Spyhunter wykrył ponad 290 zagrożeń, system startuje 15 minut

[max777]

Podobnie jak w jednym z tematów zachciało mi się śledzić przez internet poczynania Naszych siatkarzy podczas ostatnio zakończonych mistrzostw świata. Od tego czasu za zaczeły się problemy z moim komputerem. Najpierw spowolnienie działania uruchamiania i otwierania wszystkich aplikacji. Później Avast wykrył jakieś zagrożenia (zrzut w załącznikach). Później już tylko gorzej. Próbowałem sobie poradzić ale nic to nie dało.

Na chwilę obecną system startuje w jakieś 12-15 minut do pełnego uruchomienia, strony internetowe w przegladarkach Firefox i IE ładują się w podobnym czasie.

W serwisie zalecili mi wymianę dysku twardego i stwierdzili jego awarię ale nie wygląda mi na to. Proszę o pomoc.

Załączyłem też zrzuty ze Spyhuntera.

W załączeniu wszystkie logi.

 

Extras.Txt

Addition.txt

FRST.txt

gmer.txt

OTL.Txt

Shortcut.txt

[picasso]

SpyHunter to program wątpliwej reputacji, który stosuje bezczelne triki reklamodawcze, by namówić do instalacji, po czym się okazuje, że wykrytych obiektów nie można usunąć nie płacąc za wersję pro. Niezależnie od tego czy pokazuje wiarygodne wyniki, jego odczyt nie jest brany przeze mnie pod uwagę wcale. Druga sprawa: wprawdzie infekcji czynnej per se nie widać, ale jest tu zamontowany kolejny wątpliwy program, czyli niejaki YAC. W innym temacie szczegółowo opisałam dlaczego jest to podejrzana instalacja: KLIK. I to on może być przyczyną wydłużenia startu. Wstępnie:

 

1. Przez Panel sterowania odinstaluj YAC(Yet Another Cleaner!). Odinstaluj również SpyHunter, jego deinstalator jest z kolei osiągalny via Menu Start:

 

ShortcutWithArgument: C:\Users\Mirek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk -> C:\Windows\SysWOW64\msiexec.exe (Microsoft Corporation) -> /X {ACF5FE1B-3772-4068-8B87-2D2A6EFD0A05}

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410638242&from=ild&uid=WDCXWD6400BEVT-22A0RT0_WD-WX31EC00488204882&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410638242&from=ild&uid=WDCXWD6400BEVT-22A0RT0_WD-WX31EC00488204882&q={searchTerms}
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Mirek\AppData\Roaming\Mozilla\Firefox\Profiles\fcmgjka9.default\extensions\faststartff@gmail.com
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\Opera
C:\ProgramData\Temp
C:\Users\Mirek\AppData\Local\Opera Software
C:\Users\Mirek\AppData\Roaming\ICJ
C:\Users\Mirek\AppData\Roaming\LKLTLQT
C:\Users\Mirek\AppData\Roaming\Opera Software
C:\Users\Mirek\AppData\Roaming\WebExtend
C:\Windows\RegBootClean64.exe
C:\Windows\system32\FxsTmp
Folder: C:\Temp
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Specjalny skrót IE jest uszkodzony:

 

Shortcut: C:\Users\Mirek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Mirek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, FoxTrick, Greasemonkey) będą do reinstalacji.

 

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER. Dołącz też pliki: fixlog.txt, log z AdwCleaner oraz C:\ComboFix.txt (program był używany, a brak jakichkolwiek wzmianek).

 

Potwierdź mi też, iż konto użytkownika o nazwie Dom nie istnieje i folder C:\Users\Dom to szczątek. Wg FRST jest to nieaktywny odpadek.

 

 

 

.

[max777]

SpyHunter okazuje się być trochę oporny z menu start, po wciśnięciu uninstal pojawia sie komunikat "Ta akcja prawidłowa dla produktów, które są zainstalowane".

Z palenu wogóle nie widać go jako zainstalowanego, czy w tej sytuacji przechodzić do kolejnych kroków?

Konto Dom nie istnieje, musiały zostać poprostu jakieś śmieci.

[picasso]

Zostaw na razie SpyHunter, zajmę się nim oraz odpadkiem Dom w drugiej fazie. Przejdź do dalszych kroków.

[max777]

pkt 2) nie udałe się chyba do końca tak jak powinno FRST nie dokończył procesu bo zwiesił się, co prawda plik został wygenerowany. reset ręczny.

pkt 3) zrobione

pkt 4) zrobione

pkt 5) zrobione

pkt 6) zrobione

 

Fixlog.txt

FRST.txt

ComboFix.txt

AdwCleanerS1.txt

AdwCleanerR1.txt

gmer29.txt

[picasso]

Dostarczony Fixlog jest już z drugiego podejścia i nie wykazuje żadnych napraw, bo to pierwsza runda je załatwiła i stosowny starszy log powinien być w C:\FRST\Logs\Fixlog_data_czas.txt. Co to znaczy "zawiesił się" - ile czekałeś? Nie wykonała się ostatnia z komend (czyszczenie Temp), komenda ta może się długo wykonywać.

 

Czy po usunięciu YAC jest jakaś poprawa? Poprawki. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
C:\sh4ldr
C:\Program Files\Enigma Software Group
C:\Users\Mirek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
C:\Users\Mirek\Desktop\SpyHunter.lnk
C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP
C:\Windows\system32\Drivers\EsgScanner.sys
C:\Windows\System32\Tasks\SpyHunter4Startup
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\Users\Mirek\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\Dom
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart. Dostarcz wynikowy fixlog.txt.

 

 

 

.

[max777]

Jest już właściwy plik z wczoraj. Narazie nie odczuwam żadnej poprawy, system przy uruchamianiu doszedł prawidłowo do okna logowania użytkownika, po wpisaniu hasła az do ukazania się ikon ok 12 minut przy czarnym ekranie. Dziś pojawił się jeszcze po uruchomieniu komunikat systemowy że system zostal wznowiony po nieoczekiwanym błędzie blue windows i jakies kody, niestety zanim wszystko zaczęło normalnie chodzić zniknął a ja nie zdążyłem zrobić zrzutu.   Dodaktowo każda czynoość powoduje pojaiwnie się komunikatu "brak odpowiedzi". Podobnie było z wczorajszym fixlogiem. Po ok 40 minutach reset ręczny. nie wiem czy za szybko. Obrecne komendy które zapuściłem lecą od 17. Dorzucę loga jak się skończy.

 

Log dłączony, czas ukońcenia 19:05

Fixlog.txt

Fixlog.txt

[picasso]

Poprzednie zadania wykonane i w ostatnim logu już było OK. W związku z tym poniższy problem musi mieć inną przyczynę:

 

Narazie nie odczuwam żadnej poprawy, system przy uruchamianiu doszedł prawidłowo do okna logowania użytkownika, po wpisaniu hasła az do ukazania się ikon ok 12 minut przy czarnym ekranie.

Dodaktowo każda czynoość powoduje pojaiwnie się komunikatu "brak odpowiedzi".

No cóż, obawiam się, że to może być jednak wina mocarnego pakietu avast! Internet Security. Na próbę go całkowicie odinstaluj, zrób nowy log FRST (z Addition, ale bez Shortcut) i wypowiedz się czy są jakieś zmiany.

 

 

 

.

[max777]

Na chwilę obecną po odinstalowaniu Avast IS poprawił się start systemu. Startuje można powiedzieć w normalnym tempie. Nadal występują chwilowe zawieszki przy różnych czynnościach komunikat "brak odpowiedzi". Nawet tworząc log z FRST okienko na zmianę działało i wywalało komunikat w kilkusekundowych odstępach.

Zastanawia mnie jeszcze dlaczego w zasobniku ostały ślady po usuniętych aplikacjach.

No i w raporcie Addition jest chyba spory bałagan, ale pozostawiam to Twojej analizie.

FRST.txt

Addition.txt

[picasso]

Nadal występują chwilowe zawieszki przy różnych czynnościach komunikat "brak odpowiedzi". Nawet tworząc log z FRST okienko na zmianę działało i wywalało komunikat w kilkusekundowych odstępach.

1. Na początek wykonaj test z czystym rozruchem: KLIK. Podaj rezultaty czy są jakieś zmiany.

 

2. W Dzienniku zdarzeń są też takie błędy nagrane wczoraj:

 

System errors:

=============

Error: (10/01/2014 08:06:12 PM) (Source: volsnap) (EventID: 14) (User: )

Description: Kopie w tle woluminu C: zostały przerwane z powodu usterki We/Wy w woluminie C:.
 

Error: (10/01/2014 07:31:33 PM) (Source: Service Control Manager) (EventID: 7022) (User: )

Description: Usługa Windows Update zawiesiła się podczas uruchamiania.
 

Error: (10/01/2014 07:26:31 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Microsoft .NET Framework NGEN v4.0.30319_X86.
 

Error: (10/01/2014 07:21:04 PM) (Source: Service Control Manager) (EventID: 7022) (User: )

Description: Usługa Udostępnianie połączenia internetowego (ICS) zawiesiła się podczas uruchamiania.

 

Nie wiem czy błędy "Upłynął limit czasu..." + "...zawiesiła się podczas uruchamiania" są nadal aktualne po deinstalacji Avast. Natomiast ten pierwszy z "usterką We/Wy w woluminie C:" może oznaczać jakiś problem z dyskiem. Na wszelki wypadek możesz założyć nowy temat w dziale Hardware dostarczając dane wymagane działem: KLIK.

 

 

Zastanawia mnie jeszcze dlaczego w zasobniku ostały ślady po usuniętych aplikacjach.

Tu nie ma nic dziwnego. Te szczątkowe śmieci możesz usunąć narzędziem Fix-it resetującym obszar powiadomień: KLIK.

 

 

No i w raporcie Addition jest chyba spory bałagan, ale pozostawiam to Twojej analizie.

Do czego konkretnie zmierzasz?

 

 

 

.

[CrashJack]

też miałem SpyHunter, wg. tej stronki to program 'rogue', czytałem wiele komentarzy gdzie każdy był negatywny na jego temat

 

http://www.spywarewarrior.com/rogue_anti-spyware.htm

[max777]

Na czystym rozruchu bylo ok. Wiec byc moze mnogosc odpalanych procesow spowalnia.

Co do reszty to zrobilem a balagan o ktorym pisze to wlasnie te procesy cos tego duzo i nie wiem czy wszystko koniecznie potrzebne.

[picasso]

Na czystym rozruchu bylo ok. Wiec byc moze mnogosc odpalanych procesow spowalnia.

(...)

balagan o ktorym pisze to wlasnie te procesy cos tego duzo i nie wiem czy wszystko koniecznie potrzebne

Czy cofnąłeś czysty rozruch, by zdiagnozować który konkretnie wpis wpływa na opóźnienia? Cofnij czysty rozruch, a następnie powyłączaj na trwałe część wpisów, które uważam za zbędne, ale za pomocą innego narzędzia. W Autoruns w karcie Logon odznacz:

 

==================== Registry (Whitelisted) ==================
 

HKLM\...\Run: [Windows Mobile Device Center] => C:\Windows\WindowsMobile\wmdc.exe [660360 2007-05-31] (Microsoft Corporation)

HKLM\...\Run: [mwlDaemon] => C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe [349552 2010-05-27] (Egis Technology Inc.)

HKLM-x32\...\Run: [backupManagerTray] => C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe [265984 2010-06-29] (NewTech Infosystems, Inc.)

HKLM-x32\...\Run: [EgisUpdate] => C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe [201584 2010-03-11] (Egis Technology Inc.)

HKLM-x32\...\Run: [EgisTecPMMUpdate] => C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe [407920 2010-03-11] (Egis Technology Inc.)

HKLM-x32\...\Run: [nmctxth] => C:\Program Files (x86)\Common Files\Pure Networks Shared\Platform\nmctxth.exe [647216 2009-07-07] (Cisco Systems, Inc.)

HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation)

HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)

HKLM-x32\...\Run: [ArcadeDeluxeAgent] => C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe [419112 2011-01-28] (CyberLink Corp.)

HKLM-x32\...\Run: [PlayMovie] => C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe [181480 2011-01-28] (Acer Corp.)

HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated)

Startup: C:\Users\Mirek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aluagent.lnk

ShortcutTarget: aluagent.lnk -> C:\ProgramData\Acer\Acer Updater\aluagent.exe (Acer Incorporated)

 

W karcie Scheduled Tasks odznacz wszystkie obiekty Motoroli:

 

==================== Scheduled Tasks (whitelisted) =============
 

Task: {1EA0F850-DC47-48DE-9853-BFE6B131CF86} - System32\Tasks\Motorola Device Manager Engine => C:\Program Files (x86)\Motorola Mobility\Motorola Device Manager\MotorolaDeviceManagerUpdate.exe [2013-10-31] ()

Task: {2889E20D-95AA-445F-83C5-5390D2B817F1} - System32\Tasks\Motorola Device Manager Initial Update => C:\Program Files (x86)\Motorola Mobility\Motorola Device Manager\MotorolaDeviceManagerUpdate.exe [2013-10-31] ()

Task: {481A515C-4D8B-45F5-9378-00347B1321CD} - System32\Tasks\Motorola Device Manager Update => C:\Program Files (x86)\Motorola Mobility\Motorola Device Manager\MotorolaDeviceManagerUpdate.exe [2013-10-31] ()

Task: {7D408046-6003-4FE6-B40B-28331DCF37CD} - System32\Tasks\MotoCast Update => C:\Program Files (x86)\Motorola Mobility\MotoCast\LiveUpdate\MotoCastUpdate.exe [2012-07-24] ()

 

Zresetuj system. Podsumuj na czym stoimy.

 

 

 

.