Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prawie usunięte wirusy - Logi OTL.

blanthauer 18 Cze 2016 19:06 672 19
  • #1 18 Cze 2016 19:06
    blanthauer
    Poziom 13  

    Witam
    Wczoraj kolega siedzial na moim komputerze i stwierdzil, ze mam mnostwo wirusow, poniewaz zauwazyl ze 93% pamieci jest uzywane. Sprawdzil to w menedzerze zadan i nie zauwazyl procesow ktore by zjadaly az tyle pamieci. Przeskanowal komputera GMEREM, znalazl 10 ukrytych procesow. Probowal je "zabic" za pomoca GMERA, ale nie udalo sie, gdyz komenda "zabij" nie reagowala.
    Pojechalismy do znajomych. Komputer zostal wylaczony. Po uruchomieniu dzisiaj Windowsa, wszystko bardzo wolno chodzilo. Otwieranie stron, explorer chodzil jakby mial 4mbMB pamieci. Kolega twierdzi, ze to nie jego wina, ja mialem mnostwo pracy na dzis, niestety musialem sam probowac naprawic komputer.

    Co kolega zrobil, ze komputer przestal dzialac? Dlaczego wczoraj komputer normalnie pracowal a dzis rano juz nie?

    P.S.
    Obecnie komputer juz lepiej chodzi, zaczelem od skanowania adwcleanerem, potem ponad 1,5h mbam.
    W chrome zostalo troche "adware" otwiera strone startowa searching.. oraz w google tez jakas inna.

    Wrzucilem logi z OTL w zalaczniku.

    Pozdrawiam

    0 19
  • #2 18 Cze 2016 19:19
    frycek32
    Poziom 11  

    Witam.
    Widzę, że masz XP - wyłącz aktualizacje, przeskanuj ADWCleaner i zainstaluj Advanced Systemcare - powinno pomóc. Pozdrawiam.

    Poprawiłem. swiercm.

    0
  • #3 18 Cze 2016 19:21
    swiercm
    Moderator na urlopie...

    @blanthauer wymagane są logi z FRST.

    Wykonaj skanowanie i usuń to, co zostało wykryte (dotyczy pkt 1-3):
    1. MBAM: https://www.malwarebytes.org/
    2. ADWCleaner: http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
    3. CCLeaner (opcja czyszczenia plików tymczasowych i opcja naprawy rejestru): http://www.filehippo.com/pl/download_ccleaner/download/78325cb97c23cd95a395335c7a6bc5bd/
    4. Pobierz FRST zgodny z Twoim Windows (32bit lub 64bit) http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ Uruchom skanowanie i wygenerowane logi (frst.txt i addition.txt) zamieść jako załączniki.
    Naciśnij Prawie usunięte wirusy - Logi OTL. a następnie Prawie usunięte wirusy - Logi OTL.

    frycek32 napisał:
    Witam
    Widzę, że masz XP - wyłącz aktualizacje, przeskanuj ADWCleaner i zainstaluj Advanced Systemcare - powinno pomóc. Pozdrawiam.


    To za mało. Okaże się po analizie logów Autora.

    0
  • #4 18 Cze 2016 19:41
    frycek32
    Poziom 11  

    Witam.
    Doczytałem się któregoś dnia, że za duże zużycie pamięci i CPU jest odpowiedzialna jakaś aktualizacja Microsoftu, która działa w tle.

    0
  • #6 18 Cze 2016 21:55
    Kolobos
    Spec od komputerów

    Jeszcze addition.txt.

    0
  • #8 18 Cze 2016 22:11
    Kolobos
    Spec od komputerów

    Addition.txt jest obciety, wykonaj jeszcze raz skan i zamiesc caly log.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Janek\DANEAP~1\PRICEF~1\PRICEF~1.EXE
    Task: C:\WINDOWS\Tasks\Opera scheduled Autoupdate 1439807112.job => C:\Program Files\Opera\launcher.exe
    HKLM\...\Policies\Explorer\Run: [xrat36] => C:\WINDOWS\security\agent.exe [684108 2003-10-27] ()
    CHR StartupUrls: Default -> "hxxp://www-searching.com/?pid=s&s=G6Azamobl19312AQ,d245b72f-2add-4694-92db-dd7302790eda,&vp=ch&prd=set_ch"
    CHR DefaultSearchURL: Default -> hxxp://www-searching.com/search.aspx?site=shyos&prd=set_ch&q={searchTerms}&s=G6Azamobl19312AQ,d245b72f-2add-4694-92db-dd7302790eda,
    CHR DefaultSearchKeyword: Default -> www-searching.com
    CHR DefaultSuggestURL: Default -> hxxp://api.searchpredict.com/api/?rqtype=ffplugin&siteID=8661&dbCode=1&command={searchTerms}
    2016-06-18 20:53 - 2016-06-18 19:23 - 02885743 _____ C:\WINDOWS\system.vbs
    2016-06-18 21:31 - 2015-08-17 12:25 - 00000464 _____ C:\WINDOWS\Tasks\Opera scheduled Autoupdate 1439807112.job
    2016-06-18 17:25 - 2016-04-28 00:26 - 00000000 ____D C:\AdwCleaner
    2016-06-10 16:43 - 2016-06-10 16:43 - 0128512 _____ () C:\Documents and Settings\Janek\Dane aplikacji\Installer.dat
    C:\Windows\Tasks\At1.job
    EmptyTemp:

    W FRST wybierz Napraw.


    Zamiesc screen z CrystalDiskInfo:
    http://portableapps.com/apps/utilities/crystaldiskinfo_portable

    0
  • #10 18 Cze 2016 22:32
    Kolobos
    Spec od komputerów

    Kolejny Fixlist.txt:
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1482476501-1677128483-1417001333-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> Brak ścieżki do pliku
    ShortcutWithArgument: C:\Documents and Settings\Janek\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465569753&a=1003813&src=sh&uuid=9b1e12dc-d667-4297-9b80-33593d7e3cd8"
    ShortcutWithArgument: C:\Documents and Settings\Janek\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465569753&a=1003813&src=sh&uuid=9b1e12dc-d667-4297-9b80-33593d7e3cd8"
    ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465569753&a=1003813&src=sh&uuid=9b1e12dc-d667-4297-9b80-33593d7e3cd8"
    ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> "hxxp://safebrowsing.biz/?ssid=1465569753&a=1003813&src=sh&uuid=9b1e12dc-d667-4297-9b80-33593d7e3cd8"
    ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> "hxxp://safebrowsing.biz/?ssid=1465569753&a=1003813&src=sh&uuid=9b1e12dc-d667-4297-9b80-33593d7e3cd8"
    Hosts:

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #12 20 Cze 2016 08:38
    RADU23
    Moderator - Komputery Serwis

    Parametr (BF) informuje że dysk zaliczył nie jeden upadek/uderzenie.
    Poza tym nie widać niczego niepokojącego w SMART.

    0
  • #13 20 Cze 2016 20:26
    blanthauer
    Poziom 13  

    Zgadza się... laptop kilka razy spadł na ziemię.
    Komputer obecnie troszkę szybciej chodzi, jednak "muli" np. zawsze kiedy naciskam ctrl+alt+tab i chce sie przelaczyc z jednego programu na drugi. Przy wchodzeniu w foldery tez spowalnia, cos jakby 5 sekund brak reakcji i dopiero potem wykonuje polecenie.
    W menedzerze zadan w procesach zauwazylem, ze na samej gorze jest chrome, ponad 15 procesow.... czy to jest normalne?

    Dodano po 7 [minuty]:

    Zauwazylem, ze po wylaczeniu chrome, w menedzerze zadan jest "dziwny" proces wscript.exe, duzo pobiera pamieci i jest 3 razy wlaczony.
    Co to za proces?

    0
  • #15 21 Cze 2016 13:08
    blanthauer
    Poziom 13  

    Witam ponownie
    Komputer przeskanowalem mbamem (3 zagrozenia) potem dr cure it (okolo 13)
    Podczas skanowania frst obecnie wyskakuje blad:
    "Error: Subscript used on non-accessible variable"

    0
  • #16 21 Cze 2016 14:19
    Kolobos
    Spec od komputerów

    Sprobuj w trybie awaryjnym.

    0
  • #17 22 Cze 2016 13:32
    blanthauer
    Poziom 13  

    Witam
    Za chwile wrzuce logi z FRST (wczesniej nie moglem- praca)
    Obecnie znow bardzo mocno zamula- procesow "chrome" jest ponad 20, wscript.exe jest 2.
    Pojawil sie tez inny dziwny proces ati2evxx exe 2razy.

    Dodano po 23 [minuty]:

    W trybie awaryjnym ten sam blad.
    Ale znalazlem inny sposob:
    Weszlem w folder Frst-OlderVersion
    i tutaj juz nie bylo bledu.
    Logi w zalaczniku.

    0
  • #18 22 Cze 2016 13:41
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM\...\Run: [updatesys] => wscript.exe //B "C:\DOCUME~1\Janek\USTAWI~1\Temp\updatesys.vbs" <===== UWAGA
    HKLM\...\Run: [system] => wscript.exe //B "C:\DOCUME~1\Janek\USTAWI~1\Temp\system.vbs" <===== UWAGA
    HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
    HKU\S-1-5-21-1482476501-1677128483-1417001333-1003\...\Run: [updatesys] => wscript.exe //B "C:\DOCUME~1\Janek\USTAWI~1\Temp\updatesys.vbs" <===== UWAGA
    HKU\S-1-5-21-1482476501-1677128483-1417001333-1003\...\Run: [system] => wscript.exe //B "C:\DOCUME~1\Janek\USTAWI~1\Temp\system.vbs" <===== UWAGA
    Startup: C:\Documents and Settings\Janek\Menu Start\Programy\Autostart\system.vbs [2016-06-18] ()
    Startup: C:\Documents and Settings\Janek\Menu Start\Programy\Autostart\updatesys.vbs [2016-06-16] ()
    S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
    S4 IntelIde; Brak ImagePath
    U1 WS2IFSL; Brak ImagePath
    2016-06-20 08:50 - 2016-06-22 08:09 - 00000000 ____D C:\Documents and Settings\Janek\Doctor Web
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #19 22 Cze 2016 15:34
    blanthauer
    Poziom 13  

    Uruchomic sie nie dalo jako administrator (moj system to Windows XP).
    Uruchomilem normalnie.
    Na razie testuje komputer juz tak nie muli wyglada, ze chyba jest ok. Dam znac pozniej.

    0
  • #20 22 Cze 2016 20:03
    Acorus 20
    Spec od komputerów

    Pokaż nowe logi z FRST.

    0