    Jezeli w Process Explorer nie widac obciazenia to juz wszystko jest ok.

    0
  • #11 24 Paź 2012 11:06
    keyko777
    Poziom 8  

    Witam ponownie,
    tym razem zaniepokoiły mnie pewne procesy na prywatnym komputerze. Mam na myśli csrss.exe , unit.exe , nvxdsync.exe , unit_manager.exe .
    W załączniku oczywiście skan OTL-em.
    Z góry dziękuję za odpowiedź i poświęcony czas.
    Pozdrawiam
    Key

    0
  • #12 24 Paź 2012 12:53
    Kolobos
    Spec od komputerów

    Odinstaluj: uTorrentControl_v2 Toolbar

    csrss.exe - to proces systemowy
    nvxdsync.exe - czesc sterownikow nvidii

    unit.exe
    unit_manager.exe
    Odinstaluj: GeekBuddy


    Wykonaj skrypt w OTL:

    :OTL
    PRC - [2012/05/25 16:20:42 | 000,265,952 | ---- | M] () -- C:\Program Files (x86)\StartNow Toolbar\ToolbarUpdaterService.exe
    IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    IE - HKLM\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
    IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=369fa164-1dd5-11e1-b3fa-001bb1d12f06&q={searchTerms}
    IE - HKLM\..\SearchScopes\{A7B834B9-BEC1-4E26-8B3E-D632AF09B06B}: "URL" = http://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://samsung.msn.com
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3220468
    IE - HKCU\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
    IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=369fa164-1dd5-11e1-b3fa-001bb1d12f06&q={searchTerms}
    IE - HKCU\..\SearchScopes\{59FC14FB-4EB8-4C4A-AADC-6F939A3AC410}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=369fa164-1dd5-11e1-b3fa-001bb1d12f06&q={searchTerms}




    IE - HKCU\..\SearchScopes\{70BA3E6B-1059-2266-0B2C-40E4A85231B8}: "URL" = http://www.ddlstart.com/s/?q={searchTerms}
    IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
    [2012/10/11 19:54:25 | 000,000,000 | ---D | M] (uTorrentControl_v2) -- C:\Users\Key\AppData\Roaming\mozilla\Firefox\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6}
    O2:64bit: - BHO: (VshareComplete) - {08337871-0e50-4031-9110-3bd21ca3c065} - C:\Users\Key\AppData\Roaming\VshareComplete\64\VshareComplete64.dll (SimplyGen)
    O2 - BHO: (uTorrentControl_v2 Toolbar) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (uTorrentControl_v2 Toolbar) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
    [2012/10/11 19:54:26 | 000,000,000 | ---D | C] -- C:\Users\Key\AppData\Local\CRE
    [2012/10/11 19:54:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
    [2012/10/11 19:54:20 | 000,000,000 | ---D | C] -- C:\Users\Key\AppData\Local\Conduit
    [2012/10/11 19:54:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\uTorrentControl_v2


    Uzyj AdwCleaner, opcja Delete.

    Zrob skan przy pomocy mbam.

    0
  • #14 24 Paź 2012 17:36
    Kolobos
    Spec od komputerów

    Usun to co wykryl mbam o ile jeszcze tego nie zrobiles.

    Wybierz w OTL Sprzatanie i to wszystko.

    0
  • #15 24 Paź 2012 17:55
    keyko777
    Poziom 8  

    Zrobione.
    Dziękuję bardzo za pomoc.
    Pozdrawiam
    Key

    0
  • #17 07 Wrz 2015 10:32
    Kolobos
    Spec od komputerów

    Wymagane są logi z FRST.

    0
  • #18 07 Wrz 2015 10:37
    keyko777
    Poziom 8  

    Przesyłam logi z FRST
    Wydaje mi się , że Adw Cleaner sobie z tym poradził , ale mimo to proszę o sprawdzenie.

    0
  • Pomocny post
    #19 07 Wrz 2015 10:54
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
    GroupPolicy: Zasady grupy Chrome wykryto <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Zasada ograniczeń <======= UWAGA
    Toolbar: HKU\S-1-5-21-3451313377-3087133019-685112374-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
    FF Extension: browse pulse - C:\Users\Polkos\AppData\Roaming\Mozilla\Firefox\Profiles\wnfleimg.default\Extensions\{0f93dffa-0882-4ab1-9fb6-767b5032dcf7}.xpi [2015-04-08]
    R2 WdsManPro; C:\ProgramData\yWdsManProy\WdsManPro.exe [709288 2015-09-04] (DTools LIMITED)
    2015-09-07 10:14 - 2015-09-07 10:27 - 00000000 ____D C:\AdwCleaner
    2015-09-04 12:53 - 2015-09-04 12:54 - 00000000 ____D C:\ProgramData\yWdsManProy
    2015-09-04 12:53 - 2015-09-04 12:53 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    1
  • Pomocny post
    #21 07 Wrz 2015 11:06
    Acorus 20
    Spec od komputerów

    Skasuj folder C:\FRST.
    Proszę o sprawdzenie logów

    1