Prośba o sprawdzenie logów.

[Kliko]

Problem jest następujący:
Robię skanowanie komputera średnio raz na 1-2 tygodnie, używam do tegu celu programów:
G data antywirus 2013,
Malwarebytes Anti-Malware
Spybot
Wszystkie z najnowszymi bazami sygnatur.
Kiedyś miałem około 2-4 procesy svchost, teraz mam ich około 15-17.
W moim routerze mam opcję podglądu wszystkich połączen wykonywanych przez komputer. Kiedyś miałem ich około kilkanaście-100, teraz często po 350-500, mimo że w tym czasie mam otwartych zaledwie kilka kart.
Często podczas skanowania znajduje jakieś kilka trojanów (zazwyczaj dzięki spybotowi lub antimalware), gdyż siostra nie widzi nic złego w ściąganiu chińskich programów niewiadomo skąd.

Dzisiaj wziąłem i zamknąłem najbardziej zasobożerny proces svchost, powłoka explorera na kilka minut się wyłączyła (a właściwie tylko powłoka aero), a ilośc połączeń zmalała do kilkunastu.


Dlatego chciałbym, aby ktoś sprawdził moje logi z programu OTL, będę wdzięczny
OTL.txt -

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt -

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Odinstaluj:

WebReg
360 Security Center
Pando Media Booster
Spybot - Search & Destroy przestarzały skaner
Adobe Reader XI (11.0.03) możesz go zastąpić jak chcesz innym alternatywnym oprogramowaniem takim jak foxit reader
Glary Utilities
QuickStores-Toolbar
SnadBoy''s Revelation
Search Assistant MocaFlix
WinPatrol jeśli nie używasz
Recover Keys jeśli nie używasz

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.mocaflix.com/?l=1&q={searchTerms}
IE - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://searchab.com/?aff=7&uid=b864584e-79ea-11e2-8de5-485b39942c0c&q={searchTerms}
IE - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.mocaflix.com/?l=1&q={searchTerms}
IE - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.komputronik.pl/office
IE - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.komputronik.pl/runpage [binary data]
IE - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.komputronik.pl/runpage [binary data]
IE - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128
FF - prefs.js..browser.search.defaultengine: "Privitize VPN"
FF - prefs.js..browser.search.defaultenginename: "Privitize VPN"
FF - prefs.js..browser.search.defaultenginename,S: S", "WebSearch"
FF - prefs.js..browser.search.defaulturl: "http://websearch.mocaflix.com/?l=1&q="
FF - prefs.js..browser.search.order.1: "Privitize VPN"
FF - prefs.js..browser.search.order.1,S: S", "WebSearch"
FF - prefs.js..keyword.URL: "http://searchab.com/?aff=7&uid=b864584e-79ea-11e2-8de5-485b39942c0c&q="
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.132.0: C:\Program Files (x86)\Battlelog Web Plugins\1.132.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin: C:\Program Files (x86)\FunWebProducts\Installr\3.bin\NPFunWeb.dll File not found
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll File not found
FF - HKLM\Software\MozillaPlugins\@softnyxNpruntime: C:\Game\SoftnyxGame\NyxLauncherIS\npSoftnyx.dll File not found
O4 - Startup: C:\Users\Zbyszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk =File not found
O4 - Startup: C:\Users\Zbyszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk =File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O8:[b]64bit:[/b] - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000 File not found
O15 - HKU\.DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-19\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-1178660650-2204404405-1835937906-1009\..Trusted Domains: sony.com ([]* in Trusted sites)
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} http://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework//microsoft/wrc32.ocx (WRC Class)
[2013-05-31 19:53:54 | 000,000,000 | ---D | M] -- C:\Users\Dorota\AppData\Roaming\360Safe
[2013-06-01 10:15:13 | 000,000,000 | ---D | M] -- C:\Users\Michał2\AppData\Roaming\360safe
[2012-09-09 19:05:16 | 000,000,000 | ---D | M] -- C:\Users\Michał2\AppData\Roaming\Ad-Aware Antivirus
[2013-03-21 18:53:46 | 000,000,000 | ---D | M] -- C:\Users\Michał2\AppData\Roaming\Bitcoin
[2013-06-01 09:32:45 | 000,000,000 | ---D | M] -- C:\Users\Zbyszek\AppData\Roaming\360safe
[2013-01-13 14:42:14 | 000,000,000 | ---D | M] -- C:\Users\Zbyszek\AppData\Roaming\VDownloader
[2013-05-24 21:47:35 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files (x86)\mozilla firefox\extensions\[email protected]
File not found (No name found) -- C:\USERS\MICHAĹ‚2\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\R3WPFJ3Q.DEFAULT\EXTENSIONS\{E968FC70-8F95-4AB9-9E79-304DE2A71EE1}.XPI
@Alternate Data Stream - 96 bytes -> C:\ProgramData\TEMP:C8B8CEBD
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
@Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:661DFA1C
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:888AFB86
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:DFC5A2B2

:Files
C:\Users\Michał2\AppData\Roaming\mozilla\firefox\profiles\r3wpfj3q.default\searchplugins\BrowserProtect.xml
C:\Users\Michał2\AppData\Roaming\mozilla\firefox\profiles\r3wpfj3q.default\searchplugins\Searchab.xml

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[EMPTYTEMP]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z Adwcleaner .

[Kliko]

Zrobiłem dokładnie to, o co prosiłeś, oprócz usunięcia Spy Bota (zamiast tego uaktualniłem go), ponieważ czasem wykrywał mi syfy, których gdata, ani anti malware nie wykrywały.
Poza tym po wykonaniu opcji usuńw AdwCleaner , Windowsowe Centrum Akcji powiadomiło mnie, iż Usługa Centrum Zabezpieczeńjest wyłączona.
Przy próbie jej ponownego włączenia pokazuje się błąd o następującej treści:
"Nie można uruchomić usługi Centrum Zabezpieczeń systemu Windows". Poza tym nie mam tej usługi w services.msc
Znalazłem

[Aby zobaczyć linki, zarejestruj się tutaj]

wątek, mam zrobić to, co jest w nim opisane?
Logi:
OTL.txt -

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt -

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner -

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Hmm możesz wykonać tak jak jest na tamtej stronie,napisz czy się udało.

[Kliko]

Problem rozwiązany, ilość procesów svchost nadal wynosi kilkanaście, lecz ilość aktywnych połączeń wacha się od kilku do kilkudziesięciu, tak więc jest dobrze

[tachion]

To nie wszystko !

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
DRV:[b]64bit:[/b] - [2012-05-30 04:07:56 | 000,057,984 | ---- | M] (360.cn) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\360netmon.sys -- (360netmon)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
[2013-05-31 19:34:33 | 000,000,000 | ---D | C](C:\ProgramData\Microsoft\Windows\Start Menu\Programs\360????) -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\360????

:Files
C:\Windows\SysWow64\360SoftMgr.cpl
C:\Windows\SysNative\drivers\360netmon.sys

:Commands
[EMPTYTEMP]

Zresetuj plik hosts za pomocą tego programu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL

[Kliko]

OTL.txt -

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt -

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Ok tak więc przejdź do sprzątania w otl,w adwcleaner kliknij odinstaluj.
Poprzeglądaj jeszcze dokładnie programy w dodaj usuń programy,te z których nie korzystasz odinstaluj.

[Kliko]

Włączam komputer, ok. 250 procesów. Potem 300. Spadło po kilku-nastu minutach do 170 i niżej już nie chce zejść (na drugim kompie ilość procesów standardowe kilkanaście-kilkadziesiąt max).
Proszę o ponownie sprawdzenie logów.
OTL.txt -

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt -

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Odinstaluj na chwile obecną:

WinPatrol
GData 2014

Czy to jest używane i potrzebne ??

PC Connectivity Solution
UserBar Generator 1.2
Nexon Game Manager
Desura
ESN Sonar-0.70.4
Tunatic

Robiłeś coś w programie Sunrise Seven??

Ściągnij program autoruns

[Aby zobaczyć linki, zarejestruj się tutaj]

i w karcie servicesusuń

PortReporter

Odznacz również

SkypeUpdate

Pluginy w chrome

W pasku adresu wpisz chrome//extensions/

Zobacz czy jest tam plugin Pando Web ,jeśli tak usuń

Są też jakieś błędy odnośnie dysku:

Error - 2013-06-06 15:26:28 | Computer Name = Michał-Komputer | Source = Disk | ID = 262151
Description = W urządzeniu \Device\Harddisk2\DR2 wystąpił zły blok.

Ściągnij program CrystalDiskInfoi zrób zrzut ekranu ze S.M.A.R.T.

[Aby zobaczyć linki, zarejestruj się tutaj]

Ściągnij też oprogramowanie TDSSKiller

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Start Scan ,po zakończonym skanowaniu klikamy na raport który znajduje się w górnej części okna głównego,kopiujemy zawartość i podajemy na forum.

[Kliko]

Odinstaluj na chwile obecną:

WinPatrol
GData 2014

Win Patrol patruje mi kompa, jak jakiś program chce się dodać do autostartu bez mojej wiedzy, to pyta mnie, czy mu na to pozwolić. Bardzo przydatny programik, nie usunę.
G Data to mój antywir z licencją do końca 2014, też nie usunę.

Czy to jest używane i potrzebne ??

PC Connectivity Solution
UserBar Generator 1.2
Nexon Game Manager
Desura
ESN Sonar-0.70.4
Tunatic

PC Connectivity Solution - usunięte
Nexon Game Manager - Potrzebne do gry
Desura - Platforma do gier podoba do steama
ESN Sonar - plugin do komunikacji głosowej w Bf3
Tunatic - program do rozpoznawania piosenek

Robiłeś coś w programie Sunrise Seven??

Zmieniłem dzięki niemu wygląd przycisku start, dodałem opcję "otwórz w notatniku" w menu kontekstowym oraz wyłączyłem wkurwiające powiadomienia UAC dla administratora.

Ściągnij program autoruns

[Aby zobaczyć linki, zarejestruj się tutaj]

i w karcie servicesusuń

PortReporter

Odznacz również

SkypeUpdate

Autorun nie wykrył takiej usługi jak PostReporter, przejrzałem services.msc, owa usługa jest wyłączona. SkypeUpdate odznaczone.

Pluginy w chrome
W pasku adresu wpisz chrome//extensions/

Zobacz czy jest tam plugin Pando Web ,jeśli tak usuń

Nie ma.

Są też jakieś błędy odnośnie dysku:

Error - 2013-06-06 15:26:28 | Computer Name = Michał-Komputer | Source = Disk | ID = 262151
Description = W urządzeniu \Device\Harddisk2\DR2 wystąpił zły blok.

Ściągnij program CrystalDiskInfoi zrób zrzut ekranu ze S.M.A.R.T.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Ściągnij też oprogramowanie TDSSKiller

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Start Scan ,po zakończonym skanowaniu klikamy na raport który znajduje się w górnej części okna głównego,kopiujemy zawartość i podajemy na forum.

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Ze skanu TDSSKillera jak i info. CrystalDisk nic więcej nie wynika.

Wyłącz w autorun na chwilę obecną GDate i WinPatrol,uruchom ponownie komputer i zobacz ile jest procesów i które w spoczynku najbardziej obciążają procesor.

[Kliko]

Ze skanu TDSSKillera jak i info. CrystalDisk nic więcej nie wynika.

Wyłącz w autorun na chwilę obecną GDate i WinPatrol,uruchom ponownie komputer i zobacz ile jest procesów i które w spoczynku najbardziej obciążają procesor.

Przed wykluczeniem ich z autostartu popatrzyłem, ile mam aktywnych połączeń - około 25, dziwne.
Ponowne uruchomienie (już bez Gdaty i WP) - 46.
O.o
Wszystkie procesy zjadają 0% procesora (w przybliżeniu ofc, dokładnie nie sprawdzę), oprócz procesu bezczynności 99%, czyli procesor prawie nie obiążony (Procesor CPU 1-2% przy włączonej przeglądarce).
Pod koniec pisania tego posta ilość aktywnych połączeń spadła do 4 i utrzymywała się na poziomie 4-kilkanaście.
Gdata monitoruje ruch sieciowy i skanuje pliki oraz raz dziennie łączy się, aby sprawdzić, czy nie ma aktualizacji sygnatur wirusów, ale bez przesady.
Włączę G Datę, Win patrola jeszcze nie, i zobacze ile będzie.
EDIT:
Po włączeniu G Daty ilość aktywnych połączeń wyniosła około 45-50, po jakichś 2 minutach spadła do 3 i utrzymywała się na poziomie 3-kilkanaście.
Włączam Win Patrola i patrze, co dalej.
EDIT2:
Po włączeniu Win Patrola na starcie miałem 59 aktywnych połączeń, po kilku minutach ich ilość wachała się od 7 do ok. 25.
Przy okazji wyłączyłem z autostartu Kiesa i Chrome (LOL?)
Nie wiem, co je generuje.
Po otwarciu 3 kart ilość połączeń - ok. 60.
Spróbuję wyłączyć niepotrzebne usługi, szkoda że G Data nie informuje mnie, gdy jakiś program chce się podpiąć do autostartu.

Po wyłączeniu kilku-nastu niepotrzebnych usług, ilość połączeńokoło 20.
Chyba tak zostawię i zobaczymy, jak będzie.