Wolno działający komputer + wymuszenie zamknięcia programu przy wyłączaniu komputera

[aro1990]

Witam, komputer znajomego wolno działał, a przy wyłączaniu komputera wyskakiwało okno, że nie można zamknąć jakiegoś programu i trzeba było wymusić jego zamknięcie, aby komputer się wyłączył. System to XP SP3, w oknie nie było napisane o jaki program chodzi, ścieżka tytułowa zaczynała się tylko od C:/Program... i tyle. Znajomy użył programu Malwarebytes Anti-Malware, który "coś" posuwał niestety nie zapisał logów z tej operacji ale po tej operacji komputer chodzi ciszej, szybciej i można zamykać komputer bez problemów. Prosił bym jednak o analizę wykonanych logów, czy nie siedzi tam coś jeszcze. Z góry dziękuję. 

Pozdrawiam, Arek.

 

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

[picasso]

Widać tu jeszcze do usunięcia szczątki adware.

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [fst_pl_6] - [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
URLSearchHook: HKCU - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=17&barid={15C9A1D0-0703-455B-AAF2-CDE137FB471E}
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL =
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\Extensions.rdf
FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\installed-extensions-processed.txt
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction 
S2 ADILOADER; System32\Drivers\adildr.sys [x]
S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [x]
S1 soqwx32; \??\C:\WINDOWS\system32\drivers\soqwx32.sys [x]
C:\WINDOWS\Tasks\Norton Security Scan for gd.job
C:\WINDOWS\system32\roboot.exe
C:\Program Files\MyPC Backup
C:\Program Files\predm
C:\Program Files\Mobogenie
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\All Users\Dane aplikacji\SweetIM
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\GD\daemonprocess.txt
C:\Documents and Settings\GD\Dane aplikacji\0F1F1C2Y1H1P1C0I0T
C:\Documents and Settings\GD\Dane aplikacji\aartemis
C:\Documents and Settings\GD\Dane aplikacji\ESET
C:\Documents and Settings\GD\Dane aplikacji\MetaCrawler
C:\Documents and Settings\GD\Dane aplikacji\OpenCandy
C:\Documents and Settings\GD\Dane aplikacji\systweak
CMD: netsh firewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Odinstaluj adware:

- Przez Dodaj/Usuń programy: IB Updater Service, Norton Security Scan, Update Manager for SweetPacks 1.1.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

- Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner.

 

 

.

[aro1990]

Wykonałem kroki 1. i 2. , ale niestety w czasie używania AdwCleaner i TFC komputer się zawieszał i nawet po długim oczekiwaniu nie było żadnych efektów trzeba było resetować komputer. 

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

1. Pominęłam ważną sprawę. Nie wiem jak to się stało! Masz zainstalowanego Bitcoin minera, który obciąża procesor. Odinstaluj niejaki GPU Monitor. A także fałszywe Java Runtime Environment Packages.

 

2. Następnie:

 

 

niestety w czasie używania AdwCleaner i TFC komputer się zawieszał i nawet po długim oczekiwaniu nie było żadnych efektów trzeba było resetować komputer

Ponów obie akcje w Trybie awaryjnym Windows.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz świeży log AdwCleaner.

 

 

 

.