Nagłe spowolnienie pracy komputera + dziwne strony

[Asia]

Hej

 

Od wczoraj strasznie zwolnił mi system i jakiekolwiek włączenie programu wiążę się z długim oczekiwaniem. W dodatku od jakiegoś tygodnia w firefoxie podczas włączania otwiera się strona hxxp://www.tomaszkowalczuk.com/?id=8d492f&campaign=1472&sub=pluginPL

FRST.txt

gmer.txt

Addition.txt

Shortcut.txt

OTL.Txt

[picasso]

Jest tu bardzo silnie zmodyfikowany nieoryginalny system XP (instalowany z jakiejś przerobionej płyty), w którym nie działa WMI. Ta funkcjonalność jest wykorzystywana przez FRST do poboru nazw spakowanych rozszerzeń Firefox (XPI), co tu się nie udało ze względu na oczywiste braki w systemie. Na pewno jest adware w Firefox (na oko widzę conajmniej 1 lub 2 obiekty), tylko proszę dla porównania (by szybko połączyć identyfikatory z nazwą wyświetlaną) o zrzut ekranu z rozszerzeń Firefox. Rozwiń okno tak, by było widać wszystkie pozycje.

 

PS. A to omijam sugerując się poprzednim wątkiem (KLIK):

 

HKU\S-1-5-21-1491950412-2009852829-4049741679-500\...\Run: [svhost] => C:\WINDOWS\System32\svhost.exe [444416 2007-04-09] ()

[Asia]

w załącznikach

tak, svhost to mój program

[picasso]

Wszystko jasne, tak jak już mówiłam, są dwa obiekty adware w Firefox, tylko jeden wyłączony, drugi wręcz przeciwnie.

 

1. W Rozszerzeniach Firefox odinstaluj hdplugin final (to fałszywa wtyczka, produkuje przekierowania) oraz Site Matcher.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Toolbar: HKU\S-1-5-21-1491950412-2009852829-4049741679-500 -> No Name - {EEF280F3-B6ED-46D8-A8FD-57BD0C4A9ECF} - No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\tmaw22zk.default-1396274136437\Extensions\staged(2)
C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy
C:\Documents and Settings\Administrator\Dane aplikacji\SimilarAddon
C:\Documents and Settings\Administrator\Dane aplikacji\Solvusoft
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\FileViewPro
C:\WINDOWS\system32\roboot.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz COMODO, bo przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[Asia]

załączniki

Fixlog.txt

FRST.txt

[picasso]

Coś tu poszło bardzo nie tak.

 

1. Po pierwsze, żadnych oznak deinstalacji rozszerzeń adware, oba wymieniane są nadal w Firefox. Co Ty właściwie robiłaś w Firefox?

 

FF Extension: Site Matcher - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\tmaw22zk.default-1396274136437\Extensions\sitematcher_src@sitematcher_src.com [2014-07-18]

FF Extension: No Name - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\tmaw22zk.default-1396274136437\Extensions\jid0-aSChrRyNMdJxBmorrZFa2r4Vv4w@jetpack.xpi [2014-11-17]

 

2. Po drugie, dodatkowy Fix się nawet nie wykonał - doszedł do drugiej linii i stop. Ponadto, pojawiły się jakieś dodatkowe szkody (ubytki QT Breadcrumbs Address Bar, QT TabBar i QT Tab Standard Buttons) nie wiadomo z jakiej przyczyny:

 

Toolbar: HKLM - QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation)

Toolbar: HKLM - QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation)

Toolbar: HKLM - QT Tab Standard Buttons - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation)

 

vs.

 

Toolbar: HKLM - No Name - {af83e43c-dd2b-4787-826b-31b17dee52ed} - No File

Toolbar: HKLM - No Name - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - No File

Toolbar: HKLM - No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File

 

Czy na pewno COMODO był wyłączony? Co widziałaś podczas opcji przetwarzania Fix? I trzeba odzyskać poprzednią wersję wpisów. Otwórz Notatnik i wklej w nim:

 

Reg: reg load HKLM\TMP C:\FRST\Hives\SOFTWARE
Reg: reg export "HKLM\TMP\Microsoft\Internet Explorer\Toolbar" "C:\Documents and Settings\Administrator\Pulpit\toolbar.reg"
Reg: reg unload HKLM\TMP

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Na Pulpicie powstanie plik toolbar.reg. Otwórz do edycji w Notatniku i zamień HKEY_LOCAL_MACHINE\TMP na HKEY_LOCAL_MACHINE\SOFTWARE. Uruchom plik i potwierdź import do rejestru. Zrób nowy log FRST z opcji Scan.

 

 

 

.

[Asia]

Podczas przetwarzania fixa nie było nic widać po sekundzie pojawił się log, bez restartu.

 

FRST.txt

[picasso]

Co do Fix - czyżby COMODO tu zbroił coś? Wpisy Toolbar nadal uszkodzone. Poproszę o kolejne dane. Wklej do Notatnika:

 

Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{af83e43c-dd2b-4787-826b-31b17dee52ed} /s
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{d2bf470e-ed1c-487f-a333-2bd8835eb6ce} /s
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE} /s
CMD: type "C:\Documents and Settings\Administrator\Pulpit\toolbar.reg"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[Asia]

załącznik

comodo cały czas wyłączony, nie mam pojęcia

Fixlog.txt

[picasso]

Dane są dziwne - brak dostępu do podanych kluczy oraz nieznalezienie pliku toolbar.reg na Pulpicie. Plik był - czy go skasowałaś stamtąd? Przejdź w Tryb awaryjny Windows i ponów ostatni Fix ale zmodyfikowany do poniższej treści:

 

ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{af83e43c-dd2b-4787-826b-31b17dee52ed}
ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{d2bf470e-ed1c-487f-a333-2bd8835eb6ce}
ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE}
ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{af83e43c-dd2b-4787-826b-31b17dee52ed} /s
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{d2bf470e-ed1c-487f-a333-2bd8835eb6ce} /s
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE} /s

 

Przedstaw wynikowy fixlog.txt.

[Asia]

Plik już został przywrócony, przepraszam

załącznik z trybu awaryjnego

Fixlog.txt

[picasso]

Te klucze są totalnie zablokowane. Spróbuj (ciągle siedząc w Trybie awaryjnym) zapuścić taki oto skrypt fixlist.txt do FRST:

 

Unlock: HKLM\SOFTWARE\Classes\CLSID\{af83e43c-dd2b-4787-826b-31b17dee52ed}
Unlock: HKLM\SOFTWARE\Classes\CLSID\{d2bf470e-ed1c-487f-a333-2bd8835eb6ce}
Unlock: HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE}

 

Przedstaw wynikowy fixlog.txt.

[Asia]

zalacznik

Fixlog.txt

[picasso]

Nie został odblokowany trzeci klucz, co się działo podczas opcji Fix? Ładuj kolejny fixlist.txt o treści:

 

Unlock: HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE}

 

Przedstaw wynikowy fixlog.txt.

[Asia]

Odświeża się jakby ekran i tworzy log

Fixlog.txt

[picasso]

Wyłącz całkowicie komputer, następnie go włącz, wejdź w Tryb normalny i zrób mi nowy log FRST z opcji Scan (bez Addition i Shortcut).

[Asia]

załącznik

FRST.txt

[picasso]

Jest znacznie lepiej, dwa wpisy odblokowane, został trzeci:

 

Toolbar: HKLM - QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation)

Toolbar: HKLM - QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation)

Toolbar: HKLM - No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File

 

Przejdź ponownie w Tryb awaryjny, powtórz ostatni Fix i przedstaw rezultaty.

[Asia]

udało się

Fixlog.txt

[picasso]

Nareszcie. Teraz musimy dokończyć to co się poprzednio nie wykonało:

 

1. Z poziomu Trybu awaryjnego zaaplikuj kolejny fixlist.txt o treści:

 

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\tmaw22zk.default-1396274136437\Extensions\staged(2)
C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy
C:\Documents and Settings\Administrator\Dane aplikacji\SimilarAddon
C:\Documents and Settings\Administrator\Dane aplikacji\Solvusoft
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\FileViewPro
C:\WINDOWS\system32\roboot.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox\Extensions /v {20a82645-c095-46ed-80e3-08825760534b} /f
EmptyTemp:

 

2. Przejdź w Tryb normalny, podaj wynikowy fixlog.txt oraz nowy skan FRST (bez Addition i Shortcut).

[Asia]

zrobione, restart też był

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. W ostatnim podejściu usuwałam stare rozszerzenie. NET Framework z Firefox. Uruchom Firefox ponownie, by zaktualizował sobie plik extensions.ini.

 

2. Usuń używane narzędzia za pomocą DelFix (GMER dokasuj ręcznie): KLIK.

 

3. Odinstaluj stare wersje Adobe Flash i Java na korzyść najnowszych, zaktualizuj też Operę: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.1.102.64 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 14 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 14.0.0.125 - Adobe Systems Incorporated) ----> wtyczka dla FF

Java 7 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217060FF}) (Version: 7.0.600 - Oracle)

Opera Stable 25.0.1614.50 (HKLM\...\Opera 25.0.1614.50) (Version: 25.0.1614.50 - Opera Software ASA)

[Asia]

Zrobione, dziękuje bardzo za pomoc