Serwer zajęty - komunikat po uruchomieniu systemu

[pidzejson]

Witam

 

Od kilku dni po uruchomieniu laptopa pojawia mi się komunikat:

Serwer zajęty Nie można ukończyć tej czynności, gdyż inny program jest zajęty. Wybierz przycisk "Przełącz na", aby uaktywnić zajęty program i usunąć problem.

i nie ma połączenia do sieci, po kilku minutach problem znika.

 

Na komputerze zainstalowany jest Windowe 7HP 64bit i program antywirusowy Avast wersja 2015.10.0.2208, w ostatnim czasie instalowałem program BlueStacks ale nie pamiętam czy problem pojawił sie w tym samym czasie czy później. Poniżej załączone logi z FRST.

 

Z góry dziękuję za pomoc. 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Temat przenoszę na czyszczenie z adware do działu diagnostyki infekcji. W systemie działają inwazyjne sterowniki adware grupy Sambreel (pozostawione po niedobrze odinstalowanych Dynamo Combo i Solution Real), są także ślady przekierowań istart.webssearches.com. Dostarczone logi FRST zostały zrobione w nieodpowiednim konteście zalogowanych dwóch kont równolegle (użyłeś Wyloguj lub Przełącz użytkownika, co nie odładowuje poprzednio zalogowanego konta), każde konto musi być sprawdzane i czyszczone z osobna. Działania wstępne:

 

 

AKCJE Z POZIOMU KONTA Administracja:

 

1. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface (menedżer pobierania wstawiony przy instalacji AutoCAD) oraz stare dziurawe wersje Adobe Reader X (10.1.13) MUI, Java™ 6 Update 24 (64-bit), Java™ 6 Update 24.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64; C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys [48792 2015-01-25] (StdLib)
R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-19] (StdLib)
S3 btmaux; system32\DRIVERS\btmaux.sys [X]
S2 Update Dynamo Combo; "C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe" [X]
S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X]
S2 Util Dynamo Combo; "C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe" [X]
S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X]
HKU\S-1-5-21-1031725685-881205413-3405888468-1001\...\Policies\Explorer: []
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms}
HKU\S-1-5-21-1031725685-881205413-3405888468-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1
HKU\S-1-5-21-1031725685-881205413-3405888468-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms}
SearchScopes: HKLM -> {FC83DA11-EF8B-4868-A3E3-3B75A05271C3} URL = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1031725685-881205413-3405888468-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1031725685-881205413-3405888468-1001 -> {FC83DA11-EF8B-4868-A3E3-3B75A05271C3} URL =
C:\Program Files (x86)\Solution Real
C:\Program Files (x86)\SupTab
C:\ProgramData\IePluginServices
C:\Users\Codzienność\AppData\OICE_15_974FA576_32C1D314_1A1F
C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys
C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: sc config WinDefend start= demand
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony skrót Internet Expplorer. W pasku adresu eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Administracja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Ustaw poprawnie domyślną przeglądarkę, bo obecnie w systemie domyślną jest nieistniejąca Opera:

 

Internet Explorer Version 11 (Default browser: Opera)

 

 

AKCJE Z POZIOMU KONT Administracja i Codzienność:

 

Zaloguj się po kolei na każde konto z osobna poprzez pełny restart komputera a nie Wyloguj czy Przełącz użytkownika. Na każdym koncie zrób nowy FRST z opcji Scan (z Addition, ale bez Shortcut). Dołącz też plik fixlog.txt.

[pidzejson]

Wykonałem zalecenia według powyższych instrukcji, z tą różnicą, że FRST z fixlist puściłem dwa razy (po pierwszym razie fixlist został usunięty i nie byłem pewien czy go skopiowałem). Poniżej logi.

Fixlog.txt

Addition.txt

FRST.txt

Addition.txt

FRST.txt

[picasso]

Wykonałem zalecenia według powyższych instrukcji, z tą różnicą, że FRST z fixlist puściłem dwa razy (po pierwszym razie fixlist został usunięty i nie byłem pewien czy go skopiowałem).

Fix jest jednorazowy i nie wolno go powtarzać. Akcja była bez sensu. Podany Fixlog nie jest właściwym, pokazuje już to drugie wadliwe podejście (brak wykonanych operacji). Ale zostaw to już. Pierwsze podejście usunęło co należy. Poprawki:

 

 

AKCJE Z POZIOMU KONTA Administracja:

 

1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres istart.webssearches.com, przestaw na "Otwórz stronę nowej karty".

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
HKU\S-1-5-21-1031725685-881205413-3405888468-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Administracja\AppData\Local\Akamai\netsession_win.exe"
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner. Na razie wybierz tylko Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

[pidzejson]

Logi w załączniku.

Fixlog.txt

AdwCleanerR1.txt

[picasso]

Kolejna porcja zadań:

 

1. W Google Chrome odmontuj rozszerzenie Speed Dial. Zastanawiałam się nad nim, a AdwCleaner ma zastrzeżenia i chce to usuwać.

 

2. Następnie uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu:

 

3. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

 

Czy tytułowy problem z komunikatem "Serwer zajęty" nadal występuje?

[pidzejson]

Załączam log z FRST. Niestety komunikat nadal występuje.

Fixlog.txt

[picasso]

Jeśli chodzi o czyszczenie z adware, to na koniec:

 

Usuń używane narzędzia z F:\Pobieralnia\Programy narzędziowe\Diagnostyka oraz zastosuj DelFix.

 

 

Niestety komunikat nadal występuje.

Jest tu dużo obiektów startowych. Wstępnie sprawdź czy efekt występuje w stanie tzw. "czystego rozruchu": KLIK.

[pidzejson]

Po czystym uruchomieniu komunikatu nie było. Po ponownym uruchomieniu systemu z wyłączonymi niektórymi pozycjami z zakładki Usługi i Uruchomienia (wyłączyłem to co wydawało mi się, że nie jest potrzebne) komunikat znowu się pojawił.

[picasso]

W tej sytuacji z grupy włączonych wpisów zacznij wyłączać po jednym na raz + restart, aż wychwycisz który konkretnie obiekt prowadzi do pokazywania komunikatu.