Znaczne spowolnienie komputera


(Kaja Sobczyk) #1

Witam! Mam ogromną prośbę o sprawdzenie mojego loga z HijackThis. Powód, dla którego prosze o sprawdzenie loga, to spowolniona praca komputera, częste zawieszanie się oraz wirusy typu Win32, wykryte przez Avast, których nie umiem usunąć. Zupełnie sie na tym nie znam i nie chcę niczgo robić na własną rękę, żeby jeszcze bardziej nie namieszać. Poniżej wklejam, to, co wygnerował Hijack This:

http://www.wklej.org/id/765325/


(adam9870) #2

Gdzie dokładnie Avast! wykrył zagrożenie? Czy możesz zrobić zrzut ekranu http://www.elektroda.pl/rtvforum/topic1294532.html i wrzucić na http://fotosik.pl/ albo http://imgup.pl/ i pokazać na forum?

HijackThis jest stary. Wykonaj log w OTL:

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741

Albo OTLPE gdy nawet system nie działa:

http://www.fixitpc.pl/topic/4414-diagno ... h-windows/


(Kaja Sobczyk) #3

Dziękuję za szybka odpowiedź!

Tutaj jest print screen, o którego Pan prosił:

http://www.fotosik.pl/pokaz_obrazek/5cb ... e29fd.html

Co do wykonania loga w OTL: Avast po kilka sekundach zamyka mi program i nie mogę wykonać skanowania.

Teraz próbuję OTLPE


(system) #4

Witam :slight_smile:

tego otl zrób przy wyłączonym avaście i powinno się dać

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741

i zaczekaj na kogoś kto się zna na odczycie tych logów i je Tobie sprawdzi :slight_smile:


(Kaja Sobczyk) #5

Dziękuję za podpowiedź. Wklejam linki do wyników:

Extras:

http://www.wklej.org/id/765375/

OTL:

http://www.wklej.org/id/765377/


(Atis) #6

W panelu sterowania odinstaluj Babylon toolbar on IE i My Web Search.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwssvc.exe -- (MyWebSearchService)

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=en_gb&c=81&bd=Pavilion&pf=laptop

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=en_gb&c=81&bd=Pavilion&pf=laptop

IE - HKLM\..\SearchScopes\{214868F8-8BBF-4AA1-A325-1EBCBC5A84A5}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKLM\..\SearchScopes\{2D3D1C6F-5D2D-4E5B-A19C-7EA4126F897F}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZCxdm490YYPL&fl=0&ptb=En3j54lMVE7A2e2qogmoTQ&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}&gcht=to

IE - HKLM\..\SearchScopes\{68FBEB86-D802-49A6-BD00-46E816A380F7}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKLM\..\SearchScopes\{8F1BBD7C-D3E7-4850-85CA-AD1BAF4B9082}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKLM\..\SearchScopes\{9C28813F-F7A9-4E9F-9FC8-882BD5F5C9E6}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKLM\..\SearchScopes\{AFEC86A0-81C8-45EB-BAE9-1440109D1B75}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1184&query={searchTerms}&invocationType=tb50hpcnnbie7-en-gb

IE - HKLM\..\SearchScopes\{D9348007-F810-469E-9766-5F41DFC2D584}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5401EF18-C159-44B6-A4F9-E8529702FC65}

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1329772630_918038

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1329772630_918038

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - SOFTWARE\Classes\CLSID\{00A6FAF6-072E-44cf-8957-5838F569A31D}\InprocServer32 File not found

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100481&babsrc=SP_ss&mntrId=ba907137000000000000001d7264f450

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{105E99FF-8B9A-4492-B155-06194B9056D2}: "URL" = http://www.bing.com/search?FORM=IEFM1&q={searchTerms}&src={referrer:source?}

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{214868F8-8BBF-4AA1-A325-1EBCBC5A84A5}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{2D3D1C6F-5D2D-4E5B-A19C-7EA4126F897F}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZCxdm490YYPL&fl=0&ptb=En3j54lMVE7A2e2qogmoTQ&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}&gcht=to

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{68FBEB86-D802-49A6-BD00-46E816A380F7}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ADFA_en

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{8F1BBD7C-D3E7-4850-85CA-AD1BAF4B9082}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{9C28813F-F7A9-4E9F-9FC8-882BD5F5C9E6}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{AFEC86A0-81C8-45EB-BAE9-1440109D1B75}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1184&query={searchTerms}&invocationType=tb50hpcnnbie7-en-gb

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{D9348007-F810-469E-9766-5F41DFC2D584}: "URL" = http://uk.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913936

IE - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5401EF18-C159-44B6-A4F9-E8529702FC65}

FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"

FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"

FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot"

FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0

FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100481&babsrc=adbartrp&mntrId=ba907137000000000000001d7264f450&q="

[2010-09-17 19:59:28 | 000,000,000 | ---D | M] (Zynga Toolbar) -- C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\e9rz6f4e.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}

[2011-10-10 23:40:49 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\e9rz6f4e.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}

[2011-10-10 23:40:59 | 000,003,915 | ---- | M] () -- C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\e9rz6f4e.default\searchplugins\SweetIM Search.xml

[2011-10-10 23:40:30 | 000,003,915 | ---- | M] () -- C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\e9rz6f4e.default\searchplugins\sweetim.xml

[2011-12-18 22:51:40 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (MyWebSearch.com)

O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)

O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.

O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found

O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (MyWebSearch.com)

O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)

O3 - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [hpqSRMon] File not found

O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe File not found

O4 - HKLM..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\M3PLUGIN.DLL,UPF File not found

O4 - HKU\S-1-5-21-4054367011-3991653260-1884120527-1000..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe File not found

O4 - Startup: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk = File not found

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCxdm490YYPL File not found


:Reg

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"=-

"Start Page"="about:blank"

[HKEY_USERS\S-1-5-21-4054367011-3991653260-1884120527-1000\SOFTWARE\Microsoft\Internet Explorer\Main]

"Start Page"="about:blank"

"Default_Page_URL"=-


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Delete


(Kaja Sobczyk) #7

Postąpiłam wedle wskazówek. Tak więc przesyłam linki:

Raport z AdwCleaner

http://www.wklej.org/id/765468/

Nowy log:

http://www.wklej.org/id/765485/

Chciałabym się teraz zapytać a propos tych wirusów. Ponieważ j przeskanowałam i dalej jest to samo. Nic się nie zmieniło. Czy mogę te pliki (print screen w moim drugim poście) wydobyć z kwarantanny Avast! ? Czy to, że one dalej są w kwarantannie oznacza, że one nadal są? Jak się tego pozbyć? Mam się martwić, czy wszystko jest ok? Naprawdę nie znam się na tym. Prosze o odpowiedź i dziękuję za wcześniejsze wskazówki. :slight_smile:


(Atis) #8

A w jakim celu chcesz przywrócić pliki z kwarantanny?

Na obrazku widać, że wykrył głównie jakieś pliki folderze tymczasowym w Temp.

Poza tym w kwarantannie pliki są odizolowane, więc nie są już groźne.

Po prostu opróżnij kwarantannę w opcjach Avasta.

Usuwanie plików z Kwarantanny

Wklej do OTL i kliknij Wykonaj skrypt:

Później uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/wind ... tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte ... 13117.html


(krzych5610) #9

Po pierwsze, tego co jest w kwarantannie nie uwalniaj.

Po drugie, przygotuj na niezainfekowanym komputerze płytę CD (ISO) ze skanerem http://www.dobreprogramy.pl/Kaspersky-R ... 12771.html

Wykonaj pełne skanowanie wszystkich partycji swojego komputera. Postępuj zgodnie z zaleceniami skanera


(Atis) #10

1988ona

Nie używaj żadnej płyty, bo nie ma takiej konieczności.


(Kaja Sobczyk) #11

Atis, dziękuję.

Pisałam, że ni bardzo znam się na komputerach, stąd moje pytania. Po co usuwac z kwarantanny? Heeheh, bo jak ktoś sie nie zna i widzi, że czegoś nie ma, to też tak myśli...:slight_smile:

Podczas skanowania Malwarebytes Anti-Malware, na dysku C wykryto 2 zagrożenia, skanowanie jeszcze się nie zakończyło, ale podejrzewam, że zagrożeń będzie więcej... co teraz?


(Atis) #12

Po zakończeniu skanowania kliknij Usuń zaznaczone.

Jeżeli Avast nadal będzie coś wykrywał to pokaż raport.


(Kaja Sobczyk) #13

Jeszcze raz, dziękuję bardzo za cierpliwość i czytelne wskazówki! !!

Mogę domniemywać, że teraz mam już czysty komputer?

Jeszcze jedno pytanie a propos tej kwarantanny..:)...czy te wirusy, które tam są, będą tam już na stałe? Czy moze kiedyś jakoś znikną?

Pozdrawiam! :slight_smile:


(Atis) #14

Dlaczego nie czytasz moich odpowiedzi?

Przecież napisałem żeby całkowicie usunąć pliki które są w kwarantannie.

Podałem link do opisu:

Zastosuj się do opisu i całkowicie usuń pliki z kwarantanny.

Skoro skanery nic nie wykrywają, to raczej nie masz żadnej infekcji.


(Kaja Sobczyk) #15

Dziękuję, uszło to mojej uwadze. Pliki usunięte, mam nadzieję, że teraz już wszystko będzie dobrze.

Pomoc była nieoceniona :slight_smile: