Zmulenie + adware

[htw]

Witam,

 

do zbadania podaje wynik logów z laptopa kolegi. Na pokładzie był zainstalowany Kasper (Internet security 2012), którego już nie ma bo licencja wygasła ( notabene Kaspera, dezinsalacja trwała jakieś 1,5h). Generalnie komputer działa dziwnie, raz dobrze raz muli. Panda Cloud nic nie pokazała ( pare plików cook), Malwarebytes (1.7 plus najnowsze sygnatury) nic. Skanowałem dysk stacjonarką. Korzystałem z TFC (by Oldtimer) oraz skusiłem sie na Adwcleaner .... i itutaj po zastosowaniu tego narzędzia mialem bluskrina i skonczyło sie odzyskiwanem systemu.... wiec chyba jakas grubsza sprawa .... ? Logi robione bez emulatorów CD bez antywira (notabane logi sie robiły tez troche dłuzej ni zawsze) Wentylator z komputera działa nonsto co sugeruje ze jakis proces go zabija, czasami to DWM.exe czyli Aero a raz menedżer zadań ... (taskamgr.exe) - 20, 30 % CPU . Mam wrażenie, ze kwitnie w nim życie organiczne i to bardzo intensywnie ...

 

Logi w załączniku.

 

ps. jestem świadomy, że komponenty Adobe oraz innych są nieaktualne, ale zajmę sie tym po akcji (jedyna aktualna rzecz to java, na którą jestem uczulony jak jak z przed miliona lat)

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

Doczyść śmieci, ale to raczej nie powinno mieć związku ze "zmuleniem". Instrukcje w spoilerze.

 

 

 

1. Przez Panel sterowania odinstaluj Contextual Tool Extrafind, LiveVDO plugin 1.3, vShare Plugin, Yahoo! Detect.

 

2. Google Chrome: w zarządzaniu wyszukiwarkami ustaw Google jako domyślną i po tym usuń SearchOnMe z listy, w Rozszerzeniach odinstaluj Click2Save.

 

3. Firefox: wyczyść przez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=bee5f84e-2371-11e1-8d47-001eec2b5a23&q={searchTerms}"
IE - HKLM\..\SearchScopes\{A2E8ABB4-8B67-45D0-BF33-F3D0D84D3CB8}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=306&systemid=406&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.searchonme.com/?l=1&q={searchTerms}"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=bee5f84e-2371-11e1-8d47-001eec2b5a23&q={searchTerms}"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=make&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{460CA9C1-CD02-4D99-AD61-B04BCA18DECA}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=6D1966F4-3BE0-437B-AC29-E73D2E0F76EA&apn_sauid=1015F5F6-55F9-474F-BB38-31F29BCDAE63"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{6F4C7232-9999-4649-9689-423F642EB827}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=bee5f84e-2371-11e1-8d47-001eec2b5a23&q={searchTerms}"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{A2E8ABB4-8B67-45D0-BF33-F3D0D84D3CB8}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=306&systemid=406&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{BB56AE3A-5851-40C9-A66D-81E211C83311}: "URL" = "http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.searchonme.com/?l=1&q={searchTerms}"
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6PQTc5N8ds&i=26"
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found
IE - HKU\S-1-5-21-3890101109-2963796064-2742808036-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - !{043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Secondary Start Pages"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C3543673-5396-4ABC-93C4-E5F41719A481}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C3543673-5396-4ABC-93C4-E5F41719A481}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
:Files
C:\Windows\System32\ComArt*.dll
C:\Windows\tasks\OptimizerPro1UpdaterTask{70A0BF23-B4CB-481E-911C-C2E938278656}.job
C:\Windows\tasks\OptimizerPro1UpdaterTask{0C965032-F9F4-4FA7-95B3-0F43FD424E59}.job
C:\Program Files\uik.dat
C:\Program Files\is.dat
C:\Program Files\Mozilla Firefox\extensions\{94a8ef88-fc29-ba29-d581-15c9f625f9a0}
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Casino
C:\Users\Bartek\AppData\Roaming\0I1G1B2Z1T1I1J1LtF1E1I
C:\Users\Bartek\AppData\Local\Temp*.html
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

5. Uruchom Autoruns i w karcie Scheduled Tasks skasuj zadania związane z Optimizer Pro. Jeśli coś innego tam zobaczysz podejrzanego lub w stanie "not found" = też usuń.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Podaj co wywalałeś w Autoruns.

 

 

 

 

 

skusiłem sie na Adwcleaner .... i itutaj po zastosowaniu tego narzędzia mialem bluskrina i skonczyło sie odzyskiwanem systemu.... wiec chyba jakas grubsza sprawa .... ?

 

Nie sądzę. Nie pierwszy to system na którym określone opcje AdwCleaner prowadzą do BSOD. Czy próbowałeś w Trybie awaryjnym?

 

 

Logi robione bez emulatorów CD bez antywira (notabane logi sie robiły tez troche dłuzej ni zawsze)

 

Nie do końca. Log z GMER zrobiony w złych warunkach, czynny sterownik SPTD w pamięci, w OTL też go widać:

 

DRV - [2010-11-18 15:28:27 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

Ten sterownik nie zanika na skutek deinstalacji emulatora, musi być usuwany z osobna narzędziem SPTDinst.

 

 

Generalnie komputer działa dziwnie, raz dobrze raz muli. (...) Wentylator z komputera działa nonsto co sugeruje ze jakis proces go zabija, czasami to DWM.exe czyli Aero a raz menedżer zadań ... (taskamgr.exe) - 20, 30 % CPU . Mam wrażenie, ze kwitnie w nim życie organiczne i to bardzo intensywnie ...

 

Czy na pewno to ma nadal miejsce po usunięciu Kasperskiego?

 

 

 

 

.

[htw]

na gorąco - po wywaleniu Kaspera było niby lepiej ale później sytuacja sie zmeniła na gorzej (te procesy o których pisałem działają nie naturalnie) . Teraz znowu system sie nie włancza i trwa próba naprawy systemu podczas uruchamiania .... jak wejdę do systemu od razu działam z OTL.

ADWCleaner uruchamialem normalnie.

 

update:

 

"‹niestety, ale nie odpalę systemu. Opcja przywracania przestała działać, a działało. Tryb awaryjny nie działa, tryb naprawy systemu nie daje rady, opcja ostatniej konfiguracji również nie daje rady. Nie potrafię odpalić sfc z konsoli bo mi truje ze jeszcze nie skonczył i wymaga ponownego uruhomienia. Chyba skończyły mi się pomysły ..

[picasso]

"‹niestety, ale nie odpalę systemu. Opcja przywracania przestała działać, a działało. Tryb awaryjny nie działa, tryb naprawy systemu nie daje rady, opcja ostatniej konfiguracji również nie daje rady. Nie potrafię odpalić sfc z konsoli bo mi truje ze jeszcze nie skonczył i wymaga ponownego uruhomienia. Chyba skończyły mi się pomysły

 

A F8 > Napraw komputer > Przywracanie systemu?

 

 

 

.

[htw]

robie dokladnie tak i system pisze ze odzyskiwanie musi być włączonę i pokazuje dysk tzn partycje i nie jest podswietlona opcja dalej .... a dzialalo

[picasso]

Jeśli Ochrona systemu nie była włączona, to niestety nie ma jak zrobić Przywracania systemu.

 

 

Nie potrafię odpalić sfc z konsoli bo mi truje ze jeszcze nie skonczył i wymaga ponownego uruhomienia. Chyba skończyły mi się pomysły

 

Po pierwsze: czy wziąłeś poprawkę na środowisko zewnętrzne? Tu nie może być sfc /scannow tylko komenda:

 

sfc /scannow /offbootdir=X:\ /offwindir=Y:\windows

 

X = partycja z plikami rozruchowymi, Y = partycja z Windows. Niekoniecznie X równa się Y, rozszczepienie zachodzi przy obecności partycji "Zastrzeżone przez system". Najszybciej sprawdzisz litery w Wierszu polecenia wpisując komendę notepad i z menu Plik > Otwórz > z boku klik w Komputer > lista dysków się zgłosi.

 

Po drugie: by zrobić czyste pole dla tej komendy (aktualnie "truje" o nieukończonych operacjach), usuń z linii komend poniższe pliki (o ile będą).

 

Y:\Windows\WinSxS\pending.xml

Y:\Windows\WinSxS\reboot.xml

 

 

 

.

[htw]

właśnie chodzi o to że była włączona, bo już raz przywracałem i wszystko działało ( poza tym jest sporo punktów - np. instalacja najnowszej Javy)..... bede próbował dalej zgodnie z tym co piszesz.

[htw]

niestety: robię wszystko jak kazałaś, ale wywal mi - "Funkcja Ochrona zasobów systemu Windows nie może uruchomić usługi naprawczej"

Cytując Ciebie problemem jest niedziałanie kluczowej usługi Instalator modułów systemu Windows. Należy wejść do przystawki services.msc i przestawić Typ uruchomienia na Ręczny

 

pytanie: jak to zrobić w konsoli odzyskiwania .. ??

 

ps. fajny patent z tym notepadem ja wszedłem w notatnik jak system wywalił że nie może naprawić i później że chce coś wysłać do MS i tam jest pliczek txt, którego można odpalić

 

update postanowiłem sprawdzić tablice SMRT'a i wyszło coś takiego jak widać w załączniku .

update II sprawdziłem dysk HDD Regenerator, który przy 61 % sie zawiesił to chyba świadczy, że dysk jest na wykończeniu ... ale wolę to skonsultować.

[picasso]

niestety: robię wszystko jak kazałaś, ale wywal mi - "Funkcja Ochrona zasobów systemu Windows nie może uruchomić usługi naprawczej"

Cytując Ciebie problemem jest niedziałanie kluczowej usługi Instalator modułów systemu Windows. Należy wejść do przystawki services.msc i przestawić Typ uruchomienia na Ręczny

 

pytanie: jak to zrobić w konsoli odzyskiwania .. ??

 

Bez związku. Siedzisz w środowisku zewnętrznym. To całkiem inne środowisko i żadna usługa nie jest na chodzie. A na obrazku widzę całkiem inny błąd SFC ("nie można wykonać żądanej operacji") niż wcześniej podany ("nie skończył i wymaga ponownego uruchomienia"). W Wierszu polecenia spróbuj jeszcze komendy chkdsk /f /r. I temat tymczasowo przesuwam do działu Hardware:

 

 

update II sprawdziłem dysk HDD Regenerator, który przy 61 % sie zawiesił to chyba świadczy, że dysk jest na wykończeniu ... ale wolę to skonsultować.

 

HDD Regenerator nie jest tu polecany (KLIK). Do wiarygodnej diagnostyki skorzystaj z MHDD. Dostarcz wynik SMART + skanu.

 

 

 

.

[htw]

próbowałem chkdsk /f /r w pierwszej kolejności ale nie dawało rady, poza tym chyba próba naprawy coś takiego robi .... ? HDD Regenerator - jest płatny może ale co z tego ? ( wielokrotnie go używałem i dyski zregenerowane za jego pomocą działają do dzisiaj ) ale bardzo chętnie zapoznam sie z możliwościami MHDD przetestuje jak w poradniku piszą i dam znać .

[picasso]

HDD Regenerator - jest płatny może ale co z tego ?

 

Nie chodzi o cenę, chodzi o jego "metody". Czytałeś link?

[htw]

Przyznaje, że nie, ale skoro mnie namawiasz to oczywiście przeczytam. Jak znajdę trochę czasu to pobawię się dyskiem i dam znać.

[htw]

Witam ponownie

 

Logi dysku porobione przy pomocy MHDD,oraz wyciągnięte podstawowe info o dysku, dorzucam logi ze SMART'a (w sumie są w poście poprzednim ale żeby wszystko było w jednym miejscu) . Nie orientuje się za bardzo co do metody działania MHDD ale chętnie się nauczę i posłucham kogoś bardziej obcykanego w tej kwestii. Help programu dosyć bogaty więc zdaję się, że to faktycznie potężne narzędzie.

 

ps. dane z dysku mogą być spokojnie wykasowane bo mam pełny backup.

 

 

.