Przymulony system

[tamir]

Witam

 

Od pewnego czasu mój system W7 bardzo długo startuje czasem ponad 10 min.

 

Używam przeglądarki Opera otwarcie niektórych stron internetowych np: 

hxxp://peb.pl/

hxxp://kickasstorrent.kickassdownloads.net/

powoduje "zamrożenie" pulpitu w trakcie , którego nie mogę nic wykonać trwa to czasem ponad 15 min.

 

załączam obowiązkowe logi 

 Proszę o analizę.

Addition.txt

FRST.txt

Shortcut.txt

GMER-Rootkit scan 2015-03-08.txt

[picasso]

Owszem, jest tu infekcja - wpisy backdoora C:\Windows\install\server.exe. Ponadto adware (SpeedBit i przekierowania sweet-page.com). Ale mam silne wątpliwości czy to ma związek z długim startem systemu i "zamrażaniem" = do tego prędzej pasuje Norton. Na razie doczyść wymieniane i zobaczymy co się stanie:

 

 

1. Odinstaluj SpeedBit Video Downloader - to jest program montujący adware "SearchPredict", które widać w Twoich raportach w IE i Firefox.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [HKLM] => C:\Windows\install\server.exe [20992 2009-07-14] (Microsoft Corporation)
HKLM\...\Policies\Explorer\Run: [Policies] => C:\Windows\install\server.exe [20992 2009-07-14] ( (Microsoft Corporation))
HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\Run: [HKCU] => C:\Windows\install\server.exe [20992 2009-07-14] (Microsoft Corporation)
HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\Policies\Explorer\Run: [Policies] => C:\Windows\install\server.exe [20992 2009-07-14] (Microsoft Corporation)
HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\MountPoints2: {d79c911a-9c7e-11e1-8e34-bc5ff405a41c} - V:\setup.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms}
HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32
HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307
HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms}
BHO-x32: SearchPredictObj Class -> {389943B0-C3A2-4E69-82CB-8596A84CB3DC} -> C:\Program Files (x86)\SearchPredict\SearchPredict.dll [2012-10-02] (SpeedBit Ltd.)
FF HKLM-x32\...\Firefox\Extensions: [searchpredict@speedbit.com] - C:\Program Files (x86)\SearchPredict\PRFireFox
FF HKLM-x32\...\Firefox\Extensions: [{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] - G:\Fraps\SPEEDbit Video Downloader\SPFireFox
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Tadek\AppData\Roaming\Mozilla\Firefox\Profiles\77hlhgr4.default\extensions\faststartff@gmail.com
CustomCLSID: HKU\S-1-5-21-3771866864-3196559225-104913496-1000_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe No File
CustomCLSID: HKU\S-1-5-21-3771866864-3196559225-104913496-1000_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-3771866864-3196559225-104913496-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2013\pl-PL\acadficn.dll No File
Task: {26973AE5-A5C6-41D5-B928-79B5CFB7F657} - System32\Tasks\{EF704478-D3CD-43B3-8E1E-8B9D0706CBE6} => F:\2013 Deadfall Adventures\2013 Deadfall Adventures GRA\Deadfall Adventures\Deadfall_Launcher.exe
Task: {31EFD9A3-EB6C-4C2C-AEE0-3BA6C1317F74} - System32\Tasks\{7D720902-8275-472F-A2F9-A68A7DF3F431} => pcalua.exe -a "G:\BIURO\Adobe Reader 9.0 PL\Setup Files\{AC76BA86-7AD7-1045-7B44-A90000000001}\Setup.exe" -d "G:\BIURO\Adobe Reader 9.0 PL\Setup Files\{AC76BA86-7AD7-1045-7B44-A90000000001}"
Task: {360E1D25-EC16-463B-8986-6322CFB532E0} - System32\Tasks\{80FA4BB2-D0E4-4824-9503-9E1B7A6D2E29} => F:\2013 Deadfall Adventures\2013 Deadfall Adventures GRA\Deadfall Adventures\Deadfall_Launcher.exe
Task: {5A87DC49-89B5-47F8-B9CC-27A38181485F} - System32\Tasks\{93F9C299-BBA5-48B5-BF7A-3340C0801A3D} => G:\1 OBRÓBKA FILMÓW\Xilisoft DVD Creator\Xilisoft.DVD.Creator.7.v7.1.3.20130417.Incl.Keygen-Lz0\DVD Creator\SplashScreen.exe
Task: {784C6045-E624-49D7-AC01-E0652C5CA1C6} - System32\Tasks\{07A05E90-3A5D-431B-9063-C59B7A49ADD9} => pcalua.exe -a H:\DRIVERS\Installation\Setup.exe -d H:\DRIVERS\Installation
Task: {8B1F9986-9580-4EDE-A777-80D7EED7006D} - System32\Tasks\{9024915A-EB49-4B68-B4E0-0FF8CB0E93A6} => pcalua.exe -a "C:\Program Files (x86)\Realtek\Audio\Drivers\HDADrv\Setup.exe" -d "C:\Program Files (x86)\Realtek\Audio\Drivers\HDADrv"
Task: {91E08D52-51F2-47D2-8C32-F8688A2F2476} - System32\Tasks\{614DBDF6-9623-43D9-8141-E87E70DFD09B} => pcalua.exe -a "G:\1 OBRÓBKA FILMÓW\DVD2SVCD\DVD2SVCD\DVD2SVCD\D2SRoBa380.exe" -d "G:\1 OBRÓBKA FILMÓW\DVD2SVCD\DVD2SVCD\DVD2SVCD"
Task: {9D961F2F-30B4-4918-B6AB-7504448AFD52} - System32\Tasks\{47473C93-A3F6-4A52-BA63-EA5BE8D2BBF9} => pcalua.exe -a "G:\1 OBRÓBKA FILMÓW\VirtualDub\VirtualDubMod v1.5.10.2\AuxSetup.exe" -d "G:\1 OBRÓBKA FILMÓW\VirtualDub\VirtualDubMod v1.5.10.2"
Task: {AE001532-D573-4B6B-B475-5280536D7094} - System32\Tasks\{C76CD1A6-C42E-4D59-8469-E8520612F5B3} => F:\2013 Deadfall Adventures\2013 Deadfall Adventures GRA\Deadfall Adventures\Deadfall_Launcher.exe
Task: {C42FE262-DB01-41E1-85D7-79F1CCB66A29} - System32\Tasks\{EA60F113-5F53-4063-AD26-D54BD7499F0F} => pcalua.exe -a "G:\Nero10\Nero Showtime\Nero ShowTime 5.2.12.0\NST9.exe" -d "G:\Nero10\Nero Showtime\Nero ShowTime 5.2.12.0"
Task: {E2BA4C3E-FE48-4728-B228-53CDA5EC9675} - System32\Tasks\{6BF9BC31-B5A0-4F6B-B190-980FFBBFE50A} => pcalua.exe -a G:\CMI-Vista\PCI8738-Vista\Setup.exe -d G:\CMI-Vista\PCI8738-Vista
C:\Program Files (x86)\SearchPredict
C:\Program Files (x86)\Temp
C:\ProgramData\TEMP
C:\Windows\install
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\explorers" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall" /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dodatkowo, w FRSt w polu Search wklej co poniżej i klik w Search Registry - ten log też dostarcz.

 

server.exe

 

Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje.

[tamir]

1. Odinstaluj SpeedBit Video Downloader zrobione

2. Otwórz Notatnik i wklej w nim: zrobione

3. Wyczyść Firefox z adware: zrobione

4. Zrób nowy log FRST zrobione

 

Wypowiedz się co się dzieje.

Na dzień dobry po otwarciu Firefoxa zawarczał mój Norton

http://img909.imageshack.us/img909/9472/v1Swey.jpg

http://img910.imageshack.us/img910/4789/7QdndP.jpg

na pulpicie powstał nowy folder <Stare dane programu Firefox>

 

dołączam

Fixlog txt

Search txt

FRST txt

Fixlog.txt

Search.txt

FRST.txt

[picasso]

Moje pytanie o to co się dzieje po akcjach było raczej związane z tym, czy nadal notujesz problemy zgłoszone w pierwszym poście.

 

Akcje wykonane. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup.lnk
SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.coolsearches.info/?l=1&q={searchTerms}&pid=23157&r=2015/03/17&hid=487562181006891389&lg=EN&cc=PH&unqvl=85
SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.coolsearches.info/?l=1&q={searchTerms}&pid=23157&r=2015/03/17&hid=487562181006891389&lg=EN&cc=PH&unqvl=85
FF HKLM-x32\...\Firefox\Extensions: [searchpredict@speedbit.com] -
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\{c92e26f0-d240-83e4-c92e-e26f0d249bc3}
RemoveDirectory: C:\ProgramData\SpeedBit
RemoveDirectory: C:\Users\Tadek\Desktop\Stare dane programu Firefox
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W1S4PDR1-S045-4T8J-HVXG-2E4364P2J570}" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

[tamir]

Załączam logi:

1.Fixlog

2.AdwCleaner

 

Poprawa znaczna w czasie uruchamiania PC

Zdaję sobie sprawę z tego,że NIS potrafi "uprzyjemnić" pracę na PC  ale tak jego rola

Korzystam zniego od prawie 10lat. 

 

Fixlog.txt

AdwCleanerR1.txt

[picasso]

1. Uruchom AdwCleaner ponownie, dobierz opcje Szukaj + Usuń i przedstaw wynikowy log C:\AdwCleaner\AdwCleaner[s1].txt.

 

2. Na wszelki wypadek zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

[tamir]

Załączam:

1.AdwCleaner[s1]

2.FRST

 

Dodatkowe pytanie: Czy mogę już usunąć  Backup i Quarantine z C:\AdwCleaner ?

 

AdwCleanerS1.txt

FRST.txt