XP SP2 z Avast - restart komputera przy uruchamianiu jakiegokolwiek programu

[daner]

Witam jestem tu nowy, i od tygodnia (od 1.12.2014) walczę z dziwnym dla mnie przypadkiem. Zaczęło się od wyłączenia przeze mnie osłon antywirusa na 10min
System Win XP SP2 z antywirusem Avast, zachowuje sie następująco: próba uruchomienia jakiejkolwiek aplikacji (notatnik, menadżer zadań czy pain) kończy się restartem komputera.
przy wyłaczonych osłonach Avasta możliwe jest uruchomienie prawie wszystkich programów i wszystko działa sprawnie, wyjątkiem są przegladarki internetowe IE oraz Mozilla. Przy próbie uruchomienia znowu restart komputera. Co ciekawe uruchomienie Opery portable umożliwia normalne przeglądanie stron www.
Podejmowane dotąd działania:
skanowanie Avastem przed ładowaniem systemu
skanowanie Kaspersky Rescue Disk 10.0 (log w załaczeniu)
skanowanie Spybot - Search & Destroy
skanowanie Malwarebytes Anti-Malware (logi w załączeniu)
skanowanie Panda Cloud Cleaner (log w załączeniu)
skanowanie ESET Online Scanner (log w załączeniu)
Aktualnie w/w skanery nie znajdują zagrożeń, a sytuacja nadal bez zmian na lepsze.
Proszę o pomoc. Z góry dziękuję

Logi z FRST, OTL i SecurityCheck.

 

 

Results of screen317's Security Check version 0.99.91
Windows XP Service Pack 2 x86
Out of date service pack!!
Internet Explorer 6 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Please wait while WMIC compiles updated MOF files.displayName

ECHO jest wyĄczone.
avast!
ECHO jest wyĄczone.
Antivirus
ECHO jest wyĄczone.
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Out of date Spybot installed!
Out of date HijackThis installed!
Spybot - Search & Destroy 1.5.2.20
Spybot - Search & Destroy
HijackThis 2.0.2
Panda Cloud Cleaner
EasyCleaner
Java 7 Update 17
Java 6 Update 5
Java 2 Runtime Environment, SE v1.4.0_03
Java version 32-bit out of Date!
Adobe Flash Player 10 Flash Player out of Date!
Adobe Flash Player 11.1.102.62 Flash Player out of Date!
Mozilla Firefox 23.0.1 Firefox out of Date!
````````Process Check: objlist.exe by Laurent````````
Alwil Software Avast5 AvastSvc.exe
Alwil Software Avast5 avastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

ScanObject Kaspersky Rescue Disk 10.0.txt

Malwarebytes Anti-Malware 0.txt

Malwarebytes Anti-Malware 1.txt

PandaCloudCleaner.txt

Shortcut.txt

Addition.txt

FRST.txt

OTL.Txt

Extras.Txt

[picasso]

Zabrakło obowiązkowego raportu z GMER - proszę dostarcz go.

 

 

Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski

Internet Explorer Version 6

 

Od razu nadmienię, że na takiej bombie daleko nie pociągniesz. To jest zupełnie niezałatany system ze stanem aktualizacji z roku 2004, bardzo silnie uzależniony od rozwiązań trzecich (wystarczy awaria antywirusa lub innego zabezpieczenia i droga wolna do ataków robaków z sieci i innych malware). Tu jest konieczna aktualizacja do SP3 (2008) + IE8 + reszta łat z Windows Update (ostatnie łaty są 2013/2014). Instalacji będzie od groma.

[daner]

Dołączam brakujący raport z GMER.  Przepraszam że tak długo trwało. Jednak mimo odinstalowania Daemon Tools i wyczyszczenia rejestru zgodnie z instrukcją, program GMER kilkanaście razy spowodował mi podczas skanowania niebieski ekran i zamknięcie systemu. W końcu się udało. Dodaję raporty (2) z szybkiego skanu i ze skanu partycji systemowej C. Mam nadzieję że fakt iż są to raporty z dwóch różnych uruchomień GMER nie będą miały znaczenia (na mój gust chyba niewiele się różnią).

 

Mam świadomość że większość oprogramowania w moim komputerze jest już "przeterminowana", dopóki było bezproblemowo to nic z tym nie kombinowałem, teraz rzeczywiście trochę instalowania mnie czeka. SP3 to nie problem, przeglądarka - IE można całkiem wywalić i tak korzystałem zawsze z mozilli i to nie najnowszej, z powodu wygodnego dla mnie interfejsu.

gmer szybki skan.txt

gmer scan dysk C.txt

[picasso]

SP3 to nie problem, przeglądarka - IE można całkiem wywalić i tak korzystałem zawsze z mozilli i to nie najnowszej, z powodu wygodnego dla mnie interfejsu.

Z IE błędny trop. Nie jest możliwa deinstalacja tego komponentu, system udostępnia tylko "ukrycie dostępu" (schowanie skrótów), ale silnik IE i tak jest na chodzie i korzystają z niego system i zewnętrzne aplikacje. Są owszem metody nieoficjalne brutalnego wycinania komponentu, ale to może mieć skutki uboczne, bo są aplikacje potrzebujące silnika IE. IE6 musi być zaktualizowany do IE8, pomimo że korzystasz z innej przeglądarki. Nienajnowszy Firefox to osobna sprawa - to są luki bezpieczeństwa.

 

 

W Harmonogramie zadań Windows widzę szkodliwe zadania infekcji, prócz tego jeszcze jakieś odpadki i przekierowania typu adware na go.mail.ru.

 

 

 

Task: C:\WINDOWS\Tasks\At1.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At10.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At11.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At12.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At13.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At14.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At15.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At16.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At17.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At18.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At19.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At2.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At20.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At21.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At22.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At23.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At24.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At25.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At26.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At27.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At28.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At29.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At3.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At30.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At31.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At32.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At33.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At34.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At35.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At36.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At37.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At38.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At39.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At4.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At40.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At41.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At42.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At43.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At44.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At45.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At46.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At47.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At48.job => C:\WINDOWS\system32\IIx6lxmO.exe

Task: C:\WINDOWS\Tasks\At5.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At6.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At7.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At8.job => C:\WINDOWS\system32\18y4ImjX.exe

Task: C:\WINDOWS\Tasks\At9.job => C:\WINDOWS\system32\18y4ImjX.exe

 

 

 

I tu będzie konieczne zamykanie luk. Prócz wspominanych aspektów samej platformy XP, są dodatkowe problemy w postaci archaicznych programów mających spory udział w złapaniu infekcji m.in. Java - raj dla infekcji (m.in. z powodu exploitów Java na forum była jakiś czas temu plaga tzw. "infekcji policyjnych" blokujących wejście do systemu). Do wdrożenia następujące operacje:

 

1. Przez Dodaj/Usuń programy odinstaluj starocie: ACE Mega CoDecS Pack, Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, ffdshow [rev 1738] [2008-01-01], J2SE Runtime Environment 5.0 Update 8, Java 2 Runtime Environment, SE v1.4.0_03, Java 7 Update 17, Java™ 6 Update 5, Spybot - Search & Destroy i Spybot - Search & Destroy 1.5.2.20. Tak, te kodeki też, to archaizmy które mogą tworzyć poważne problemy w powłoce eksploratora.

 

2. Wyczyść Firefox z ruskich przekierowań: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus + DownloadHelper trzeba będzie przeinstalować.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
U3 hdvyjxyxqmkh; No ImagePath
U3 laabhyqiggnl; No ImagePath
U3 stbyyqrcqsvf; No ImagePath
U3 wdddcnhfodbs; No ImagePath
S3 PC Camera ; system32\DRIVERS\pa3106hk.sys [X]
S3 USBET; system32\DRIVERS\ETdrv.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
HKU\S-1-5-21-1606980848-1284227242-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
C:\Documents and Settings\darek\Dane aplikacji\Thinstall
C:\WINDOWS\Tasks\At*.job
C:\WINDOWS\system32\18y4ImjX.exe
Hosts:
CMD: netsh firewall reset
CMD: regsvr32 /u /s "C:\Downloads\Nowy folder\BitComet_1.12\tools\bitcometbho.dll"
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wykonaj kompleksową aktualizację Windows - wszystkie łaty z Windows update (bazowy SP3 jest bardzo stary i po nim wydane mnóstwo innych łat). Nie zapomnij o IE8.

 

5. Zrób nowy log FRST z opcji Scan - zaznacz pole Addition, by powstały dwa logi ponownie. Dołącz też plik fixlog.txt.

 

 

 

 

.

[daner]

Być może trochę narozrabiałem zanim wykonałem fixlist.txt.

Ale po kolei: Przez Dodaj/Usuń programy usunąłem J2SE Runtime Environment 5.0 Update 8, Java 2 Runtime Environment, SE v1.4.0_03, Java 7 Update 17, Java 6 Update 5, Spybot - Search & Destroy i Spybot - Search & Destroy 1.5.2.20. oraz Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin

 

ACE Mega CoDecS Pack, ffdshow [rev 1738] [2008-01-01],  zostały ponieważ po odinstalowaniu ACE Mega CoDecS Pack niemożliwe było poprawne odtwarzanie filmów (przy odinstalowywaniu usunąłem współdzielone biblioteki i kodeki) więc cofnąłem zmiany, natomiast próba usuniecia ffdshow [rev 1738] [2008-01-01] daje komunikat jak na obrazku (czyżby dlatego  że chciałem go usunąć dopiero po fix-ie?)

 

punkt 2 wykonany w trybie awaryjnym , ale zrobione z powodzeniem.

 

Niestety zasadniczego problemu restartu komputera przy uruchamianiau jakiejkolwiek aplikacji nie adało się rozwiazać, więc nie robiłem już aktualizacji jak w p. 4.

Zrobiłem nowe logi z FRST (w załączeniu + fixlog.txt)

 

Zastanawiam się czy może pomóc próba odinstalowania i na nowo zainstalowania avasta, lub próba naprawy systemu z płytki instalacyjnej XP?.

Przy okazji tego posta szukając IE8 na oficjalnej stronie MS otrzymałem takie info:

 

Internet Explorer 8 is not compatible with your system.

Zainstalowana wersja to Windows XP 32-bit. Mimo że Internet Explorer 8 nie będzie działać w tym systemie, możesz pobrać Internet Explorer 8 dla innych systemów."

Czy zatem mozna pobrać Internet Explorer 8 PL (Windows XP) ze strony np. http://www.pcworld.pl/ftp/pobierz/pc/20042.html ?

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

ACE Mega CoDecS Pack, ffdshow [rev 1738] [2008-01-01], zostały ponieważ po odinstalowaniu ACE Mega CoDecS Pack niemożliwe było poprawne odtwarzanie filmów (przy odinstalowywaniu usunąłem współdzielone biblioteki i kodeki) więc cofnąłem zmiany

Naprawdę niepotrzebnie odwracałeś deinstalację ACE Mega CoDecS Pack. Jest to dziadostwo - archaiczny pakiet zawierający zbyt dużo kodeków i mogący tworzyć problemy w eksploratorze. Odinstaluj. Sprawę kodeków będziesz rozwiązywał na końcu. Np. instalacja najnowszej wersji bazowego K-Lite. Albo w ogóle zrezygnować z kodeków, przecież spokojnie można używać odtwarzacz mający wbudowane kodeki (np. VLC Media Player). O tym pogadamy po pozbyciu się próchna z systemu.

 

 

natomiast próba usuniecia ffdshow [rev 1738] [2008-01-01] daje komunikat jak na obrazku (czyżby dlatego że chciałem go usunąć dopiero po fix-ie?)

Mój Fix nie ma nic wspólnego z deinstalacjami kodeków. To jest po prostu uszkodzona instalacja, a od kiedy uszkodzona to nie wiadomo, program strasznie stary. Ten martwy wpis spróbuj usunąć za pomocą Revo Uninstaller Freeware.

 

 

Przy okazji tego posta szukając IE8 na oficjalnej stronie MS otrzymałem takie info:

 

Internet Explorer 8 is not compatible with your system.

Zainstalowana wersja to Windows XP 32-bit. Mimo że Internet Explorer 8 nie będzie działać w tym systemie, możesz pobrać Internet Explorer 8 dla innych systemów."

Czy zatem mozna pobrać Internet Explorer 8 PL (Windows XP) ze strony np. http://www.pcworld.pl/ftp/pobierz/pc/20042.html ?

To standardowy komunikat tam pokazywany w chwili obecnej. Microsoft usunął przecież wsparcie dla XP i skrzętnie usunął też wszystkie oczywiste odnośniki pobierania IE8. Nie pobieraj z PC Word, bezpośredni instalator IE8 (Polski) z serwera Microsoftu jest w przyklejonym: KLIK. Z linka pobierzesz IE8-WindowsXP-x86-PLK.exe. A ten plik IE8-Setup-Full.exe z PC Word to raczej nie jest polski instalator, bo we Właściwościach pliku stoi "Język: Angielski".

 

Nawiasem mówiąc kierowałam Cię przecież na Windows update (powinno wszystko podstawić) uruchomione z poziomu Twojego systemu, bo tu nie tylko SP3 i IE8 jest wymagane. System ma potężne zaległości.

 

 

Zastanawiam się czy może pomóc próba odinstalowania i na nowo zainstalowania avasta, lub próba naprawy systemu z płytki instalacyjnej XP?

Naprawa XP z płytki a kysz, zdegradujesz jeszcze bardziej aktualizacje. Tu instalacja SP3 będzie "naprawą" (przeładowanie prawie wszystkich plików Windows i nowe wersje plików). Na razie to tu jest system w rozsypce, nie wykonałeś jeszcze aktualizacji systemu (nadal SP2 + IE6).

 

Avast owszem też będzie do reinstalacji, bo to wersja 8.0.1483.0. Najnowszy Avast to 10.0.2208: KLIK.

 

 

 

W podsumowaniu: robisz pełną aktualizację systemu, deinstalujesz wymienione programy, wstawiasz najnowszy Avast, a na koniec log FRST (z Addition) do wglądu.

[daner]

Dziękuję za dotychczasową pomoc. Zasadniczy problem resetowania systemu zniknął po wywaleniu chwasta tzn. Avasta. Oczywiscie prócz tego zainstalowałem SP3+IE8 nową wersję Mozilli i antywirusa. Po deinstalacji ACE Mega CoDecS został w starcie folder ze skrótami do programów od multimediów, ale to chyba nie problem. Dorzucam logi z FRST. Jak na mój gust to komputer już mógłby tak zostać, choć i tak pewnie trzeba się będzie przygotować na zakup nowego sprzetu bo wydajnosciowo to teraz już za dobrze nie jest, a na nowszych wersjach windowsa pewnie się zamuli całkowicie.

 

FRST.txt

Shortcut.txt

Addition.txt