Minimalizujące się gry, czarny ekran po zalogowaniu - trzeba ręcznie odpalać explorera

[hubert27]

Witam Problem jak w temacie. Jestem tu nowy więc jak os to przepraszam. Z góry dziekuje za pomoc.

Dosyłam brakująe Logi

Extras.Txt

OTL.Txt

GMER.txt

FRST.txt

[picasso]

Logi częściowo uzupełnione. Jednak instrukcja tworzenia raportu FRST wyraźnie wskazuje, że mają powstać trzy, brakuje jeszcze Addition i Shortcut.

 

W systemie działa infekcja uruchamiana jako Shell bieżącego użytkownika, stąd kłopoty z właściwym załadowaniem Pulpitu. Oprócz tego i śmietnisko adware. Ale nie mam kompletnych danych. Są tu aż trzy konta i logi pochodzą z konta limitowanego:

 

Ran by user (ATTENTION: The logged in user is not administrator) on USER-TOSH on 10-10-2014 12:09:07

Running from C:\Users\user\Desktop

Loaded Profiles: user & user2 (Available profiles: user & user2 & Beatka)

 

Logi z FRST muszą być zrobione z poziomu każdego konta z osobna: po kolei z user, user2 i Beatka. Wyloguj się kompletnie poprzez reset systemu (nie używaj opcji "Przełącz użytkownika..." lub "Wyloguj..." z powrotem na ekran powitalny), zaloguj na wybrane konto i zrób logi FRST. Restart systemu, logowanie na kolejne konto i to samo. I tak aż pozyskam logi z trzech kont.

 

 

 

 

.

[hubert27]

Po pierwsze dziękuje za wyrozumiałość. Mam pytanie może poprostu pozbede sie tych dwóch kont i zrobie jeszcze raz wszystko?

Z tym że konto user powinno być jako administraor. Wieczorem na spokojnie przestudjuje poradnik jak robić logi i może już bedzie ok.

 

- co to oznacza że logi pochodzą z konta limitowanego ?

Pozdrawiam Hubert

[picasso]

- Nie musisz usuwać kont, jeśli nadal z nich korzystasz. Po prostu zaloguj każde po kolei i na każdym zrób osobne logi FRST (pola Addition i Shortcut mają być zaznaczone, by powstały trzy logi). To jest potrzebne po to, by sprawdzić z osobna co się ładuje na każdym z kont oraz osobne profile przeglądarek. Oczywiście, jeśli konta są zbędne, to pozbyć się ich możesz.

- "Logi pochodzą z konta limitowanego" = zrobione z poziomu konta "user", który nie ma uprawnień administracyjnych. Na kontach limitowanych nie uruchamiaj FRST opcją "Uruchom jako Administrator", gdyż to zmieni kontekst zalogowanego konta. Po prostu uruchomienie przez dwuklik.

 

PS. Jutro cały dzień mnie nie ma, więc jakbyś mógł zdążyć z tymi raportami dziś lub jutro bardzo wcześnie rano przed 9. W przeciwnym wypadku chyba dopiero jutro późną nocą odpowiem.

[hubert27]

Przesyłam poprawione. Z góry dziekuje za odpowiedz. Zbędne kontaus unołem.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Widzę, że konto user zmieniłeś w administracyjne i pozostałe konta usunięte. Przechodzimy więc do dzieła. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-216646066-1803096982-1570814584-1000\...\Winlogon: [shell] explorer.exe "C:\Users\user\winlogon.exe" 
HKU\S-1-5-21-216646066-1803096982-1570814584-1000\...\Run: [Akamai NetSession Interface] => C:\Users\user\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.)
HKU\S-1-5-21-216646066-1803096982-1570814584-1000\...\Run: [AdobeBridge] => [X]
HKLM-x32\...\Run: [NPSStartup] => [X]
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
GroupPolicyUsers\S-1-5-21-216646066-1803096982-1570814584-1000\User: Group Policy restriction detected 
R2 Update Framed Display; C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe [522488 2014-10-11] ()
R2 Util Framed Display; C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe [522488 2014-10-11] ()
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys [61072 2014-09-09] (StdLib)
R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64.sys [44688 2014-09-19] (StdLib)
R1 {e9bebce7-deb3-4ab9-896c-549739f208c5}w64; C:\Windows\System32\drivers\{e9bebce7-deb3-4ab9-896c-549739f208c5}w64.sys [48792 2014-10-09] (StdLib)
S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed]
S3 catchme; \??\C:\ComboFix_www.INSTALKI.pl_\catchme.sys [X]
Task: {0AC4590B-B352-4466-8158-21CA9DBB24D3} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{8D0038D4-4EF0-4ABE-B35B-418BAA38AA80}.exe
Task: {2B77B57E-EBB3-44F9-87FB-26B627D5031A} - System32\Tasks\{7A376CED-8B7C-4BB6-8C25-464AF64CF44D} => C:\My Games\Claw\CLAW.EXE
Task: {3DD8A4E3-211A-4A13-B42C-D3F34B085B63} - System32\Tasks\{C11517B2-06FF-4E6A-A7F0-0CEE38DADFDA} => D:\Program Files (x86)\Team17\Worms Armageddon\WA.exe
Task: {47470EEA-0699-4C53-A2C1-B38135A7B142} - System32\Tasks\{47A47B31-B00F-4517-90F0-84A69EEE67E6} => C:\My Games\Claw\CLAW.EXE
Task: {4B40F73C-544C-4065-894F-C5CDFF669837} - System32\Tasks\{A7834056-ACD6-4046-BBEE-E5080E22A268} => Firefox.exe
Task: {91C5AEE6-BCD4-47A2-9B51-2DE28632F706} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{74959142-5E36-4AF5-909A-26EA5E601582}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{74959142-5E36-4AF5-909A-26EA5E601582}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{8D0038D4-4EF0-4ABE-B35B-418BAA38AA80}.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/?a=6PQXfBZBB7&i=26&loc=skw
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141010
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141010
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=12692&tm=342&src=ds&p={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms}
SearchScopes: HKLM-x32 - {487A5031-BB3D-4537-8115-770E45CE60EB} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=12692&tm=342&src=ds&p={searchTerms}
SearchScopes: HKCU - DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQXfBZBB7&loc=skw&search={searchTerms}&i=26
SearchScopes: HKCU - {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKCU - {8748BD03-8DCA-4147-932D-B3E49CBA4CF0} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {929592F9-790B-49EC-A796-179162DE3399} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=A6447EE4-9E42-4AA1-95B3-1FAA3AF7AF6D&apn_sauid=0D422B7A-F554-4D4E-A41C-01A1948CA1BE
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={FD94A2D7-0F40-4C2B-A34C-90D8E1873C43}&mid=cf479413431b47d0b97ba113f091afd1-b949a1d645d0559ad8272ba26ecad3d243b9ce3d&lang=pl&ds=xn011&pr=sa&d=2013-01-15 20:51:43&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=12692&tm=342&src=ds&p={searchTerms}
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQXfBZBB7&loc=skw&search={searchTerms}&i=26
BHO: No Name -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File
BHO-x32: Framed Display -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplaybho.dll (Framed Display)
BHO-x32: No Name -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\IB Updater\Firefox
FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\IB Updater\Firefox
FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon
FF HKLM-x32\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\IB Updater\Firefox
FF HKLM-x32\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\IB Updater\Firefox
FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\user2\AppData\Roaming\Mozilla\Firefox\Profiles\8lbk2hod.default\extensions\faststartff@gmail.com
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml
C:\Program Files\IB Updater
C:\Program Files (x86)\Google
C:\Program Files (x86)\McAfee Security Scan
C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\PennyBee
C:\Program Files (x86)\RelevantKnowledge
C:\Program Files (x86)\StartSearch plugin
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex Demo
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
C:\ProgramData\TEMP
C:\Users\user\install_flash_player.exe
C:\Users\user\uidsave.dat
C:\Users\user\AppData\Local\Google
C:\Users\user\AppData\Roaming\Systweak
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Qsoft
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk
C:\Windows\msdownld.tmp
C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP
C:\Windows\pss\McAfee Security Scan Plus.lnk
C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys
C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64.sys
C:\Windows\System32\drivers\{e9bebce7-deb3-4ab9-896c-549739f208c5}w64.sys
C:\Windows\SysWow64\Drivers\StarOpen.sys
RemoveDirectory: C:\Users\user2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
CMD: sc config "Internet Manager. RunOuc" start= demand
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\Users\user\AppData\Local
CMD: dir /a C:\Users\user\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, problem z uruchamianiem Pulpitu powinien ustąpić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Framed Display, wątpliwy program SpyHunter oraz zbędny Akamai NetSession Interface.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie potem przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[hubert27]

Ok pulpit odpala się ładnie. Wszystko zrobiłem zgodnie z poleceniem. załączam logi.

Fixlog.txt

FRST.txt

[picasso]

Wszystko gładko przetworzone. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: netsh advfirewall reset
C:\Program Files\Alwil Software
C:\Program Files\Enigma Software Group
C:\Program Files\Google
C:\Program Files (x86)\Conduit
C:\Program Files (x86)\DAEMON Tools Toolbar
C:\Program Files (x86)\Framed Display
C:\Program Files (x86)\McAfee
C:\Program Files (x86)\Opera
C:\Program Files (x86)\Settings Manager
C:\Program Files (x86)\SiteLookup
C:\Program Files (x86)\Temp
C:\Users\user\AppData\Local\Optimizer.txt
C:\Users\user\AppData\Local\Temp*.html
C:\Users\user\AppData\Local\Akamai
C:\Users\user\AppData\Local\cache
C:\Users\user\AppData\Local\OpenCandy
C:\Users\user\AppData\Local\Opera Software
C:\Users\user\AppData\Roaming\OpenCandy
C:\Users\user\AppData\Roaming\Opera Software
C:\Users\user\AppData\Roaming\TuneUp Software
RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox
DeleteKey: HKLM\SOFTWARE\Google
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie kolejny plik fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Przedstaw logi fixlog.txt i z AdwCleaner.

 

 

 

.

[hubert27]

witam poprawił się dzwięk systemu gry juz się nie minimalizują generalnie czuje się ze komputer sprawniej chodzi przesyłam logi

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Wszystko zrobione. Kroki końcowe:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu foldery typu "logi...". Popraw za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[hubert27]

Ok wszystko zrobiłem jak było. Załączam log.

Na koniec jeszcze chciał bym serdecznie podziekować za poświęcony mi czas.

Pozdrawiam Hubert:)

 

^{* Dożucam do świnki skarbonki:)}

DelFix.txt

[picasso]

Potwierdzam wykonanie. Możesz usunąć plik C:\DelFix.txt z dysku.

 

Temat rozwiązany. Zamykam. I wielkie dzięki za dorzucenie do świnki!