Explorer się nie ładuje + zawieszanie się laptopa przy wyłączaniu

[przemos]

Witam, trafiłem na forum oczywiście z problemem infekcji laptopa (Win 7). Mianowicie, przy uruchamianiu (po wybraniu użytkownika) pojawia sie czarny ekran i kursor, brak okienek win, paska itd. Po uruchomieniu menadżera w zakładkce Procesy explorer.exe jest widoczny. Pomagało uruchomienie nowego zadania (Plik>Nowe zadanie (Uruchom...)).

Na początku działo się tak sporadycznie (ok. 1 miesiąca), teraz dzieje się tak praktycznie przy każdym uruchomieniu. Zauważyłem też, że jak się komputer zostawiło na dłużej (kilkanaście minut) okna same się pojawiały (wiadomo, nie na tym to polega żeby czekać aż tyle, coś jest nie tak).

Drugi problem to póki co sporadyczne, ale zastanawiające zawiasy laptopta w momencie zamykania systemu. Ekran końcowy "Trwa zamykanie systemu ..." kręci się kółeczko i nic nie da się zrobić, pomagało tylko dłuższe przytrzymanie przycisku załącz w lapku.

Teraz logi. Jak z OTL nie było problemu, to z FRST, GMER i DDS były. FRST zwracał puste logi, GMER się zawieszał, a DDS wogóle nie rozpoczynał diagnostyki. Dopiero w Trybie awaryjnym wszystkie programy zwróciły poniższe wyniki. Acha dodatkowo przy załączonym Comodo Firewall, FRST zawieszał się od razu przy załączaniu.

 

Pozdrawiam i proszę o analizę logów.

OTL.Txt

FRST.txt

Addition.txt

Extras.Txt

Shortcut.txt

GMER.txt

[picasso]

Logi z DDS nie są obowiązkowe (usuwam). Widzę, że używałeś RegDelNull.exe, prawdopodobnie by usunąć odpadkowy klucz SPTD. Nie wiem dlaczego Was moje instrukcje wprowadzają w błąd. Klucz SPTD nie jest blokowany znakami zerowymi (narzędzia typu RegDelNull nie mają uzasadnienia) tylko przez uprawnienia. Zablokowanym tą metodą jest podklucz cfg klucza SPTD i ten należy odblokowć, by cały klucz dało się skasować. Ja i tak ten klucz SPTD dokończę skryptem FRST.

 

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji, tylko w Harmonogramie zadań jest wpis po niej (wygląda na martwy). W spoilerze korekty na wpisy puste i szczątek cracka ESET:

 

 

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [Copy Handler] => [X]
HKU\S-1-5-21-2631689147-4000948806-3686541712-1000\...\Run: [] => [X]
URLSearchHook: HKCU - (No Name) - {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - No File
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {614C7A8F-AE70-4A3D-BC76-05E194768672} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=302398&p={searchTerms}
SearchScopes: HKCU - {7E4E3281-DF2A-4CE6-8CBB-14DDEE358EA7} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=6C0554D1-0F58-4BEE-BE84-B75413F5D40D&apn_sauid=5FDCE095-D4B0-4B23-A099-C9C3A6AD6766&
BHO: No Name - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No File
Toolbar: HKCU - No Name - {5C81F57F-3CF7-4785-B4EF-11ACE31AEC4F} - No File
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\mozilla firefox\plugins
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
S2 .EsetTrialReset; C:\Windows\system32\regedt32.exe [9216 2009-07-14] (Microsoft Corporation)
S3 Proficy Driver Runtime; C:\Program Files\GE Fanuc\Proficy Machine Edition\fxView\Runtime\ProficyDrivers\Win32\GefPdfOpc.exe [X]
U2 BHDrvx86;
S3 fgddrpob; \??\C:\Users\Admin\AppData\Local\Temp\fgddrpob.sys [X]
S4 sptd; System32\Drivers\sptd.sys [X]
U3 mbr; \??\C:\Users\Admin\AppData\Local\Temp\mbr.sys [X]
Task: {45BA81C0-1959-42BD-B789-70616B7351BE} - System32\Tasks\{1D971E29-69FD-4BF9-80DE-038D6B6B5D02} => C:\Users\Admin\Desktop\MineFox NoPremium\MineFox NoPremium.exe [2012-02-08] (AnjoCaido)
Task: {7263A631-8C41-4451-A5BF-170CE9F24536} - System32\Tasks\{A656FBB2-C4C9-4064-AC36-91F278731506} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.104.259/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;userlevelpresent
Task: {B0A2AAD4-F6AE-4682-884E-26ABD92536CC} - System32\Tasks\{01E96499-92B0-4BDA-91C6-296EE8ECE461} => C:\Users\Admin\Desktop\MineFox NoPremium\MineFox NoPremium.exe [2012-02-08] (AnjoCaido)
Task: {E9055C73-6A44-4DBD-B63F-8D0F62143B1B} - System32\Tasks\systems => C:\Users\Admin\AppData\Roaming\ifebd.exe
C:\ProgramData\Adtrustmedia
C:\Users\Admin\AppData\Local\AdTrustMedia
C:\Users\Admin\AppData\Roaming\ESET
C:\Users\Remote\AppData\Roaming\ESET
Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt.

 

2. Wyczyść Firefox ze śmieci i starych preferencji: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

 

 

 

Akcje w spoilerze są natury kosmetycznej i nie powinny mieć żadnego związku z problemami. Jedyne co z podanych w spoilerze instrukcji może mieć jakiś wpływ, to ta usługa cracka ESET. Wątpię jednak w to.

 

 

Teraz logi. Jak z OTL nie było problemu, to z FRST, GMER i DDS były. FRST zwracał puste logi, GMER się zawieszał, a DDS wogóle nie rozpoczynał diagnostyki. Dopiero w Trybie awaryjnym wszystkie programy zwróciły poniższe wyniki.

Prawdopodobnie COMODO blokował narzędzia.

 

 

Na początku działo się tak sporadycznie (ok. 1 miesiąca), teraz dzieje się tak praktycznie przy każdym uruchomieniu. Zauważyłem też, że jak się komputer zostawiło na dłużej (kilkanaście minut) okna same się pojawiały (wiadomo, nie na tym to polega żeby czekać aż tyle, coś jest nie tak).

 

Drugi problem to póki co sporadyczne, ale zastanawiające zawiasy laptopta w momencie zamykania systemu. Ekran końcowy "Trwa zamykanie systemu ..." kręci się kółeczko i nic nie da się zrobić, pomagało tylko dłuższe przytrzymanie przycisku załącz w lapku.

W Dzienniku jest mało czytelny błąd explorer.exe:

 

Error: (04/14/2014 02:59:26 PM) (Source: Application Hang) (User: )

Description: Program Explorer.EXE w wersji 6.1.7601.17567 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji.
 

Identyfikator procesu: f3c

Godzina rozpoczęcia: 01cf57dd288c48ed

Godzina zakończenia: 60000

Ścieżka aplikacji: C:\Windows\Explorer.EXE

Identyfikator raportu: 0da9bf39-c3d4-11e3-a26d-0c6076dcebb6

 

Jeśli chodzi o problem ze startem i zamykaniem, w Twojej konfiguracji zwraca uwagę inwazyjna kombinacja AVAST + COMODO. Jeden z nich podejrzewałabym. Przetestuj jak sprawy wyglądają, gdy zaczniesz od testowej deinstalacji COMODO (jedyna pewna metoda ucięcia aktywności).

 

 

 

.

[przemos]

Witam ponownie. Dzięki za szybką odpowiedź. Poniżej log z FRST po fix'ie. Wszystkie zalecenia z spoilera wykonane, zobaczymy przez weekend jak się będzie lapek zachowywał. 

 

Pozdrawiam.

Fixlog.txt

[picasso]

Wyniki ze spoilera: OK. Usuń ręcznie używane narzędzia i popraw via DelFix. Ale jak mówiłam, te działania to tylko poboczne operacje, raczej nie powinny mieć wpływu na to co się dzieje w systemie. Objawy bardziej pasują do zainstalowanego majdanu zabezpieczającego.

 

 

 

.