Samoistne restarty, niechciane pliki

[Tom75]

Witam,

Kilka dni temu podczas ściągania (nie pamiętam juz jakich) programów, nieopatrznie pobrałem róznież Adware. Strona startowa się zmieniła i samoczynnie otwuerały się podstrony. Zastosowałem ADWCleaner, czasem go stosuję w celu czyszczenia. Raport z usuwania równiez załączam. W logach widzę nieznane mi pliki, ale prosże o wskazówki abym to dobrze zrobil.

 

Od dluzszego czasu borykam się z zacinającymi się filmami w przeglądarce, zacina się wtyczka i czasem się odwiesi a czasem musze fizycznie go restartować. Próbowałem reinstalację FlashPlayera, ale i tak potrafi się zwiesić. Do tego przy takim zawieszeniu czasem pojawia się okno o przerwaniu lub kontynuowaniu skryptu. ? Nie wiem w czym rzecz.

 

Komputer potrafi się samoczynnie wyłączyć, nie zrestartować.

W podglądzie zdarzeń mam takie błędy:

 

Na potrzeby każdej aplikacji ładowane są niestandardowe biblioteki DLL. Administrator systemu powinien przejrzeć listę bibliotek, aby się upewnić, że są związane z zaufanymi aplikacjami.

 

Nie można załadować następujących sterowników startu rozruchowego lub systemowego:
ccnfd_1_10_0_4

 

Sterownik sptd.sys odinstalowany, ale nie wiem czy poprawnie bo nie moge do końca poczekać na wynika Gmer'a.

Niestety dwukrotna próba skanowania Gmer'em kończyła się niepowodzeniem. Błąd w załączeniu.

 

 

Za pomoc w uzyskaniu porządku będę wdzięczny, bardzo.

 

Pozdrawiam

Addition.txt

FRST.txt

Shortcut.txt

OTL.Txt

Extras.Txt

AdwCleanerR15.txt

błąd Gmer.txt

[picasso]

Od dluzszego czasu borykam się z zacinającymi się filmami w przeglądarce, zacina się wtyczka i czasem się odwiesi a czasem musze fizycznie go restartować. Próbowałem reinstalację FlashPlayera, ale i tak potrafi się zwiesić. Do tego przy takim zawieszeniu czasem pojawia się okno o przerwaniu lub kontynuowaniu skryptu. ? Nie wiem w czym rzecz.

W podanych raportach żadnych czynnych obiektów infekcji. Jeśli problemy nadal występują już po czyszczeniu adware, przyczyną nie jest adware - podejrzenia budzi strona przeciwna, a konkretnie COMODO (zwłaszcza) i/lub Avast.

 

 

W podglądzie zdarzeń mam takie błędy:

 

Na potrzeby każdej aplikacji ładowane są niestandardowe biblioteki DLL. Administrator systemu powinien przejrzeć listę bibliotek, aby się upewnić, że są związane z zaufanymi aplikacjami.

 

Nie można załadować następujących sterowników startu rozruchowego lub systemowego:

ccnfd_1_10_0_4

- Pierwszy rekord to nie błąd lecz ostrzeżenie i jest do zignorowania. "By design". Te ostrzeżenia produkują modyfikacje wartości AppInit_DLLs, i to niezależnie czy są od poprawnego programu czy od szkodliwego. I to jakaś nieświeża sprawa, bo w logu w ogóle nie ma takiej modyfikacji widzianej.

- Drugi rekord to szczątkowy sterownik adware Click Caption, nie ładuje się = nie ma wpływu na system.

 

 

Sterownik sptd.sys odinstalowany, ale nie wiem czy poprawnie bo nie moge do końca poczekać na wynika Gmer'a.

Niestety dwukrotna próba skanowania Gmer'em kończyła się niepowodzeniem. Błąd w załączeniu.

Wg FRST sterowniki (dwa) od emulacji są uruchomione...

 

R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2013-10-28] (DT Soft Ltd)

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-05-06] (Duplex Secure Ltd.)

 

Inne przeszkody: COMODO + Avast w tle.

 

 

 

---

W podsumowaniu - tylko drobne korekty kosmetyczne, nie mają związku z przyśpieszeniem / "odwieszaniem" systemu:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S3 ASPI; C:\Windows\SysWOW64\DRIVERS\ASPI32.sys [84832 2002-07-17] (Adaptec) [File not signed]
S3 StarOpen; No ImagePath
S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X]
S3 cpuz134; \??\C:\Users\Tomasz\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
Task: {A7BA112B-32CA-426A-AFAF-03FE2DB9A9B9} - System32\Tasks\{5F3E0490-7D36-4EE5-9874-8F6B63A16F2F} => pcalua.exe -a C:\Users\Tomasz\Downloads\wmp11-windowsxp-x86-PL-PL.exe -d C:\Users\Tomasz\Downloads
Task: {D2B2E1F9-2835-45B6-9845-4D63C93E98DB} - System32\Tasks\{308914FC-20A1-405D-9697-BA8E5F547294} => pcalua.exe -a "C:\Program Files (x86)\City Interactive\Art of Murder - The Secret Files\MystSetupVideo.exe" -d "C:\Program Files (x86)\City Interactive\Art of Murder - The Secret Files"
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141213
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141213
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-982444412-3476734116-3304893916-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141213
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\PopCap Games
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PopCap Games
C:\ProgramData\PopCap Games
C:\ProgramData\TEMP
C:\ProgramData\Trymedia
C:\Users\Tomasz\AppData\Roaming\VSRevoGroup\RevoUninstaller\ADAU\McAfee Security Scan Plus.lnk
C:\Windows\system32\Drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys
C:\Windows\SysWOW64\DRIVERS\ASPI32.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, bo COODo przeszkodzi FST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Specjalny skrót IE jest uszkodzony:

 

Shortcut: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Tom75]

Dziękuję.

Wg kolejności;

Czy mam odinstalować Comodo ? Coś innego niż Avast ? Już miałem kilka lat Avirę, sam nie wiem.

fixlog zrobiony z trybu awaryjnego,załączam.

Zmiany w skrócie IE, zastosowane.

Skan FRST załączam.

 

A co może wpływać na samoczynne wyłączanie sie systemu ?

Czy można jakoś sprawdzić kompatybilność wtyczki Flash ?

 

 

FRST.txt

Fixlog.txt

[picasso]

Fix wykonany. Ze sterownikami emulacji coś kombinowałeś, bo jest zmiana, ale nadal uruchamia się jeden z nich:

 

R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2013-10-28] (DT Soft Ltd)

S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]

 

Ten dtsoftbus01 powinien zniknąć po deinstalacji DAEMON Tools, ale jakoś teraz do mnie dotarło, iż nie widzę nigdzie w raportach Addition i Shortcut instalacji DAEMON. Jeśli to odpadek:

 

1. Otwórz Notatnik i wklej w nim:

 

DisableService: dtsoftbus01
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart.

 

2. Otwórz Notatnik i wklej w nim:

 

S4 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2013-10-28] (DT Soft Ltd)


S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]

C:\Windows\System32\DRIVERS\dtsoftbus01.sys

C:\Users\Tomasz\AppData\Roaming\DAEMON Tools Lite

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

Czy można jakoś sprawdzić kompatybilność wtyczki Flash ?

W jakim rozumieniu? W systemie jest zainstalowana najnowsza wersja dla Firefox:

 

==================== Installed Programs ======================
 

Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated)

 

To co jeszcze możesz zrobić, to:

- Wyłączyć inne wtyczki w Firefox, czyli Adobe Shockwave Player (w zasadzie to ten proram całkowicie możesz odinstalować), Real Alternative i Silverlight. Zrestartować Firefox.

- Sprawdzić czy pomoże wyłączenie akceleracji sprzętowej: KLIK.

 

 

Czy mam odinstalować Comodo ? Coś innego niż Avast ? Już miałem kilka lat Avirę, sam nie wiem.

Prócz wyżej wynienionych czynności (jeśli nie będzie efektów) sugeruję na razie wstępnie odinstalować COMODO, nie instalować od razu nic w zamian i po prostu sprawdzić czy jest zmiana sytuacji. Z tym, że ja tu tylko sobie wróżę i na razie próbuję oczyścić podłoże z inwazyjnych elementów na poziomie software, by wykluczyć określone zagadnienia, bo nie ma w raportach żadnych konkretów. Problem z odtwarzaniem video i "zajętym skryptem" równie dobrze może być pochodną problemów sprzętowych, bo to wygląda już na taki problem:

 

 

A co może wpływać na samoczynne wyłączanie sie systemu ?

Poza tym, sprecyzuj, gdyż w tytule jest "Samoistne restarty", natomiast w treści pierwszego posta "Komputer potrafi się samoczynnie wyłączyć, nie zrestartować.". To dwie różne informacje - oba wydarzenia mają miejsce, czy to jakieś przejęzyczenie?

 

Dodatkowo, w Dzienniku zdarzeń jest też poniższy błąd - określ czym jest \Device\Harddisk1\DR1: KLIK.

 

System errors:

=============

Error: (12/15/2014 10:04:49 AM) (Source: Disk) (EventID: 11) (User: )

Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1.

 

 

 

 

A zgłoszone zgadnienia nie pasują do działu diagnostyki infekcji i temat zostanie gdzieś przeniesiony - do Windows lub Hardware. Od razu zaznaczam, iż ja tu więcej nic nie wymyślę.

[Tom75]

1. Wykonane.

2. załączam.

 

Wskazane wtyczki odinstaluję. Zobaczę efekty.

Pozostałe operacje również wykonam.

 

Precyzuję: w tytule powinienem zamieścić samoczynne wyłączanie. Kontroluję temperaturę SpeedFun'em i przeważnie jest w normie. Będę obserwował.

Wg wskazówek w podanym linku nie można stosować tego programu w systemach 64 bitowych, nie ma innego sposobu by dowiedzieć się co powoduje ten błąd ?

Fixlog.txt

[picasso]

Wg wskazówek w podanym linku nie można stosować tego programu w systemach 64 bitowych, nie ma innego sposobu by dowiedzieć się co powoduje ten błąd ?

Tam jest inna treść:

 

2. Ażeby wygodnie posługiwać się tym narzędziem i mieć możliwość go uruchmiania z dowolenej lokalizacji to najlepiej jest utworzyć jakis folder ,wsadzic do niego plik dd.exe a sam folder dodać do zmiennych środowiskowych.Samo narzędzie jest 32bitowe więc nie umieszczać go w folderze systemowym w systemach 64bit

DD nie jest natywnie 64-bitową kompilacją, więc nie można go wstawić do folderu 64-bitowych aplikacji (system32). Oznacza to uruchomienie z innej lokalizacji. np. z tymczasowo utworzonego folderu C:\Temp - w linii komend trzeba uwzględnić wtedy całą ścieżkę.

[Tom75]

DD uruchamiam z trybu administratora, z lokalizacji C:\Temp, okno się otwiera, wpisuję komendę i nie bardzo wiem jak mam to uruchomić. Nic się nie dzieje. :/

póki co proszę mnie nie przenosić, założę odpowiedni temat, w odpowiednim dziale jeśli nie zauważę zmian. Dziękuję za pomoc, jak zawsze konkretnie i na temat.

edit: Odinstalowałem Real Alternative, czym w takim razie odtwarzać pliki rmvb ?niestetyn znowu nieopatrznie ściągnałem tego point clicka, w poszukiwaniu altenratywy dla Alernative, ADW Celaner coś poczyścił. Wrzuce w razie czego logi.

 

FRST.txt

Addition.txt

OTL.Txt

AdwCleanerR17.txt

AdwCleanerR18.txt

[picasso]

DD uruchamiam z trybu administratora, z lokalizacji C:\Temp, okno się otwiera, wpisuję komendę i nie bardzo wiem jak mam to uruchomić. Nic się nie dzieje. :/

Pokaż zrzut ekranu z okna CMD.

 

 

edit: Odinstalowałem Real Alternative, czym w takim razie odtwarzać pliki rmvb ?

Mówiłam tylko o wyłączeniu wtyczek w Firefox. Poza tym, podane raporty z FRST pokazują i tak całą grupę wtyczek Real w Firefox - świeżo doinstalowany Real Player. Doszło też więcej procesów.

 

 

niestetyn znowu nieopatrznie ściągnałem tego point clicka, w poszukiwaniu altenratywy dla Alernative, ADW Celaner coś poczyścił

Czy go poprawnie odinstalowałeś przed użyciem AdwCleaner? I drobne poprawki - otwórz Notatnik i wklej w nim:

 

S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X]
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

[Tom75]

Zrzut załączam.

 

Rzeczywiście źle musiałem zrozumieć i odinstalowałem calość. Teraz czy te wszystki dodatki z Real Player'a są potrzebne, czy te procesy są zbędne, powyłączać ? Czy zainstalować coś mniej inwazyjnego ?

 

Przyznaję, że złą kolejność zastosowałem, wpierw ADW a później deinstalacja za pomocą Revo Uninstaller co uruchomilo proces otwierania sie stron z Omiga, point click.

Plik uninstall usunąłem fizycznie z calym folderem - patriot games, który usadowił się w programach.

 

Fixlog załączam.

Fixlog.txt

[picasso]

Na tym zrzucie ekranu to ledwo co widać. To ma wyglądać tak: Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklejasz poniższą komendę i ENTER.

 

C:\Temp\dd.exe --list

 

 

Rzeczywiście źle musiałem zrozumieć i odinstalowałem calość. Teraz czy te wszystki dodatki z Real Player'a są potrzebne, czy te procesy są zbędne, powyłączać ? Czy zainstalować coś mniej inwazyjnego ?

W Firefox wyłącz wtyczki Real. Następnie w Autoruns odznacz poniższe elementy i zresetuj system.

- Logon:: TkBellExe, RealDownloader

- Services: RealNetworks Downloader Resolver Service, RealPlayer Cloud Service, RealPlayerUpdateSvc

- Scheduled Tasks: wszystkie zadania Real

 

 

Fixlog załączam.

Zastosuj DelFix i czyszczenie folderów Przywracania systemu: KLIK.

 

 

Przyznaję, że złą kolejność zastosowałem, wpierw ADW a później deinstalacja za pomocą Revo Uninstaller co uruchomilo proces otwierania sie stron z Omiga, point click.

Zawsze zaczynasz od deinstalacji poprzez Panel sterowania nieznanych / podejrzanych / nowo doinstalowanych pozycji, potem w menedżerach przeglądarek, dopiero na końcu AdwCleaner i podobne. Przestawienie kolejności może spowodować większy brud w rejestrze i na dysku.

[Tom75]

Wchodzę w dodatki, aby wyłączyć wtyczki,ale nie mam opcji odinstaluj. Mam możliwość zrobić: pytaj o aktywacje, zawsze aktywuj lub nigdy nie aktywuj. Czy nigdy nie aktywuj to jest to co powineinem zaznaczyć ? Wolę zapytać, niż robić jakies głupstwa.

 

Pozostałe czynności w toku...tzn aby zachować kolejność czekam na odpowiedź

[picasso]

Wchodzę w dodatki, aby wyłączyć wtyczki,ale nie mam opcji odinstaluj. Mam możliwość zrobić: pytaj o aktywacje, zawsze aktywuj lub nigdy nie aktywuj. Czy nigdy nie aktywuj to jest to co powineinem zaznaczyć ? Wolę zapytać, niż robić jakies głupstwa.

Wtyczki nie posiadają opcji deinstalacji, a wyłączenie = "Nigdy nie aktywuj".

[Tom75]

Człowiek uczy się całe życie.

Wszystko wykonane.

Log z Delfix; dd również.

DelFix.txt

dd.txt

[picasso]

Skasuj plik C:\Delfix.txt z dysku. Jeśli chodzi wyciąg DD, to na pewno cały log? Wygląda na urwany na początku.

 

 

Od dluzszego czasu borykam się z zacinającymi się filmami w przeglądarce, zacina się wtyczka i czasem się odwiesi a czasem musze fizycznie go restartować. Próbowałem reinstalację FlashPlayera, ale i tak potrafi się zwiesić. Do tego przy takim zawieszeniu czasem pojawia się okno o przerwaniu lub kontynuowaniu skryptu. ?

Na czym stoimy w tej kwestii? Były zalecenia:

 

To co jeszcze możesz zrobić, to:

- Wyłączyć inne wtyczki w Firefox, czyli Adobe Shockwave Player (w zasadzie to ten proram całkowicie możesz odinstalować), Real Alternative i Silverlight. Zrestartować Firefox.

- Sprawdzić czy pomoże wyłączenie akceleracji sprzętowej: KLIK.

- Prócz wyżej wynienionych czynności (jeśli nie będzie efektów) sugeruję na razie wstępnie odinstalować COMODO, nie instalować od razu nic w zamian i po prostu sprawdzić czy jest zmiana sytuacji.

 

PS. A temat to przenoszę do działu Windows, bo tu jest duża dysproporcja tematyczna, infekcja nie jest przyczyną problemów.

[Tom75]

Plik skasowany. Nie wiem czy całość mi się udało skopiować, chyba że coś przeoczyłem. Czy ten raport jest gdzies zapisany żebym ew spróbował jeszcze raz ?

 

Wtyczki odinstalowane. Akceleracja wyłączona. Comodo na razie nieruszam, czekam co sie dzieje.

 

Droga Picasso, bardzo Ci dziękuję, nie pierwszy raz. Oczywiście dolączam się do grona dotujących.

 

Pozdrawiam serdecznie

[Tom75]

Napisałem nowy post bo nie wiedziałem czy się odświeży. Niestety wyłączenie wtyczek, wyłączenie akceleracji sprzętowej nie pomogło. Tutaj wygląda to na sprawę sprzetową i w tej kwestii potrzebuję wskazówek.

Wczoraj podczas oglądania filmu (nie przez przeglądarkę), zawiecha a w zasadzie mega spowolnienie i dźwięk jakby sprzężenie jakieś. Po chwili odwiesza się i działa poprawnie. Proszę o konstruktywne wskazówki.

 

Do Picasso: Próbuję odinstalować program RMVB Player, ale podczas próby deinstalacji, program próbuje wprowadzić zmiany w chronionym kluczu rejestru a następnie utworzyć jakiś folder. Takie info otrzymuję od Avast'a. Boję się, że usuwając uruchomię jednocześnie jakiś niepożądany proces,