22find + spowolnienie pracy komputera + Kaspersky (wlaczenie kopii zapasowej bez wiedzy uzytkownika)


(Tomek_KR) #1

Witam serdecznie

 

Komputer, który niedawno sprawowal sie normalnie, od tygodnia zachowuje sie odbiegajaco od normy.

Poniewaz nie jestem glownym uzytkownikiem komputera nie jestem w stanie stwierdzic czy uzytkownik czegos sam nie wlaczyl i nieswiadomie uruchomil.

 

Problem zaczal sie od tego, ze program Kaspersky zaczal zabierac miejsce na dysku C, poniewaz uruchomilo sie zadanie sporzadzenia kopii zapasowej - bylo to dzialanie, ktorego uzytkownik nie uruchomial (przynajmniej nic o tym nie wie).

 

Druga sprawa dotyczy opery. Po uruchomieniu przegladarki na jednej z zakladek pojawia sie adres 22find, ktory jak wyczytalem w sieci jest wirusem. Tresc na stronie zakladki sugeruje, ze Kaspersky tego wirusa zablokowal, ale czy skutecznie to nei wiem.

 

Sprawdzano komputer Spybotem, CCleanerem i skanem Kasperskiego. Nic powaznego nie wykryto.

 

Zwracam sie z prosba o weryfikacje logow OTL i sugestie co mozna jeszcze sprawdzic.

 

OTL: http://wklejto.pl/205231

Extras: http://www.wklejto.pl/205232

 

Proszę o wskazówki

 

Pozdrawiam

Tomek

 


(Acorus) #2

Odinstaluj Spybot - Search & Destroy,Exact Audio Copy Packages.Pobierz i uruchom AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.


(Tomek_KR) #3

FRST http://wklej.org/id/1401874/

addition http://wklej.org/id/1401877/


(Acorus) #4

Otwórz Notatnik i wklej:

HKLM\...\Run: [] = [X]
ShellIconOverlayIdentifiers: SkyDrive1 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} = No File
ShellIconOverlayIdentifiers: SkyDrive2 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} = No File
ShellIconOverlayIdentifiers: SkyDrive3 - {BBACC218-34EA-4666-9D7A-C78F2274A524} = No File
SearchScopes: HKLM - DefaultScope value is missing.
2014-06-25 20:42 - 2014-06-25 20:46 - 00000000 ____ D () C:\AdwCleaner
2014-06-25 20:35 - 2014-04-01 17:52 - 00000000 ____ D () C:\Program Files\Spybot - Search Destroy 2
2014-06-25 20:31 - 2014-04-01 17:52 - 00000761 _____ () C:\Windows\wininit.ini
2014-06-25 20:31 - 2014-04-01 17:52 - 00000000 ____ D () C:\ProgramData\Spybot - Search Destroy

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Tomek_KR) #5

Dziękuję za odpowiedź i pomoc! 

 

Wykonałem ostatnią operację. Czy mam umieścic jeszcze jakiś raport?

Czy Spybot powodował wcześniejsze problemy?

Czy powinienem jeszcze przeskanować komputer innym programem?

 

Pozdrawiam

Tomek_KR


(Acorus) #6

Skasuj folder C:\FRST

Użyj http://www.bleepingcomputer.com/download/tfc/ (uruchom TFC i kliknij Start).

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.2.1012.exe

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Język PL > Settings > General Settings > Language > Polish


(Tomek_KR) #7

Usunąłem ten folder i uruchomiłem TFC. MAM nie wykazał żadnych problemów.


(Acorus) #8

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Tomek_KR) #9

FRST http://wklej.org/id/1419281/

Addition http://wklej.org/id/1419284/


(Acorus) #10

Odinstaluj Exact Audio Copy Packages.Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.2.1012.exe

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Język PL > Settings > General Settings > Language > Polish


(Tomek_KR) #11

Zrobilem jak poleciles. Natomiast nie wiem dlaczego nadal dysk C jest zapełniony.

Po zainstalowaniu programu WinDirStat dotarłem do informacji, że odpowiedzialny za zapełnianie dysku jest antivirus Kaspersy.

Utworzył on kilkadziesiąt plików o zbliżonej nazwiej: PURE.13.0.2.558f_06.30_13.32_1720.SRV.log.enc1

Myślę, że może być to wynik właczenia jakiejś opcji kopii zapsowej, ale nie możn tego nigdzie wyłączyć.

Czy mógłbyś mi w tym zakresie pomóc? Ostatnim razem usunalem te pliki, ale problem widzę powraca.