Powolny komp i przeglądarka, problem z explorer.exe

[maskit22]

Witam, od kilku tygodni mam problemz działaniem szybkim przegladarki, próbowałem juz dziesiątek narzędzi ale jestem zbytnim laikiem by jakieś logi poprawnie samodzielnie przejrzeć. Już uzyłem combofixa, cccleanera (tam jakieś ukryte prosesy poblokowałem) przeskanowałem kilkoma programami kompa, Malwarbytes Anty-malware wykrywa jakieś niebezpieczne połaczenia przychodzące i wychodzące które blokuje, ... więc jakie logi były potrzebe do zdefiniowania gdzie leży problem?

Tu dzisiejszy log z combofixa

 

http://wklej.org/id/823486/

 

tu z OTL:

 

http://wklej.org/id/823497/

[picasso]

Na temat używania ComboFix: KLIK. Uruchomiłeś go zupełnie niepotrzebnie, tylko wymęczyłeś Windows. Zestaw logów niepełny: brakuje pliku OTL Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania") oraz obowiązkowego GMER.

 

 

  Cytat

problem z explorer.exe

 

Jeśli rzecz o problemach z Windows Explorer, to pierwszy podejrzany to kodeki. Jest tu zainstalowany dziwaczny "Mega Codec Pack". Ponadto, widzę jakąś podejrzaną integrację z powłoką i dziwny moduł w procesach:

 

========== Modules (No Company Name) ==========
 
MOD - [2012-08-14 00:12:46 | 001,557,504 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\Windows Codecs\Data\hdAA_module.dat
 
[2012-08-14 00:05:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Windows Codecs
[2012-08-14 00:05:14 | 000,000,000 | ---D | C] -- C:\Program Files\Mega Codec Pack
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Windows Codecs]
@="{1EC23CFF-4C58-458f-924C-8519AEF61B32}"
[HKEY_CLASSES_ROOT\CLSID\{1EC23CFF-4C58-458f-924C-8519AEF61B32}]
2012-08-13 22:05	172032	----a-w-	c:\documents and settings\All Users\Dane aplikacji\Windows Codecs\MediaShellOverlays.dll

 

Folder "Windows Codecs" jest podejrzany, a jeszcze bardziej podejrzane dane pokazuje sandbox ThreatExpert: KLIK / KLIK (pakiet robi coś z usługami Windows i zatrzymuje te związane z zabezpieczeniami).

 

 

---

Czyli usuwanie: owych kodeków, szczątków adware i wpisów pustych.

 

1. Odinstaluj Mega Codec Pack.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Windows Codecs]
[-HKEY_CLASSES_ROOT\CLSID\{1EC23CFF-4C58-458f-924C-8519AEF61B32}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\Windows Codecs
C:\Documents and Settings\Administrator\Dane aplikacji\etc.dat
C:\Documents and Settings\Administrator\Dane aplikacji\DirectX.dat
C:\Documents and Settings\Administrator\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\uik.dat
C:\Program Files\is.dat
 
:OTL
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found
O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.)
DRV - [2010-09-22 21:19:02 | 000,032,768 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\taphss.sys -- (taphss)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\ithsgt.sys -- (ithsgt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\DU Meter\DUM_XP32.SYS -- (DUMeterDrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (przypominam o Extras) oraz zaległy GMER. Dołącz log z usuwania OTL z punktu 2 oraz log z usuwania AdwCleaner.

 

 

.

[maskit22]

1. Odinstalowane.

2. Przy wykonaj skrypt zawiesił sie laptop, zrestartowałem i ponownie wykonałem skrypt - system się nie zrestartował ale log został wygenerowany

 

Error: Unable to interpret <========== Modules (No Company Name) ==========> in the current context!

Error: Unable to interpret <MOD - [2012-08-14 00:12:46 | 001,557,504 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\Windows Codecs\Data\hdAA_module.dat> in the current context!

Error: Unable to interpret <[2012-08-14 00:05:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Windows Codecs> in the current context!

Error: Unable to interpret <[2012-08-14 00:05:14 | 000,000,000 | ---D | C] -- C:\Program Files\Mega Codec Pack> in the current context!

Error: Unable to interpret <[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Windows Codecs]> in the current context!

Error: Unable to interpret <@="{1EC23CFF-4C58-458f-924C-8519AEF61B32}"> in the current context!

Error: Unable to interpret <[HKEY_CLASSES_ROOT\CLSID\{1EC23CFF-4C58-458f-924C-8519AEF61B32}]> in the current context!

Error: Unable to interpret <2012-08-13 22:05 172032 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Windows Codecs\MediaShellOverlays.dll> in the current context!

 

OTL by OldTimer - Version 3.2.59.1 log created on 09032012_204835

 

3. Log z AdwCleaner http://wklej.org/id/823702/

[picasso]

  Cytat

2. Przy wykonaj skrypt zawiesił sie laptop, zrestartowałem i ponownie wykonałem skrypt - system się nie zrestartował ale log został wygenerowany

 

Ten log ma jakieś głupoty i same błędy "Error: Unable to interpret". Wkleiłeś nie to co należy = skryptem jest tylko to co w punkcie 2., a nie to co cytowałam na białym polu. Tu nawet skryptu nie było wklejonego, powtarzaj zadanie: start w Trybie awaryjnym Windows i wklej skrypt do OTL z punktu 2, restart systemu i daj pełny komplet logów, bo zabrakło poniższego.

 

  picasso napisał(a):

4. Wygeneruj nowy log OTL z opcji Skanuj (przypominam o Extras) oraz zaległy GMER.

 

 

.

[maskit22]

extras http://wklej.org/id/823788/

otl.txt http://wklej.org/id/823789/

 

gmer 3-krotnie restarował kompa

 

skypt nie wykonuje zadnej akcji ani restartu, wklejał i otl się zawiesza... spróbuje jeszcze log z gmera wygenerować

 

za nastym razem wykonał skrypt tu zapis loga po restarcie http://wklej.org/id/823804/

 

Przeglądarka ruszyła z kopyta ;]

[picasso]

Ten log z usuwania OTL nie wygląda na cały. A zawartość jest ogromna, widzę że w tym podejrzanym folderze "Windows Codecs" mnóstwo folderów jakoby pobranych z torrent ... Zrób nowy log OTL z opcji Skanuj, by było jasne czy skrypt rzeczywiście wszystko przetworzył.

 

 

  Cytat

gmer 3-krotnie restarował kompa

 

Spróbuj w Trybie awaryjnym Windows.

 

 

.

 

 

[maskit22]

http://wklej.org/id/823824/ otl.txt

 

http://wklej.org/id/823825/ extras.txt

 

do wieczora postaram się z gmera wygenerować log

[picasso]

O ile skrypt wygląda na wykonany:

 

1. W załadowanych modułach nadal jest Mega Codec Pack:

 

========== Modules (No Company Name) ==========
 
MOD - [2012-03-11 18:07:38 | 000,159,744 | ---- | M] () -- C:\Program Files\Mega Codec Pack\Filters\Haali\mmfinfo.dll
MOD - [2012-03-11 18:07:38 | 000,023,552 | ---- | M] () -- C:\Program Files\Mega Codec Pack\Filters\Haali\mkunicode.dll
 
[2012-08-14 00:05:14 | 000,000,000 | ---D | C] -- C:\Program Files\Mega Codec Pack

 

Miałeś to definitywnie w całości odinstalować.

 

2. Druga sprawa, weryfikacja katalogu uTorrent. Link z ThreatExpert wykazuje, że ten pak kodeków i uTorrent jakby wspólnie chodzą, a zawartość katalogu uTorrent podejrzana (plik svchost.exe). W folderze paka u Ciebie były jakieś magiczne pobierania. Uruchom SystemLook i w oknie wklej:

 

:dir
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\uTorrent /s
C:\Program Files\uTorrent /s
 
:folderfind
uTorrent

 

Klik w Look. Przedstaw wynikowy raport.

 

.

[maskit22]

raport wynikowy http://wklej.org/id/823848/

 

Tego mega codec pack nie potrafie odinstalować, Nie widze tego w panel sterowania -> dodaj usun programy

 

windows media format 11 runtime - chyba że to jest to. Jestem noga.

[picasso]

  Cytat

Tego mega codec pack nie potrafie odinstalować, Nie widze tego w panel sterowania -> dodaj usun programy

 

Sprawdź w Menu Start.

[maskit22]

  W dniu 4.09.2012 o 08:57, picasso napisał(a):

Sprawdź w Menu Start.

 

Nie ma.

[picasso]

Sprawdź czy w katalogu C:\Program Files\Mega Codec Pack nie ma jakiegoś pliku deinstalacyjnego. Jeśli nie:

 

1. Wejdź w Tryb awaryjny i przez SHIFT+DEL skasuj cały folder C:\Program Files\Mega Codec Pack.

 

2. Zrób log z Codec Tweak Tool.

 

 

.

[maskit22]

1. Odmowa dostepu z powodu C:\Program Files\Mega Codec Pack\Filters\Haali\mkunicode.dll

2. http://wklej.org/id/824161/ log

 

.... po chwili przemyśleń wszedłem w gmer/ moduły odnalazłem plik, dałem zabij i wykasowałem mkunicode.dll a pózniej bez problemu cały folderC:\Program Files\Mega Codec Pack.

 

ponowny log http://wklej.org/id/824172/

 

zauważyłem że część wpisów z pamięci przeglądarki znikło ale to raczej nie problem.

 

Jakieś działania jeszcze należało by podjąć?

[picasso]

Nawet w Trybie awaryjnym?

 

1. Start > Uruchom > cmd i wpisz komendę:

 

regsvr32 /u "C:\Program Files\Mega Codec Pack\Filters\Haali\mkunicode.dll"

 

Zresetuj system i ponów próbę usunięcia C:\Program Files\Mega Codec Pack.

 

2. W Codec Tweak Tool zastosuj funkcję Fixes z zaznaczonymi podopcjami "Detect and remove broken ... filters / codecs".

 

3. Zresetuj system. Przedstaw log z Codec Tweak Tool.

 

 

 

.

[maskit22]

Po usunieciu folderu C:\Program Files\Mega Codec Pack zamieszczam log http://wklej.org/id/824582/ z Codec Tweak Tool po komendzie fixes

[picasso]

Czy na pewno to log po Fixes? W logu niezmiennie:

 

#####  DirectShow Filters (32-bit)  #####
 
Description:  MPC - MPEG-2 Video Decoder (Gabest)
File name:    c:\program files\mega codec pack\filters\mpeg2decfilter.ax
CLSID:        {39F498AF-1A09-4275-B193-673B0BA3D478}
Merit:        00500001
Status:       broken
Reason:       File not found

 

 

.

[maskit22]

Reason: File not found

 

Napisane coś było że naprawiono i wykasowało to z rejestru bodaj, komp się zrestartował i taki log pokazało

[picasso]

Tak teraz patrzę ... podałeś mi dwa razy dokładnie ten sam log, w nagłówku obu plików:

 

Codec Tweak Tool | Log file | Generated at 2012-09-04 21:26:39

 

 

 

.

 

[maskit22]

Celowo

W poście #13 napisałem że usunałem ten plik i zamieściłem ponowny log.

Z poście #14 napisałaś żebym wykasował Mega Codec Pack, nie chciało mi sie tłumaczyć że przecież napisałem o wykasowaniu tego pliku w poście #13.

Więc w poście #15 znalazłaś ten sam no teraz to zagmatwałem

[picasso]

Mi chodzi w logu o potwierdzenie funkcji Fixes, bo że plików brakuje na dysku to pewne i to powoduje, że w rejestrze są wadliwe rejestracje kodeka.

[maskit22]

  W dniu 6.09.2012 o 13:36, picasso napisał(a):

Mi chodzi w logu o potwierdzenie funkcji Fixes, bo że plików brakuje na dysku to pewne i to powoduje, że w rejestrze są wadliwe rejestracje kodeka.

 

http://wklej.org/id/825034/

[picasso]

Potwierdzenie jest, szczątki rejestracji kodeków usunięte. To na czym teraz stoimy po wszystkich działaniach, czy jest poprawa w operatywności Windows? Działania końcowe:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

Internet Explorer (Version = 6.0.2900.5512)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish ----> jest już w zainstalowanych nowsza 10.1.4, stara do deinstalacji
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1

 

 

 

.

[maskit22]

1.Zrobione.

2. TFC - Temp File Cleaner by OldTimer to narzedzie się zawiesza (próbowałem ponad 10 razy)

3. Zrobione prócz pakietu SP1

 

 

Czy jest poprawa operatywności? Nie wywala już błędu explorer.exe, normalnie wczytują się karty przeglądarki co mnie bardzo cieszy.

Mankamentem pozostaje długie ładowanie się systemu (mimo że w autostarcie jest tylko Malwarbytes Anty-Malwire i uTorrent oraz przeglądanie folderów często zawiesza system. Zastanawiam się czy może to przeładowanie uTorrent 500 pozycjami tak nie działa na wszystko inne...

 

 

Edit. Po odchudzeniu XP z Twojego tutoriala udało sie odpalić Temp File Cleaner http://wklej.org/id/826105/

[picasso]

  Cytat

2. TFC - Temp File Cleaner by OldTimer to narzedzie się zawiesza (próbowałem ponad 10 razy)

 

Tempy już tu czyściliśmy wcześniej skryptami OTL, choć poprawić w odstępie czasu nie zawadzi. Ja dałam instrukcje czyszczenia folderów Przywracania systemu. Czy to wykonałeś?

 

 

  Cytat

Mankamentem pozostaje długie ładowanie się systemu (mimo że w autostarcie jest tylko Malwarbytes Anty-Malwire i uTorrent oraz przeglądanie folderów często zawiesza system. Zastanawiam się czy może to przeładowanie uTorrent 500 pozycjami tak nie działa na wszystko inne...

 

To prawdopodobne, że uTorrent z tyloma pozycjami robi "spięcie". Sprawdź po prostu czy ten program w starcie robi różnicę. Możesz go odptaszkować w msconfig + restart systemu, dla testu.

 

 

.

[maskit22]

Tak, foldery wyczyszczone.

Nawet bez uTorrenta i antywirusa start systemu to 5-10 minut. Długo czarny ekran i ekran "Zapraszamy". Przedtem tak strasznie długo to nie trwało.