Wolna praca systemu i problemy z internetem

[dasqez]

Witajcie,

 

Znajomy poprosił mnie, żebym zajął się naprawą jego komputera. Problem polega na tym, że prawdopodobnie w systemie pojawiło się kilka pomniejszych rootkitów/adwareów.

 

Objawy są następujące: spowolnione działanie systemu, problemy z pobieraniem plików (dochodzi do 99% i ani myśli ruszyć dalej), jak również problemy z wyświetlaniem filmików (youtube, cda.pl, etc.) objawiające się tym, że filmik idzie kilka sekund, po czym pojawia się zielony ekran w miejscu samego filmiku i nie idzie dalej.

 

Do posta załączam skany z programów OTL i FRST. Niestety, logów z GMERa nie dałem rady załączyć, a to dlatego, że po skanowaniu, gdy chcę kliknąć "Kopiuj" program zawiesza się (również w trybie awaryjnym). Próbowałem kilkukrotnie, ale że jedno skanowanie trwa niemal 2 godziny, to muszę odpuścić. Dodatkowo z tego co widzę uruchomiony został wcześniej Adwcleaner, niestety z tym nie miałem co zrobić.

 

Za analizę logów i pomoc jak zwykle serdecznie dziękuję.

 

PS.

Zależy mi na czasie, bo znajomy wyjeżdża jutro z miasta.

 

EDIT: Dodaję log z GMER, jednak bez dysku Q:, który jest de facto partycją do szybkiej instalacji pakietu Office. Lepsze to, niż nic.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

GMER.txt

[picasso]

EDIT: Dodaję log z GMER, jednak bez dysku Q:, który jest de facto partycją do szybkiej instalacji pakietu Office. Lepsze to, niż nic.

Wirtualny dysk Q nie liczy się.

 

 

Owszem, są tu nadal obiekty adware, mimo iż zapuszczono AdwCleaner. Jeśli nadal masz dostęp do komputera:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM-x32\...\Run: [CMD] => cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20130909 (exit) else (start http://alt-rutor.org && exit)
R2 Update ClearThink; C:\Program Files (x86)\ClearThink\updateClearThink.exe [522480 2014-10-04] ()
S3 RTCore64; \??\C:\Program Files (x86)\MSI Afterburner\RTCore64.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140608
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140608
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
FF Plugin-x32: @google.com/npPicasa3,version=3.0.0 -> C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll No File
Task: {02FBFF72-2E5A-4197-8EDD-14CBB671284B} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {AC4F2659-6DF9-4D9E-A268-2CC686B2655A} - System32\Tasks\{B4FF74B2-C2EE-483C-A61D-A35AFAEDAE9C} => C:\Program Files (x86)\Grand Theft Auto IV\GTAIV.exe
Task: {EA7B833D-28BC-44B2-972F-08CF593FE8E8} - System32\Tasks\MSIAfterburner => C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe
Task: {F5E047D3-56A1-406D-A9FC-ACC070A607DF} - System32\Tasks\DriverEasy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe
Task: C:\Windows\Tasks\DriverEasy Scheduled Scan.job => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
C:\Program Files (x86)\ClearThink
C:\Program Files (x86)\GUTEC71.tmp
C:\Program Files (x86)\GUMEC70.tmp
C:\ProgramData\Temp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee
C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MSI Afterburner
C:\Users\Acer\AppData\Roaming\Thinstall
C:\Users\Acer\Documents\Acer programy\McAfee Internet Security Suite.lnk
C:\Windows\1C4551A64743409391E41477CD655043.TMP
C:\Windows\msdownld.tmp
C:\Windows\system32\log
C:\Windows\SysWOW64\sqlite3.dll
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FixMyRegistry
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeedUpMyComputer
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UpdateMyDrivers
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
CMD: for /d %f in (C:\Users\Acer\AppData\Local\{*}) do rd /s /q "%f"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Specjalny skrót IE jest uszkodzony (prawdopodobnie AdwCleaner niepoprawnie go czyścił):

 

Shortcut: C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj adware ClearThink
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane roszerzenia zostaną wyłączone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner.

 

 

 

 

.

[Cisowiaka]

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140608

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140608

 

@picasso co w tych wpisach jest złego.

[picasso]

Przekierowania gazeta.pl mogą zostać dodane przez jakiś instalator "promujący stronę". Przykład niechcianej modyfikacji: KLIK. Tu jest na dodatek modyfikacja po stronie HKLM a nie HKCU, co wskazuje na ingerencje inne niż przez opcje przeglądarki. Kolejny przykład niepożądanej modyfikacji to ustawienie strony startowej wp.pl wymuszane w "Asystencie pobierania" dobrychprogramów.pl (screen zrobiłam gdzieś w połowie sierpnia będąc na wakacjach w Polsce):

 

 

Dużo jest takich możliwości z polskimi portalami promującymi się w postaci stron startowych i wyszukiwarek. Oczywiście jest też możliwe, iż ktoś samodzielnie celowo to ustawił. Ale w tym przypadku po prostu może sobie ustawić ręcznie ponownie. Czyszczenie nie jest inwazyjne, to tylko przywrócenie strony startowej do stanu domyślnego.