Prośba o sprawdzenie logów
#1
Proszę o sprawdzenie logów.
Antywirus, którego używam to Comodo IS.
Objawy: wydłużony czas uruchamiania i zamykania sytemu. Przy zamykaniu systemu informacja od comodo o hkey_local_machine. Część programów i narzędzi (np. menadżer zadań) automatycznie wyłączają się z komunikatem, że przestały działać. Ogólnie komputer zamulony i spowolniony. Nie można zainstalować części aktualizacji systemu- kod 800705b4.
Udało mi się zrobić screena procesów z menadżera zadań (szczególnie dziwne 2,6,8)

[Aby zobaczyć linki, zarejestruj się tutaj]


Działania: skany programami
Malwarebytes'' Anti-Malware free version
Dr. Web CureIt!
Advanced systemcare
iobit malware fighter
FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITION

[Aby zobaczyć linki, zarejestruj się tutaj]

SHORTCUT

[Aby zobaczyć linki, zarejestruj się tutaj]

Z góry dzięki za pomoc!
Odpowiedz
#2
Pierwsze co to odinstaluj:

COMODO Internet Security Premium (na chwilę obecną)

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [UpdatePRCShortCut] => C:\Program Files\Lenovo\OneKey App\OneKey Recovery\MUITransfer\MUIStartMenu.exe [222504 2009-05-13] (CyberLink Corp.)
HKLM\...\Run: [Lenovo EE Boot Optimizer] => C:\Program Files (x86)\Lenovo\Boot Optimizer\PopWnd.exe [206176 2012-05-05] (Lenovo)
HKLM-x32\...\Run: [UpdateP2GShortCut] => C:\Program Files (x86)\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe [222504 2010-07-26] (CyberLink Corp.)
HKLM-x32\...\Run: [UpdatePRCShortCut] => C:\Program Files\Lenovo\OneKey App\OneKey Recovery\MUITransfer\MUIStartMenu.exe [222504 2009-05-13] (CyberLink Corp.)
HKLM-x32\...\Run: [CAPOSD] => C:\Program Files (x86)\Lenovo\Lenovo CAPOSD\CAPOSD.exe [1876992 2012-02-09] (LENOVO)
HKLM-x32\...\Run: [IObit Malware Fighter] => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe [5768992 2015-03-06] (IObit)
HKU\S-1-5-21-2921379411-2267894729-84706086-1000\...\Run: [Power2GoExpress] => NA
HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\Run: [Advanced SystemCare 8] => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCTray.exe [2429728 2015-04-08] (IObit)
HKU\S-1-5-21-2921379411-2267894729-84706086-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ig/redirectdomain?brand=LENN&bmod=LENN
HKU\S-1-5-21-2921379411-2267894729-84706086-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.lenovo.com
HKU\S-1-5-21-2921379411-2267894729-84706086-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ig/redirectdomain?brand=LENN&bmod=LENN
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-2921379411-2267894729-84706086-1001 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7LENN
SearchScopes: HKU\S-1-5-21-2921379411-2267894729-84706086-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-2921379411-2267894729-84706086-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7LENN
BHO: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner64.dll [2012-05-05] (Google Inc.)
BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} ->  No File
BHO-x32: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner.dll [2012-05-05] (Google Inc.)
BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} ->  No File
Handler: dssrequest - No CLSID Value
Handler: sacore - No CLSID Value
Filter: application/x-mfe-ipt - No CLSID Value
FF Extension: Advanced SystemCare Surfing Protection - C:\Users\JAKUB\AppData\Roaming\Mozilla\Firefox\Profiles\yntmh63s.default\Extensions\[email protected] [2015-04-27]
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor
FF user.js: detected! => C:\Users\JAKUB\AppData\Roaming\Mozilla\Firefox\Profiles\yntmh63s.default\user.js [2015-04-27]
CHR Plugin: (Default Plug-in) - default_plugin No File
S2 0032631430148254mcinstcleanup; C:\Windows\TEMP\003263~1.EXE [883024 2015-04-27] (McAfee, Inc.)
S3 McAWFwk; c:\PROGRA~1\mcafee\msc\mcawfwk.exe [X]
U3 BcmSqlStartupSvc; No ImagePath
U2 CLKMSVC10_3A60B698; No ImagePath
U2 CLKMSVC10_C3B3B687; No ImagePath
U2 CscService; No ImagePath
U2 DriverService; No ImagePath
U2 IAStorDataMgrSvc; No ImagePath
U2 iATAgentService; No ImagePath
U2 idealife Update Service; No ImagePath
U3 IGRS; No ImagePath
U2 IviRegMgr; No ImagePath
U2 Oasis2Service; No ImagePath
U2 PCCarerService; No ImagePath
U2 ReadyComm.DirectRouter; No ImagePath
U2 RichVideo; No ImagePath
U2 RtLedService; No ImagePath
U2 SeaPort; No ImagePath
U2 SoftwareService; No ImagePath
U3 SQLWriter; No ImagePath
C:\Program Files\mcafee
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\008i.com -> 008i.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\008k.com -> 008k.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\00hq.com -> 00hq.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\0190-dialers.com -> 0190-dialers.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\01i.info -> 01i.info
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\05p.com -> 05p.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\0calories.net -> 0calories.net
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\0cj.net -> 0cj.net
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\0scan.com -> 0scan.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\1-domains-registrations.com -> 1-domains-registrations.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\1-se.com -> 1-se.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\1001movie.com -> 1001movie.com
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\1001night.biz -> 1001night.biz
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\100gal.net -> 100gal.net
IE restricted site: HKU\S-1-5-21-2921379411-2267894729-84706086-1001\...\100sexlinks.com -> 100sexlinks.com
Task: {0498FE66-BB44-4123-B79B-3BAA222234EA} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe [2015-04-07] (IObit)
Task: {0EB7734C-5974-4965-A3C1-16D124F7E9AA} - System32\Tasks\ASC8_SkipUac_JAKUB => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe [2015-04-09] (IObit)
Task: {13D293EF-9325-42DB-B9C8-3059E9D44404} - System32\Tasks\McAfee Cleanup => C:\Users\JAKUB\AppData\Local\Temp\MCPR\mccleanup.exe <==== ATTENTION
Task: {185226C6-4EF5-46AC-A695-37F1F315929D} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-03-07] (Adobe Systems Incorporated)
Task: {611B7897-6C45-47D9-A890-B38D8EE36F8F} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe [2015-03-30] (IObit)
Task: {645EC036-5B56-46C2-B0A4-722B7B3CAD49} - System32\Tasks\Driver Booster SkipUAC (JAKUB) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe [2015-04-07] (IObit)
Task: {74AEE050-D5DE-4C94-85B1-871ECC989125} - System32\Tasks\ASC8_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe [2015-04-09] (IObit)
Task: {84E5547C-0F5E-485A-81AA-88FC1FE71B88} - System32\Tasks\SmartDefrag4_Update => C:\Program Files (x86)\IObit\Smart Defrag 4\AutoUpdate.exe [2015-03-03] (IObit)
Task: {A9453A6D-68AD-47AE-A1A4-9CC87194C228} - System32\Tasks\MirageAgent => C:\Program Files (x86)\Lenovo\YouCam\YCMMirage.exe [2011-01-28] (CyberLink)
Task: {E62967C8-7438-4D3A-A06C-FC3E0BF2F586} - System32\Tasks\Uninstaller_SkipUac_JAKUB => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [2015-01-20] (IObit)
Task: {EAE126F3-E3CE-41D0-A6B7-4AC8D89F922D} - System32\Tasks\SmartDefrag4_Startup => C:\Program Files (x86)\IObit\Smart Defrag 4\SmartDefrag.exe [2015-04-27] (IObit)
Task: C:\Windows\Tasks\McAfee Cleanup.job => C:\Users\JAKUB\AppData\Local\Temp\MCPR\mccleanup.exe <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""=""
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Następnie odinstaluj:

Advanced SystemCare 8
Driver Booster 2.3
IObit Malware Fighter 3
IObit Uninstaller
Lenovo CAPOSD
Lenovo EE Boot Optimizer
Lenovo MuteSync
Surfing Protection

Co do IObit to firma posiada nieciekawą historię -  kradzież bazy danych MBAM, związki partnerskie z podejrzanymi reklamami/producentami, instalacje adware w instalatorach.

Program YAC (Yet Another Cleaner) tak samo jest znany z podobnych działań (to tak na przyszłość).



Google Chrome


Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz
#3
FIXLOG:

[Aby zobaczyć linki, zarejestruj się tutaj]


FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITION:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#4
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
Filter: application/x-mfe-ipt - No CLSID Value
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [Not Found]
C:\Users\JAKUB\Doctor Web
C:\Program Files\COMODO
C:\Windows\system32\certsentry.dll
C:\Windows\SysWOW64\certsentry.dll
C:\Windows\system32\certsentry.exe
C:\Users\JAKUB\AppData\Local\Comodo
C:\Program Files (x86)\Comodo
C:\ProgramData\Comodo
C:\Windows\system32\config\SOFTWARE.iobit
C:\Windows\system32\config\COMPONENTS.iobit
C:\Windows\system32\config\DEFAULT.iobit
C:\Windows\system32\config\SAM.iobit
C:\Windows\system32\config\SECURITY.iobit
C:\Users\JAKUB\AppData\Roaming\ProductData
C:\ProgramData\ProductData
C:\Users\JAKUB\AppData\Roaming\Apple Computer
C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
C:\Users\JAKUB\AppData\Roaming\IObit
C:\Program Files (x86)\IObit
C:\ProgramData\IObit
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee
Task: {3E398D75-5605-469B-9DE2-92F2613151D7} - System32\Tasks\COMODO CertSentry Updater => C:\Windows\system32\certsentry.exe [2015-04-25] (COMODO CA Limited)
Task: {D8672357-8956-4475-800A-C157D14C3966} - \Uninstaller_SkipUac_JAKUB No Task File <==== ATTENTION
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Google Chrome


Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz
#5
Wydaje mi się, że to comodo powoduje zamykanie się menadżera zadań (po odinstalowaniu działa normalnie). W dalszym ciągu system ładuje się i zamyka długo. Informacja, która wyskakiwała przy zamykaniu to był "windows task host".

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITION

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
Musiało coś zostać zablokowane w comodo,na pewno w dzienniku zdarzeń było by to widoczne.


Błąd rozumiem już nie występuje ?

Proponuje ściągnąć autoruns

[Aby zobaczyć linki, zarejestruj się tutaj]

i w zakładce Logon odhaczyć  niżej wymienione wpisy:

Kod:
HKLM\...\Run: [SynLenovoGestureMgr] => C:\Program Files\Synaptics\SynTP\SynLenovoGestureMgr.exe [408872 2011-11-10] (Synaptics)
HKLM\...\Run: [OnekeyStudio] => C:\Program Files (x86)\Lenovo\Onekey Theater\OnekeyStudio.exe [789856 2012-05-05] (Lenovo)
HKLM\...\Run: [Energy Management] => C:\Program Files (x86)\Lenovo\Energy Management\Energy Management.exe [8079408 2012-05-05] (Lenovo (Beijing) Limited)
HKLM\...\Run: [EnergyUtility] => C:\Program Files (x86)\Lenovo\Energy Management\Utility.exe [6200368 2012-05-05] (Lenovo(beijing) Limited)
HKLM\...\Run: [NvBackend] => C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe [1793736 2015-04-27] (NVIDIA Corporation)
HKLM-x32\...\Run: [Lenovo EasyCamera_Monitor] => C:\Program Files (x86)\Lenovo EasyCamera\monitor.exe [258936 2012-02-06] ()
HKLM-x32\...\Run: [Dolby Home Theater v4] => C:\Program Files (x86)\Dolby Home Theater v4\pcee4.exe [506712 2011-06-01] (Dolby Laboratories Inc.)
HKLM-x32\...\Run: [Intelligent Touchpad] => C:\Program Files\Lenovo\Intelligent Touchpad\TouchZone.exe [291272 2011-12-08] ()
HKLM-x32\...\Run: [YouCam Mirage] => C:\Program Files (x86)\Lenovo\YouCam\YCMMirage.exe [136488 2011-01-28] (CyberLink)
HKLM-x32\...\Run: [YouCam Tray] => C:\Program Files (x86)\Lenovo\YouCam\YouCam.exe [228448 2011-01-28] (CyberLink Corp.)
HKLM-x32\...\Run: [VeriFaceManager] => C:\Program Files (x86)\Lenovo\VeriFace\PManage.exe [329056 2012-05-05] (Lenovo)
HKU\S-1-5-21-2921379411-2267894729-84706086-1000\...\Run: [Power2GoExpress] => NA


Które są ci szczególnie potrzebne to je zostaw i uruchom komputer ponownie. Czas ładowanie się systemu powinien się skrócić.
Odpowiedz
#7
Na chwilę obecną nie występują, ale właśnie instaluję comodo i zobaczę, jak będzie. Dzięki za pomoc!
Odpowiedz
#8
Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Odpowiedz
#9
po zainstalowaniu comodo występuje problem z menadżerem zadań, w sumie nie mogę uruchomić większości programów automatycznie instalowanych przez system windows (kalkulator, paint, wordpad itp.), dodatkowo nie mogę uruchomić winrara. Chyba trzeba będzie sformatgować go porządnie.
Odpowiedz
#10
Hmm no trochę to dziwne te apki powinny być na zaufanej liście,rozumiem że teraz jak i wcześniej nic w cis nie zmieniałeś ?
Odpowiedz
#11
ustawienia cisa zgodne z:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#12
Wyłącz na chwile obecną hipsa i wstawianie kodu + ok

Czy ta lokalizacja jest ustawiona tak samo ?

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#13
Wyłączenie hips nic nie dało.
Ustawienia tak samo.

Przy zamknięciu systemu wyskakuje informacja:
Oczekiwanie na syntoenh.exe- ten program uniemożliwia zamknięcie systemu windows.

syntoenh.exe błąd aplikacji


syntoenh.exe Instrukcja spod 0xfd`5a018c odwołuje się do pamięci pod adresem 0x000000000. Pamięć nie może być wrutten.
Odpowiedz
#14
Hmm to nie wiem,być może to wina była wcześniejszych form zabezpieczeń i coś zostało namieszane,jakieś pozostałości w rejestrze.

syntoenh.exe to jest Synaptic Touchpad odinstaluj Synaptics Pointing Device Driver i zobacz jaka będzie reakcja.
Odpowiedz
#15
Problemem jest comodo, z którego korzystałem kilka lat. Po wykonaniu przywrócenia systemu z kopii zapasowej wszystko działało ok, aż do momentu zainstalowania cisa. Jakiś pomysł co z tym zrobić?
Odpowiedz
#16
Hmm ciężko powiedzieć co jest tego przyczyną,może być problem jakiejś łatki systemowej też.
Odpowiedz
#17
hmmm... problem występuje w dalszym ciągu, ale nie chodziło dokładnie o CISa, a o samego firewalla. Obojętnie jaką zainstaluję (inną niż zapora windowsa) i jest lipa.
Ktoś ma jakiś pomysł?
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości