Podivné chování pc. Vir nebo náhoda?

Dobrý večer.

Mám dotaz nainstaloval jsem před pár dny na můj Acer Aspire M5910, PT.SDWE2.181 on-line hru Worl Of Tanks. Nemyslím si že by tuto hru PC nezvládal, ale pokaždé když hraju, počítač neskutečně hučí. Mimo to se dneska pc zapínal cca 3 minuty a to velmi hlučně. Včera nenaběhl antivir s tím, že je chyba v komunikaci s jádrem systému. Už se to ale neopakovalo. Nevíte čím to může být a zdali to má souvislost s hrou?

Díky za každou radu.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Fajn a čo ten EVEREST? :D ---- • Nájdi a odinštaluj nasledujúce programy v Odinštalovať programy (a… Unlimited1269 05.03.2013 22:40	Unlimited1269	05.03.2013 22:40
Ten Everest mám udělat? rhenton 06.03.2013 08:18	rhenton	06.03.2013 08:18
Jop urob aj ten. ---- Tie programy Spywarefighter a Spyware Terminator a Spybot sú už preč? :D ----… Unlimited1269 06.03.2013 10:32	Unlimited1269	06.03.2013 10:32
everest ... rhenton 06.03.2013 14:57	rhenton	06.03.2013 14:57
To je ale report z AIDA a ten tam ukázal akurat grafiku. Unlimited1269 06.03.2013 15:04	Unlimited1269	06.03.2013 15:04
Je to aida, což je pokud se nepletu novější everest. Kterou vezi mám použít, aby ukázal to co je pot… rhenton 06.03.2013 16:05	rhenton	06.03.2013 16:05
Fajn tak cez HWMonitor: http://www.stahuj.centrum.cz/utility_a_ostatni/sys temove_nastroje/monitorin… Unlimited1269 06.03.2013 16:32	Unlimited1269	06.03.2013 16:32
tu to jest.. Jaká je diagnoza? Zdá se, že se nějak zrychlil :-) rhenton 06.03.2013 18:23	rhenton	06.03.2013 18:23
toto je co? O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~2\INSTAL~1\{F5601~1\setup.exe -reb… lední brtník 07.03.2013 21:29	lední brtník	07.03.2013 21:29
Táta je teď v práci, ale volal, že odpoledne byl u pc, a po dalších krocích a návodech zde, se dosta… rhentonmobile 08.03.2013 15:01	rhentonmobile	08.03.2013 15:01
Myslíš po tom CFScripte? A z akého administrátorského? Myslíš, že len z tých u ktorých je typ správc… Unlimited1269 08.03.2013 15:05	Unlimited1269	08.03.2013 15:05
Tak jsem se vrátil, vidím že syn zatím psal přes mobil :-) . Ano, po CFScripte po restartu problikáv… rhenton 08.03.2013 20:07	rhenton	08.03.2013 20:07
Vidím, že ComboFix vytvoril bod obnovenia, skús to obnoviť do stavu pred ComboFixom a napíš, či to p… Unlimited1269 09.03.2013 22:01	Unlimited1269	09.03.2013 22:01
Obnovu jsem zkoušel hned, ale nešlo to. Potřeboval jsem pracovat, takže jsem musel už.účet, ve které… nový rhenton 10.03.2013 11:39	rhenton	10.03.2013 11:39
Daj nový log z RSIT a DDS + OTL (Run Scan) keď si vytváral nový účet. nový Unlimited1269 12.03.2013 14:22	Unlimited1269	12.03.2013 14:22
Potřeboval jsem pracovat, takže jsem musel už.účet, ve kterém se to stalo smazat vůbec jsi ho nemu… poslední lední brtník 12.03.2013 17:36	lední brtník	12.03.2013 17:36
Rhenton Nikdy a opakuji NIKDY nepouzivej Combofix, kdyz nevis, co to umi a NIKDY a znovu opakuji NI… nový noksuka 10.03.2013 12:36	noksuka	10.03.2013 12:36
Což o to, že dokáže totálně zlikvidovat systém, to vím. Problém je, že ať budu postupovat pod radou… nový rhenton 10.03.2013 13:15	rhenton	10.03.2013 13:15

Fajn a čo ten EVEREST? :D
----

• Nájdi a odinštaluj nasledujúce programy v Odinštalovať programy (ak nejaký nenájdeš preskoč ho):
Google Toolbar
Ask Toolbar
• Programy sú toolbary (lišty v prehliadačoch) - sú to veľké zdržovadlá.
• Tiež doporučujem odinštalovať SPYWAREfigher a Spyware Terminator - je to zbytočnosť keď tam máš ESET. A tiež Spybot - program je už zastaralý a nie je schopný čeliť aktuálnym hrozbám.
----

• Stiahni AdwCleaner:
http://general-changelog-team.fr/fr/downloads/fini sh/20-outils-de-xplode/2-adwcleaner
• Ulož na plochu,
• Ukonči všetky programy,
• Spusti a klikni na Delete,
• Po skončení činnosti programu a príp. reštartu PC vyskočí log, jeho obsah sem skopíruj.
Ak by log nevyskočil, nájdeš ho na C:\AdwCleaner[S?].txt.
----

• Až to všetko urobíš, daj sem NOVÝ log z RSIT a DDS.

Ten Everest mám udělat?

adwcleaner-s1.txt 7.88 KiB log.txt 62.06 KiB dds.txt 28.83 KiB

Jop urob aj ten.
----

Tie programy Spywarefighter a Spyware Terminator a Spybot sú už preč? :D
----

• Stiahni a ulož na plochu ComboFix (skr. CF):
http://download.bleepingcomputer.com/sUBs/ComboFix .exe
• Vypni všetky rezidentné bezpečnostne programy - firewally, antiviry, antispywary apod.
• Spusti ako správca,
• Po štarte sa zobrazia licenčné podmienky, klikni na Áno.
• Ak CF ponúkne inštaláciu konzoly pre zotavenie daj áno.
• Postupuj podľa pokynou, počas skenu nechaj PC v klude - nespúštaj žiadne aplikácie, a pod.
• Sken by mal trvať cca 10 minút.
• Po dokončení skenu a príp. reštartom CF vyskočí log, jeho obsah sem skopíruj.
V prípade, že by nevyskočil, nájdeš ho v C:\Combofix.txt.

everest ...

report.txt 1.08 MiB

To je ale report z AIDA a ten tam ukázal akurat grafiku.

Je to aida, což je pokud se nepletu novější everest. Kterou vezi mám použít, aby ukázal to co je potřeba?
EVEREST Ultimate Edition v5.50 se sekne a konec

Fajn tak cez HWMonitor: http://www.stahuj.centrum.cz/utility_a_ostatni/sys temove_nastroje/monitoring/hwmonitor/
A speedfan: speedfan (z neho daj screen)
----

Daj nový RSIT a DDS log.

tu to jest..
Jaká je diagnoza?
Zdá se, že se nějak zrychlil

hwmonitor.txt 10.31 KiB sppedfan.jpg 53.87 KiB log.txt 61.01 KiB dds.txt 25.65 KiB

toto je co?

O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~2\INSTAL~1\{F5601~1\setup.exe -rebootC:\PROGRA~2\INSTAL~1\{F5601~1\reboot.ini  -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup1] C:\PROGRA~2\INSTAL~1\{FCCDA~1\setup.exe -rebootC:\PROGRA~2\INSTAL~1\{FCCDA~1\reboot.ini  -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup2] C:\PROGRA~2\INSTAL~1\{0A9DA~1\SETUP.EXE -rebootC:\PROGRA~2\INSTAL~1\{0A9DA~1\reboot.ini  -l0x9

.
když si půjčuješ u adobe, proč si nastavuješ jejich dns parazita?

"C:\Program Files (x86)\Bonjour\mDNSResponder.exe"
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Program Files (x86)\Bonjour\mDNSResponder.exe

cos tomu firefoxu udělal?
prefs.js - "extensions.enabledItems" - "fastdial@telega.phpnet.us

AutoKMS.exe:

Thats funny. You asked Microsoft if its safe to remove an app you used to crack microsoft office 2010.

EgisTec IPS:
je na netu řešeno hlavně mezi zaspywarovanými jedinci - tak snad víš co a proč jsi instaloval.

autorun:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

špatně. jediné správné nastavení je ff=255

mobil používáš nokia, lg, nebo oba?

za ten "ESET Smart Security" se někdo obtěžoval platit?

Táta je teď v práci, ale volal, že odpoledne byl u pc, a po dalších krocích a návodech zde, se dostane do pc pouze z administrátorského účtu. Nemůžeme se přihlásit přes normální účet. Kde mohl SS nastat chyba?

Myslíš po tom CFScripte? A z akého administrátorského? Myslíš, že len z tých u ktorých je typ správca?

Tak jsem se vrátil, vidím že syn zatím psal přes mobil .
Ano, po CFScripte po restartu problikávalo okno Combofixu, zhruba tak 4x/sec. Nekonečně dlouho, tak jsem to natvrdo vypnul a po dalším zapnutí se dostanu do win jen v účtu admina. Běžně používaný účet (ve kterém jsem Combofix spouštěl) se sekne na uvítací obrazovce. Něco jsem zblbnul, nevím co. Nicméně Combofix dokončil log v účtu admina, tak ho připojuji. Další krok jsem zatím nedělal .... Nejradši bych zformátoval céčko a přeinstalowal systém.

combofix.txt 18.20 KiB

Vidím, že ComboFix vytvoril bod obnovenia, skús to obnoviť do stavu pred ComboFixom a napíš, či to pôjde.

Ak to pôjde, sprav nasledujúce kroky:

Použi tento CFScript (postup taký istý)

DDS::
SSODL: WebCheck - <orphaned>
x64-Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - <orphaned>
x64-SSODL: WebCheck - <orphaned>

Firefox::
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=937811&p=

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

Reboot::

----

• Spusť OTL ako správca,
• Do spodného okienka Vlastné skenovanie/opravy (Custom Scans/Fixes) skopíruj:

:otl
IE - HKU\S-1-5-21-118582844-522593287-3683846926-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0405&m=aspire_m5910&r=17360911c106pe415v155w5721u069
IE - HKU\S-1-5-21-118582844-522593287-3683846926-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0405&m=aspire_m5910&r=17360911c106pe415v155w5721u069
IE - HKU\S-1-5-21-118582844-522593287-3683846926-1001\..\SearchScopes\{C38D3079-8523-4D8B-829B-CF33FCE7E4D8}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_EU&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^CZ&apn_uid=E4B6DFC3-CB3C-4FEB-98FE-AAF786CBD1FD&apn_sauid=4BD697D3-9055-473A-BA93-40E4F95F036F
FF - prefs.js..browser.startup.homepage: "www.seznam.cz"
FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=937811&p="
FF - user.js - File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_171.dll File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
CHR - default_search_provider: facemoods (Enabled)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:[b]64bit:[/b] - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4:[b]64bit:[/b] - HKLM..\Run: [AutoKMS] C:\Windows\AutoKMS.exe File not found
O4:[b]64bit:[/b] - HKLM..\Run: [SpywareTerminatorShield] C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorShield.exe File not found
O4:[b]64bit:[/b] - HKLM..\Run: [SpywareTerminatorUpdater] C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe File not found
O4:[b]64bit:[/b] - HKLM..\Run: [Windows Mobile Device Center] C:\Windows\WindowsMobile\wmdc.exe (Microsoft Corporation)
O4 - HKLM..\Run: [AdobeCS6ServiceManager] C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [CanonSolutionMenuEx] C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE (CANON INC.)
O4 - HKLM..\Run: [Module Loader] C:\Program Files (x86)\Creative\Shared Files\Module Loader\DLLML.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)
O4 - HKU\S-1-5-21-118582844-522593287-3683846926-1001..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-118582844-522593287-3683846926-1001..\Run: [LaunchList] C:\Program Files (x86)\Pinnacle\Studio 11\LaunchList2.exe File not found
O4 - HKU\S-1-5-21-118582844-522593287-3683846926-1001..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found
O4 - HKLM..\RunOnce: [InstallShieldSetup] C:\Program Files (x86)\InstallShield Installation Information\{F5601CC2-9388-44C2-9937-501066F29D21}\setup.exe (InstallShield Software Corporation)
O4 - HKLM..\RunOnce: [InstallShieldSetup1] C:\Program Files (x86)\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe (InstallShield Software Corporation)
O4 - HKLM..\RunOnce: [InstallShieldSetup2] C:\Program Files (x86)\InstallShield Installation Information\{0A9DA353-D0CD-4922-A54B-2F5F4EC90986}\setup.exe (InstallShield Software Corporation)
O4 - Startup: C:\Users\Petr_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.0.lnk =  File not found


:files
C:\Windows\tasks\Adobe Flash Player Updater.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
c:\users\Petr_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.0.lnk
c:\programdata\Spybot - Search & Destroy
c:\program files (x86)\Spybot - Search & Destroy
c:\programdata\Spywareterminator
c:\program files (x86)\Spywareterminator
c:\programdata\Spywarefighter
c:\program files (x86)\Spywarefighter

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Mobile Device Center"=-
"AdobeAAMUpdater-1.0"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"LaunchList"=-
"AdobeBridge"=-
[HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run]
"SwitchBoard"=-
"AdobeCS6ServiceManager"=-
"ioTablet"=-
"SunJavaUpdateSched"=-
""=-
[HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\RunOnce]
"InstallShieldSetup"=-
"InstallShieldSetup1"=-
"InstallShieldSetup2"=-

:commands
[CREATERESTOREPOINT]
[PURITY]
[EMPTYTEMP]
[EMPTYFLASH]
[EMPTYJAVA]
[RESETHOSTS]
[REBOOT]

• Klikni na Opraviť (Run Fix),
• OTL vykoná príkazy zo scriptu, reštartuje PC a vyskočí log, jeho obsah sem skopíruj.
----

• Daj nový log z RSIT & DDS + vytvor znovu log z OTL.

Obnovu jsem zkoušel hned, ale nešlo to. Potřeboval jsem pracovat, takže jsem musel už.účet, ve kterém se to stalo smazat a založit jiný, protože se PC sekalo. Teď vše šlape dobře, ale zmíněný účet už neexistuje. Soubory, ke kterým jsem se dostal, jsem zachoval. Udělal jsem zřejmě chybu v tom, že jsem sice před spuštěním CF zastavil veškerou ochranu, ale ESET nezavřel. Omlouvám se, pokud to komplikuju . Dělám na PC veškeré firemní věci, ALE současně slouží jako domácí a mají na něj všichni přístup (bez práv administrátora, samozřejmě). Moc děkuju za pomoc, obdivuju co dokážete. Můj dotaz je, jestli je v PC nějaká závadná havěť, která se musí odstranit. Pokud ano, mám postupovat podlě poslední rady? Vzhledem ke změnám, které jsem udělal, předpokládám, že ne, takže počkám na další doporučení.

Daj nový log z RSIT a DDS + OTL (Run Scan) keď si vytváral nový účet.

Potřeboval jsem pracovat, takže jsem musel už.účet, ve kterém se to stalo smazat

vůbec jsi ho nemusel mazat - prostě jen vytvořit nový účet a dělat jen v tom novém.
odkazy na potenciální viry "HKLM" startují pro všechny uživatele. všechny ty sporné položky měly být odstraněny - a úplně zakázán autorun.
ty máš autorun povolený, smazal jsi s profilem sice zaspywarované nastavení prohlížeče, ale nový uživatel zase spouští sekci "pro všechny". čili znovu kontrolovat log.

Jsem uživatel, do systémových věcí nelezu.

to není odpověď. když si to umíš zavirovat jako správce, tak to buď pokaždé zformátuješ a nainstaluješ znovu, nebo to musíš sám vyléčit.

Dělám na PC veškeré firemní věci

denně / aspoň týdně automaticky zálohovat, zálohovat, zálohovat.

ALE současně slouží jako domácí (bez práv administrátora, samozřejmě)

ty máš správcovský účet a tedy sis ho zaviroval sám.
řešení: když nemáš za zády administrátora který viry vyřeší za tebe, používat na veškerou běžnou práci jen omezený účet.
správcovský účet jen na instalaci a nastavení, bez surfování po síti (skype, icq, mail, internet)

Rhenton

Nikdy a opakuji NIKDY nepouzivej Combofix, kdyz nevis, co to umi a NIKDY a znovu opakuji NIKDY, nepouzivej Combofix, kdyz ti to radi nekdo, kdo ho sam neumi pouzit. Pokud chces tyto veci pouzivat, bez na forum, kde tomu rozumi vic nebo si najdi nekoho, kdo ma zkusenosti s pouzivanim techto programu. Dokaze to zcela znefunkcnit windows a staci k tomu opravdu malo.

Pokud mas stale podezreni na viry, navstiv napriklad forum viry.cz nebo jine ceske, namatkou pc-help.cz. Musis hledat lidi, kteri tomu rozumi a ne hledat na forech, kde to neumi nebo si mysli, ze to umi. V tvem pripade doporucuju spis viry.cz

Což o to, že dokáže totálně zlikvidovat systém, to vím. Problém je, že ať budu postupovat pod radou kohokoliv, vždy to bude jen mechanický postup, protože sám samozřejmě netuším, co dělám. A to je velice malý krůček k tomu udělat chybu.... Bohužel.
Nemyslím si, že mám comp zavirovaný. Mám placený ESET, ten to snad dokáže uhlídat. Snad . Proč jsem založil toto vlákno - viz první příspěvek ....

Zpět do poradny Odpovědět na původní otázku Nahoru