Opóźniony start WinXP

[SpeedyJack]

Problem:

- musze czekac 3-4 minuty od czasu zalogowania do pełnego postawienia systemu w stan gotowosci

- po pojawnieu sie pełnego pulpitu(ikonki,tapeta itd) wyskakuje wiersz poleceń: (...)explorer.exe i po chwili sie zamyka

- przy korzystaniu firefoxa co jakis czas komputer sie zawiesza i nie reaguje(wymagany restart)

- zadne błędy nie wsykakuja, nie wiem co jest grane

System:

- Windows XP PRO SPEED 2 Professional SP3 x86

Podjete kroki:

-dysk podefragmentowany

-przeskanownie Malwarebytes Anti-Malware

-rejestry poczyszczone (CCleaner,CleanGP)

-przeskanowany HDD Regenerator

Efekt: brak(tylko szybciej net smiga)

Extras.Txt

OTL.Txt

checkup.txt

[picasso]

System mocno zaniedbany wbrew zabiegom. Masz zainstalowanego keyloggera (to od niego pewnie to okno cmd), ślady rootkita ZeroAccess, śmietnisko adware, ślady podpinania zainfekowanych USB. Zanim przejdę do dzieła poproszę o uzupełnienie obowiązkowego raportu pod kątem infekcji rootkit: GMER.

 

 

 

.

[SpeedyJack]

Leci

Nowy Dokument tekstowy.txt

[picasso]

1. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB11182$

 

Klik w Unlock.

 

2. Wykonaj reset katalogu sieciowego Winsock uszkodzonego przez ZeroAccess: KLIK. Z artykułu wykonaj: reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import stosownego pliku REG. Zatwierdź reset komputera.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ad194ce3-d2d0-4132-98da-147292c9d9bc&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ad194ce3-d2d0-4132-98da-147292c9d9bc&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ad194ce3-d2d0-4132-98da-147292c9d9bc&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1QzutDtDtCyCtCyB0DtA0Azz0B0EtCyB0FtCtN0D0Tzu0CtByCtBtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1222599014"
IE - HKLM\..\SearchScopes\{192DE2C0-81A8-09BF-D05C-46F1AC452B81}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ad194ce3-d2d0-4132-98da-147292c9d9bc&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=78ccb732-45df-11e1-91be-001617d3a8be&q={searchTerms}"
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1QzutDtDtCyCtCyB0DtA0Azz0B0EtCyB0FtCtN0D0Tzu0CtByCtBtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1222599014"
IE - HKCU\..\SearchScopes\{192DE2C0-81A8-09BF-D05C-46F1AC452B81}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ad194ce3-d2d0-4132-98da-147292c9d9bc&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2704262"
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18:  File not found
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18:  File not found
O2 - BHO: (no name) - {222f31fb-a14e-4af2-bb14-997f28294370} - No CLSID value found.
O2 - BHO: (no name) - {5c27c43c-4017-6643-cb4d-11ab599ac91c} - No CLSID value found.
O2 - BHO: (Funmoods Helper Object) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - Reg Error: Value error. File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O4 - HKCU..\Run: [HKCU] C:\Documents and Settings\PV\Dane aplikacji\install\explorer.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\PV\Dane aplikacji\install\explorer.exe (Microsoft Corporation)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\PV\Dane aplikacji\install\explorer.exe (Microsoft Corporation)
O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) -  File not found
DRV - File not found [File_System | System | Stopped] -- C:\Program Files\System\CPL Bonus\Vcdrom.sys -- (vcdrom)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys -- (cpuz135)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndisMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndis)
 
:Files
netsh firewall reset /C
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB11182$ /C
C:\WINDOWS\System32\9a28fa99-d458-421c-d935-c11db8e4acd4.exe
C:\Documents and Settings\PV\Dane aplikacji\install
C:\Documents and Settings\PV\Dane aplikacji\PVlog.dat
C:\Documents and Settings\PV\s-1-5-21-2025429265-1425521274-1177238915-1004.rrr
C:\Documents and Settings\All Users\Dane aplikacji\7dec53798fdcb78c5b6a3b277c19900d_c
C:\Documents and Settings\PV\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx
C:\Documents and Settings\PV\Ustawienia lokalne\Dane aplikacji\funmoods.crx
C:\Documents and Settings\PV\Dane aplikacji\OpenCandy
C:\Documents and Settings\PV\*.lnk
C:\Documents and Settings\All Users\Dane aplikacji\ADDICT-THING
C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Documents and Settings\All Users\Dane aplikacji\Soluto
C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
C:\Program Files\Mozilla Firefox\extensions\{52eb3039-fb1a-0581-9120-006bf5ac994c}
C:\Program Files\Mozilla Firefox\extensions\{5ddeb737-082c-48fb-8c06-aa4b38d61e5f}
C:\Program Files\Mozilla Firefox\extensions\{6AA54174-C9E8-4B07-95A0-0FBC19CBE64C}
C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl
C:\Program Files\Mozilla Firefox\extensions\mp3tubetoolbar@mp3tubetoolbar.com
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\Mp3Tube.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8F45A7FB-2178-41A8-8ECC-1A11589A2DF9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B6FD7A3F-4C98-4B6B-A157-AD21FA57B4EE}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Backup.Old.Start Page"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Przez Panel sterowania odinstaluj adware Contextual Tracker Dymanet, D-Vine Browser Enhancer, IspAssistant-Mp3Tube, Sonino.biz Browser Enhancer, Street-Ads Browser Enhancer, YTD Video Downloader 3.9.3, Update Manager for SweetPacks 1.0, vShare plugin 1.3, Yontoo 1.10.02. Pozbądź się też wątpliwego Uniblue DriverScanner.

 

5. Wyczyść Firefox ze śmieci i adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

6. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

7. Uruchom Junkware Removal Tool. Na Pulpicie powstanie log.

 

8. Zrób nowy log OTL, ale na dostosowanych warunkach, bo wpisy widzialne w OTL to nie wszystkie składniki keyloggera. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

hklm\Software\Microsoft\Active Setup\Installed Components|explorer.exe /RS

 

Klik w Skanuj (a nie Wykonaj skrypt!). Dołącz też logi utworzone przez AdwCleaner i JRT.

 

 

 

.

[SpeedyJack]

Wszystko robie tak jak napisałes z tym ze podczas 'wykonywania skryptu' , OLT sie scina i nie odpowiada, niby cos robi, dałem mu 2 godziny i nic... jakies pomysły?

[picasso]

"Napisałeś" = jestem kobietą. Co do skryptu OTL: wejdź w Tryb awaryjny Windows i ponów zadanie.

[SpeedyJack]

Porobione jak napisałaś, ale niestety nic sie w starcie windowsa nie zmieniło.. dalej długo sie ładują ustawienia uzytkownika a potem tylko widac tapete bez ikonek(3-4 minuty). Dodatkowo wchodzac w Pomoc nie wykrywa pliku helpctr.exe. Logi w załączniku

 

Zauwazyłem ze podczas pojawiania sie ikonek na pulpicie, dysk 'ożywa' tzn dioda zaczyna migac i słychac jak pracuje.

OTL2.Txt

JRT.txt

AdwCleanerS1.txt

[picasso]

Raporty prezentują lepszy stan systemu, ale wymagane poprawki, m.in. na rozlinkowany przeze mnie element ZeroAccess (już bezpieczny do usuwania).

 

1. Nie wygląda na to, że wykonałeś to:

 

5. Wyczyść Firefox ze śmieci i adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Brak oznak wykonania resetu. Do przeprowadzenia.

 

2. Wyłącz rezydenta MBAM (będzie blokował wykonanie skryptu). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\$NtUninstallKB11182$
C:\WINDOWS\netsh
C:\WINDOWS\tasks\DriverScanner.job
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2472FE1A-CF90-438E-9369-FF775F3B2199}]
 
:OTL
O2 - BHO: (BitAccelerator) - {CAC42510-9B41-42c1-9DCD-7282A2D07C61} - C:\Program Files\BitAccelerator\BitAccelerator.dll File not found
OO8 - Extra context menu item: Search the Web - Reg Error: Value error. File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

ale niestety nic sie w starcie windowsa nie zmieniło.. dalej długo sie ładują ustawienia uzytkownika a potem tylko widac tapete bez ikonek(3-4 minuty). (...) Zauwazyłem ze podczas pojawiania sie ikonek na pulpicie, dysk 'ożywa' tzn dioda zaczyna migac i słychac jak pracuje.

 

To wygląda na skrajnie innny problem.

 

1. Wstępnie zrób test z czystym rozruchem i podaj wyniki czy odczuwasz poprawę: KB310353.

 

2. Popatrzyłam do Dziennika zdarzeń. Z najświeższych błąd inicjacji drukarki:

 

Error - 2012-11-15 12:36:55 | Computer Name = SPEEDYJACK | Source = Print | ID = 23
Description = Drukarka Brother DJC-150C nie została zainicjowana, ponieważ nie można
 było znaleźć odpowiedniego sterownika Brother HJ-100.

 

Nasuwa się:

• Widzę na liście zainstalowanych Brother MFL-Pro Suite. Spróbuj to odinstalować.
  
• Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych urządzeń i sprawdź czy są jakieś wejścisa od drukarki, a jeśli to odinstaluj.
  
• Start > Uruchom > regedit i z prawokliku skasuj te klucze:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\Brother DJC-150C
  

 

Error - 2012-10-25 10:19:20 | Computer Name = SPEEDYJACK | Source = Userenv | ID = 1508
Description = System Windows nie może załadować rejestru. Najczęstszą tego przyczyną
 jest za mało pamięci lub brak wystarczających praw zabezpieczeń.       SZCZEGÓŁY - Proces
 nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. 
 for C:\Documents and Settings\LocalService\ntuser.dat
 
Error - 2012-10-25 10:19:20 | Computer Name = SPEEDYJACK | Source = Userenv | ID = 1502
Description = System Windows nie może załadować profilu przechowywanego lokalnie.
 Możliwym powodem tego błędu jest brak wystarczających praw zabezpieczeń lub uszkodzony
 profil lokalny. Jeśli ten problem będzie się powtarzać, skontaktuj się z administratorem
 sieci.       SZCZEGÓŁY - Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany
 przez inny proces. 
 
Error - 2012-10-25 10:19:20 | Computer Name = SPEEDYJACK | Source = Userenv | ID = 1515
Description = System Windows wykonał kopię zapasową profilu tego użytkownika. System
 Windows automatycznie spróbuje użyć profilu z kopii zapasowej przy następnym logowaniu
 tego użytkownika.

 

Wystąpiły też takie błędy w październiku. Nie wiem na ile to aktualne.

 

Przy okazji, na temat HDD Regenerator dlaczego nie jest tu polecany: KLIK. Do solidnej diagnostyki używa się np. MHDD.

 

 

Dodatkowo wchodzac w Pomoc nie wykrywa pliku helpctr.exe.

 

Jest tu modyfikowany Windows XP (swoją drogą: odradzam takie przeróbki, potem szukaj wiatru w polu, gdy przychodzi do diagnostyki problemów). Czy Pomoc kiedykolwiek działała?

 

 

 

.

Edytowane 17 Grudnia 2012 przez picasso
17.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso