Witam.
Mam juz ten system dosc dlugo, zainstalowany SP3. W pewnym momencie, jakis rok temu zaczela dziac sie dziwna rzecz: odpalam komputer, wybieram konto uzytkownika, ekran Zapraszamy po chwili znika, pojawia sie tapeta. I na tym koniec. Dopiero po minucie wyskakuje pasek zadań i wszystkie ikony. Sprawdzilem, od samego poczatku explorer.exe jest na chodzie w systemie. Odpalilem CCleanera, nic. Dokonalem naprawy plikow systemowych z plyty Windowsa, dzieje sie to samo. Co moze byc przyczyna? Usunalem wszelkie zbedne procesy uruchamiane przy starcie systemu, brak najmniejszych zmian. 2 giga ramu, Core2Duo 1,86 GHz. Zaczelo sie to dziac praktycznie z dnia na dzien, z tego co pamietam, i nic szczegolnego nie instalowalem.
Warto sprawdzić czy nie masz żadnych infekcji w systemie.
Na własną rękę zrobisz to tym programem:
Prosty, skuteczny skaner dostępowy.
http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
Ale żeby być pewnym, że twój komputer jest czysty polecam logi:
Dajesz je tutaj:
http://www.fixitpc.pl/forum/38-dzial-pomocy-doraznej/
Robisz według tych zasad:
http://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/
Nie używaj programu Combofix.
Jeśli zdecydujesz się na logi to dołącz do nich raport z Malwarebytes.
U mnie takie cos to normalka. Po zalogowaniu sie na konto system dostaje freeza na 2,3, max 5 min i pozniej sie uruchamia do konca. Pomaga zabicie/uruchomienie procesu explorer.exe. Odpowiedzialna jest za to zbyt duza ilosc programow lub ikon na pulpicie, menu start odnoszaca sie do nie istniejacych lokalizacji. System stoi od 3 lat, skanowany i aktualizowany na biezaco.
Hm, a NOD32 nie robi czasem tego samego co ten Malwarebytes-AntiMalware? Jesli tak, to caly czas NOD chodzi u mnie w systemie.
Sciagnij i uzyj programu o nazwie BootVis, zobaczysz czym konkretnie zajmuje sie komp w trakcie tej minuty.
Wymiennie do Bootvisa można użyć Bootlog XP:
http://www.greatis.com/utilities/bootlogxp/
http://www.fixitpc.pl/forum-10/announcement-4-zakladanie-tematu-pomocne-raporty-i-informacje/ - punkt 4.
a NOD32 nie robi czasem tego samego co ten Malwarebytes-AntiMalware? Jesli tak, to caly czas NOD chodzi u mnie w systemie
Mbam to skaner dostępowy klikasz i Ci się skanuje kiedy chcesz. Nie wiem jaki jest U ciebie stan NOD'a(może być stary i nieaktualny, albo po prostu może coś przeoczyć) więc polecam to co na pewno będzie aktualne i ma bardzo dobrą wykrywalność ponadto nie koliduje z antywirusem.
No tak, odpalilem tego Malwarebytes, dalem szybkie skanowanie, na liscie nie zauwazylem niczego podejrzanego. Usunalem wiec co trzeba, reset kompa i zadna przegladarka internetowa nie dziala. Nie moze zaladowac zadnej strony. Po odpaleniu chrome'a sa trzy procesy, WTF. Zaraz zobacze czy po przywroceniu usunietych elementow bedzie dzialac.
W czasie wspomnianej minuty nie slysze w ogole zadnego dzwieku wydawanego przez dysk twardy, po prostu cisza, czasami cos sobie pochrzęszczy, ale doslownie na ulamek sekundy, raz w ciagu minuty.
Zadna przegladarka nie dziala, nawet po przywroceniu wszystkiego w programie. Genialny program. Sprobuje chociaz przywrocic system.
Tak to wyglada. Najpierw svchost sie laduje, potem dopiero explorer.exe moze wyswietlic pasek zadan i reszte pulpitu, zgadza sie? Jesli to jest poprawne dzialanie, to sie nie dziwie. Mam 9 procesow svchost w tym momencie. Dlaczego zajmuje to az tak dlugo? Raz na dziesiec przypadkow zdarzy sie, ze nie musze czekac minuty z sama tapeta na ekranie i od razu laduje sie wszystko co trzeba. Dziwne.
Tyle procesow to nawet u mnie nie ma. U Ciebie smialo mozna wyrzucic przynajmniej 10 programow z autostartu.
No tak, odpalilem tego Malwarebytes, dalem szybkie skanowanie, na liscie nie zauwazylem niczego podejrzanego. Usunalem wiec co trzeba, reset kompa i zadna przegladarka internetowa nie dziala. Nie moze zaladowac zadnej strony. Po odpaleniu chrome'a sa trzy procesy, WTF. Zaraz zobacze czy po przywroceniu usunietych elementow bedzie dzialac.
Tzn sam sobie zanalizowałeś wyniki skanowania? Co to znaczy nic podejrzanego? Bo dla mnie to informacje żeby jeszcze się upewnić czy coś nie siedzi w systemie.
Usunalem wszelkie zbedne procesy uruchamiane przy starcie systemu, brak najmniejszych zmian.
żartowałeś sobie? Ja tam widzę kilka zbędników + narzędzie do sprawdzania oryginalności systemu(które też może powodować problemy ze startem).
Mam 9 procesow svchost w tym momencie.
Jeśli są one w odpowiedniej lokalizacji(Windows\System32\svchost.exe) to nic złego.
Wiele infekcji podszywa się pod procesy systemowe, będąc w innej lokalizacji bądź zawiera literówkę z nazwie na pierwszy rzut oka nie zauważalną(np różne modyfikacje lsass.exe). Dlatego z poziomu tego raportu nie można nic wywnioskować, najlepiej w twoim przypadku będzie zrobić logi - nie bój się i nie wykręcaj się od tego. To jest najskuteczniejsza metoda i w dodatku dostaniesz instrukcje co i jak dalej zrobić aby infekcja nie wpadła na przyszłość.
Dajesz je tutaj:
http://www.fixitpc.pl/forum/38-dzial-pomocy-doraznej/
Robisz według tych zasad:
http://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/
Nie używaj programu Combofix.
Czyli lokalizacje procesow ustale tworząc log, tak? I ktory proces sprawdza oryginalnosc systemu?
edit: Skonfigurowalem program jak trzeba, utworzylem logi. I nie widze w nich nic o svchost.exe
Tak wlasnie skonfigurowalem program jak zostalo napisane na forum. Jestem pewien.
Siedze na SP3 i IE8.
Czyli lokalizacje procesow ustale tworząc log, tak?
Tak będzie to widoczne czy lokalizacja jest dobra czy nie to ustali osoba sprawdzająca Ci ten log na tamtym forum.
I ktory proces sprawdza oryginalnosc systemu?
wgatray.exe - jeśli w odpowiedniej lokalizacji.
nieaktualnie
Konfiguruj OTL tak jest na tamtym forum.
To zasługa filtrowania jakie ustawiane w sekcji procesy podczas konfigurowania OTL - czyli prawidłowo :)
Możesz zająć się gmerem.
[color=#E56717]========== Shell Spawning ==========[/color]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDSee Pro 3.Manage] -- "C:\Program Files\ACD Systems\ACDSee Pro\3.0\ACDSeeQVPro3.exe" "%1" (ACD Systems International Inc.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
moze cos z tym? :>
moze cos z tym? :>
Ale co?
Nie rozumiem po co wstawiasz fragmenty raportu, zamiast wstawić całość na fixitpc.pl i oczekiwać na swoją kolej.
Jeśli chodzi o moją wiedzę na temat tej części to mogę Ci powiedzieć, że dotyczy ona powłoki i (może)jest w niej parę błędów - jestem właśnie na ogarnianiu tej części loga.
Tu jest oficjalna instrukcja do OTL.
http://www.geekstogo.com/forum/topic/277391-otl-tutorial-how-to-use-oldtimer-listit/
Aby ją obejrzeć trzeba się zarejestrować. - Ponadto chwilowo tamto forum nie działa :P
