Parę lat bez antywirusa - komputer strasznie się zacina, ankiety Gemius

[EsCuDo]

Witajcie!

Moja ciocia używa swojego laptopa o 2011 roku bez antywirusa! Bardzo się zdziwiłem, gdy oddała mi go pod pretekstem, że zaczął się zacinać.

Zacząłem od instalacji pierwszego lepszego antywirusa - AVG. Komputer przy ściąganiu pliku sam się restartował! Przeskanowałem go MBAM - znalazł 20 wirusów, które zlikwidował. Niestety w krótkim czasie AVG wykrył Brontok, którego niby usunął. Zaniepokojony postanowiłem zaczerpnąć od Was pomocy. Laptopa muszę oddać w terminie natychmiastowym - do piątku, gdyż ciocia wyjeżdża z pracy. Załączam logi.

PS. Laptopowi nawet przełączenie karty w Firefoxie zajmuje bite 15 sekund. Nie jest on zbyt stary - skoro do tej pory się nie zacinał ta bardzo i nawet przeglądanie Facebooka sprawia problem - coś musi być nie tak. Wyskakują też komunikaty ankiety Megapanel Genius coś takiego. (od aplikacji Internet Reaserch)

 

Liczę na pomoc w przywrócenia koputera do łaski i usunięciu wszelkiego adware!

 

 

Pozdrawiam,

 

EsCuDo

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

Główny log z FRST jest ucięty w połowie. Nie widzę tu infekcji czynnej, ale owszem ślady Brontok są, czyli zmodyfikowany plik HOSTS. A komunikaty ankiety Gemius są spowodowane pełną instalacją tego śmiecia. Na dodatek aplikacja sypie błędami:

 

Error: (01/26/2014 03:38:42 PM) (Source: Application Hang) (User: )

Description: Program NetPanel.exe w wersji 2.24.0.1 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji.
 

Identyfikator procesu: 894

Godzina rozpoczęcia: 01cf1aa3be8e291a

Godzina zakończenia: 15

Ścieżka aplikacji: C:\Program Files\NetPanel\NetPanel.exe

 

Dodatkowe błędy tworzy wtyczka Nuance PDF Reader w Internet Explorer:

 

Error: (01/21/2014 08:18:57 AM) (Source: Application Error) (User: )

Description: Nazwa aplikacji powodującej błąd: IEXPLORE.EXE, wersja: 10.0.9200.16750, sygnatura czasowa: 0x5269c643

Nazwa modułu powodującego błąd: IEPDFPlus.ocx, wersja: 1.0.0.1, sygnatura czasowa: 0x4b5a5a9b

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x00003490

Identyfikator procesu powodującego błąd: 0x1384

Godzina uruchomienia aplikacji powodującej błąd: 0xIEXPLORE.EXE0

Ścieżka aplikacji powodującej błąd: IEXPLORE.EXE1

Ścieżka modułu powodującego błąd: IEXPLORE.EXE2

Identyfikator raportu: IEXPLORE.EXE3
 

Error: (01/21/2014 08:18:57 AM) (Source: Application Error)(User: )

Description: IEXPLORE.EXE10.0.9200.167505269c643IEPDFPlus.ocx1.0.0.14b5a5a9bc000000500003490138401cf16790b9f9ab5C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXEC:\Program Files (x86)\Nuance\PDF Reader\bin\IEPDFPlus.ocx49f8a2a6-826c-11e3-a44f-5404a671fefc

 

Przeprowadź następujące akcje:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Policies\system: [DisableCMD] 0
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
BHO-x32: Internet Panel - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\NetPanel\IEHelper.dll (Gemius)
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File
FF HKCU\...\Firefox\Extensions: [gemgecko@gemius.com] - C:\Program Files\NetPanel\gemgecko_ext\
FF Extension: Badanie Megapanel PBI/Gemius - C:\Program Files\NetPanel\gemgecko_ext\ []
C:\Users\Administrator\AppData\Local\*Bron*
C:\Users\Administrator\AppData\Roaming\eIntaller
CMD: sc config "PLAY ONLINE. RunOuc" start= demand

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KLIK.

 

3. Przez Panel sterowania odinstaluj: NetPanel (to ten upierdliwy "ankieter"), Nuance PDF Reader (generuje błędy w IE) oraz ASUS WebStorage (zbędny, a znany z generowania błędów eksploratora Windows).

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt. Wypowiedz się wyraźnie na czym stoimy.

 

 

 

.

[EsCuDo]

Komputer dostał kopa, ale moim zdaniem to wciąż nie jest to. Właśnie, AVG wykywa w FRST konia trojańskiego nie wiem dlaczego. Nieważne. Folder *Bron* nie usunął się.

Jakie śmieci mogę jeszcze usunąć z tego komptera?

 

Załączam logi.

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

1. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim:

 

U4 WMCoreService;
HKLM\...\Run: [setwallpaper] - c:\programdata\SetWallpaper.cmd
C:\Program Files\NetPanel
C:\Users\Administrator\AppData\Local\Bron.tok.A12.em.bin
C:\Users\Administrator\AppData\Local\Loc.Mail.Bron.Tok
C:\Users\Administrator\Downloads\avg_avct_stb_all_2014_4259_cm10.exe.part
CMD: for /d %f in (C:\Users\Administrator\AppData\Local\{*}) do rd /s /q "%f"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po jego potwierdzeniu przejdź do finalizacji:

 

2. Przez SHIFT+DEL skasuj FRST i foldery:

 

C:\FRST

C:\Users\Administrator\Downloads\FRST-OlderVersion

 

W OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

Folder *Bron* nie usunął się.

Zadałam do usuwania warunek z użyciem maski mając na uwadze pliki a nie foldery (FRST nie pozwala stosować znaków wieloznacznych w nazwach folderów). Jednakże w związku z tym, iż był również folder spełniający warunek, FRST nie usunął nawet pliku. Już obiekty załączyłam w powyższym skrypcie, ale użyłam poprzednio maskę, gdyż od Brontok może być więcej obiektów w tym miejscu. Na wszelki wypadek wejdź do folderu C:\Users\Administrator\AppData\Local i sprawdź czy są jakieś inne pliki / foldery zawierające w nazwie frazę Bron. Znalezione przez SHIFT+DEL skasuj.

 

 

Jakie śmieci mogę jeszcze usunąć z tego komptera?

Tu nie za bardzo widać "śmieci". Jeśli zmierzasz do zintegrowanych z systemem programów ASUS oraz innych zewnętrznych aplikacji, to można jeszcze rozważyć usunięcie:

 

==================== Installed Programs ======================
 

„Windows Live Essentials“ (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

„Windows Live Mail“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden

„Windows Live Messenger“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden

„Windows Live“ fotogalerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Adobe Flash Player 10 Plugin (x32 Version: 10.0.32.18 - Adobe Systems Incorporated) ----> wtyczka dla FF

ASUS LifeFrame3 (x32 Version: 3.0.24 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą

ASUS Splendid Video Enhancement Technology (x32 Version: 1.02.0031 - ASUS) ----> asusowe "poprawianie" jakości obrazu

Control ActiveX Windows Live Mesh pentru conexiuni la distanță (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Fast Boot (Version: 1.0.9 - ASUS) ----> asusowy menedżer startu

Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Gadu-Gadu 10 (x32 Version: - GG Network S.A.)

Ovládací prvek ActiveX platformy Windows Live Mesh pro vzdálená připojení (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Ovládací prvok ActiveX programu Windows Live Mesh pre vzdialené pripojenia (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Polski pakiet językowy dla programu Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation)

Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Communications Platform (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Essentials (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Essentials (x32 Version: 15.4.3508.1109 - Microsoft Corporation)

Windows Live Family Safety (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live fotoattēlu galerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Fotogaléria (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Fotogalerie (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Foto-galerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Fotótár (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Galerija fotografija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live ID Sign-in Assistant (Version: 7.250.4225.0 - Microsoft Corporation) Hidden

Windows Live Installer (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Language Selector (Version: 15.4.3508.1109 - Microsoft Corporation) Hidden

Windows Live Mail (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Mesh (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Mesh ActiveX Control for Remote Connections (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Windows Live Mesh ActiveX kontrola za daljinske veze (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Windows Live Mesh ActiveX vadīkla attālajiem savienojumiem (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Windows Live Mesh ActiveX-i juhtelement kaugühendustele (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Windows Live Mesh ActiveX-vezérlő távoli kapcsolatokhoz (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Windows Live Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live MIME IFilter (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Movie Maker (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Photo Common (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Photo Gallery (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live PIMT Platform (x32 Version: 15.4.3508.1109 - Microsoft Corporation) Hidden

Windows Live Pošta (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Remote Client (Version: 15.4.5722.2 - Microsoft Corporation) Hidden

Windows Live Remote Client Resources (Version: 15.4.5722.2 - Microsoft Corporation) Hidden

Windows Live Remote Service (Version: 15.4.5722.2 - Microsoft Corporation) Hidden

Windows Live Remote Service Resources (Version: 15.4.5722.2 - Microsoft Corporation) Hidden

Windows Live SOXE (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live SOXE Definitions (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live UX Platform (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live UX Platform Language Pack (x32 Version: 15.4.3508.1109 - Microsoft Corporation) Hidden

Windows Live Writer (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Writer Resources (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live'i fotogalerii (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Фотогалерия на Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

 

Dodatkowe komentarze:

- Część wpisów Windows Live jest widoczna, po ich normalnej deinstalacji uruchom to narzędzie: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy nadal widać jakieś wpisy Windows Live i te usuń.

- Gadu-Gadu 10: albo zamiana najnowszą wersją GG12 (jest zdecydowanie bardziej "przyjemniejsza"), albo alternatywą w stylu WTW. Opisy: KLIK.

- Adobe Flash Player 10 Plugin: prawdopodobnie jest ta wtyczka sprzężona z GG10 i będzie staroć reinstalowana. Po usunięciu GG10 usuń tę wtyczkę i załaduj najnowszą. Wszystko tu: KLIK.

 

 

Komputer dostał kopa, ale moim zdaniem to wciąż nie jest to.

Świeżą instalacją jest tu AVG w kombinacji z MBAM (wygląda na wersję trial z czynnym strażnikiem), więc nie jest wykluczone, iż owe instalacje przyczyniają się do efektu.

 

 

.