ToolboxBitmap32

[djlimak]

Witam, 

Założyłem ten temat ponieważ komputer mi bardzo laguje, długo wczytuje strony i programy. Przed uruchomieniem ComboFix usunąłem antywirusa i rozpocząłem skanowanie combofix'em. Proszę o sprawdzenie loga i utworzenie skryptu do usunięcia złośliwego oprogramowania.

ComboFix.txt

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Temat czyszczę ze śmieci i przenoszę do działu Windows. Użycie ComboFix nic nie wniosło do sprawy, program nic nie usuwał. I nic tu nie wskazuje na problem infekcji jako przyczyny spowolnienia systemu. Objaśnij też co oznacza tytułowy "ToolboxBitmap32" - co to właściwie znaczy i gdzie to się pokazuje. Na razie do wykonania:

 

 

1. W spoilerze szybkie doczyszczanie wpisów pustych i szczątków przeglądarek (Firefox i Opera). To w niczym nie pomoże i nie "odlaguje" systemu, to kosmetyka i nic poza tym.

 

 

 

1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres delta-search.com, przestaw na "Otwórz stronę nowej karty".

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKU\S-1-5-21-3924717649-4015743844-1627424674-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jndeiekmdhemaggmkgljlpdeaomeplbp] - C:\Users\limak\AppData\Local\CRE\jndeiekmdhemaggmkgljlpdeaomeplbp.crx [Not Found]
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-3924717649-4015743844-1627424674-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
ProxyServer: [s-1-5-21-3924717649-4015743844-1627424674-1000] => (w3cache.icm.edu.p:8080
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-3924717649-4015743844-1627424674-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKU\S-1-5-21-3924717649-4015743844-1627424674-1000 -> {40439b93-f815-4122-8073-d03bed94c303} URL =
Task: {33F75D51-8C51-48BA-890F-2658D0B7EBA9} - \{3B349E2E-9CA5-464E-BCDB-316052E82315} No Task File 
Task: {6B890217-4553-4372-B4EC-F10667F7BB35} - \{7DA7F33F-A563-481A-B5EB-B1717111ADD4} No Task File 
Task: {74EA9450-0064-42C9-B061-F7E7E27966F4} - System32\Tasks\{97D29EBB-B364-4108-A4AE-B16DD7C28ECE} => msiexec.exe /package "C:\Users\limak\Downloads\MidiYokeSetup.msi"
Task: {D1290DDC-1437-4322-A29F-48FB5459A3D6} - \{1154B53F-2846-42B9-8DC0-2F70355A5369} No Task File 
Task: {E9FB19A4-E410-4002-AAE8-89291C86023C} - \{C4E2833C-5077-463C-B00C-47D61E4B0B76} No Task File 
Task: {EB0FC1BF-DC74-46C6-ACAA-912EB8EB5068} - \{FD28D6F2-9DB8-4F6D-A91E-107FD7D247BD} No Task File 
Task: {F2DC1EA3-FF4E-421E-B5A0-F550984407E9} - \{23C2BE72-9B1D-4C2E-9D71-73D79BA7B59F} No Task File 
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
C:\Program Files\Bitdefender
C:\Program Files\Common Files\Bitdefender
C:\ProgramData\TEMP
C:\Users\limak\AppData\Local\Mozilla
C:\Users\limak\AppData\Local\Opera Software
C:\Users\limak\AppData\Roaming\Mozilla
C:\Users\limak\AppData\Roaming\Opera Software
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

 

 

 

2. Usunięcie odpadkowego lecz aktywnego sterownika Avast, który filtruje klawiaturę:

 

R0 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-03-07] (AVAST Software)

 

Celowo wyizolowane ze skryptu, bo jeśli skrypt napotka jakiś błąd, odetnie Cię od klawiatury, ręcznie większa kontrola. Poza tym czegoś się nauczysz. Start do Trybu awaryjnego. Start > w polu szukania wpisz regedit > i wykonaj:

 

---- W kluczu klasy klawiatur:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}

 

Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie usuwaj systemowego kbdclass.

 

----> Skasuj klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aswKbd

 

Następnie zresetuj system, wejdź do Trybu normalnego i skasuj z dysku plik:

 

C:\Windows\System32\Drivers\aswKbd.sys

 

 

3. Kompleksowa aktualizacja systemu, bo fatalny stan, goły Windows 7, brak SP1 + IE11 + reszty. Aktualizacja może mieć znaczenie w kontekście sprawności systemu.

 

Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska)

Internet Explorer Version 8 (Default browser: IE)

 

Z tym, że tu nie za dużo wolnego miejsca na dysku:

 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:48.83 GB) (Free:12.11 GB) NTFS

Drive d: () (Fixed) (Total:146.93 GB) (Free:50.95 GB) NTFS

Drive e: () (Fixed) (Total:176.76 GB) (Free:84.18 GB) NTFS

 

Proces pobierania łat oraz tworzenia kopii zapasowych szybko nabije. A im mniejszy próg wolnego, tym bardziej ślamazarny system może być. Ten dysk C to ogólnie trochę mały na system 64-bit. Minimalne wymagania owszem spełniasz, ale przestrzeni na instalacje brak.

 

 

4. Wygląda też na to, że są tu jakieś braki w sterownikach - może coś związane z chipsetem, a może coś innego. Brak tu jakichkolwiek danych (nawet klasy do której urządzenie jest wyasygnowane):

 

==================== Faulty Device Manager Devices =============
 

Name:

Description:

Class Guid:

Manufacturer:

Service:

Problem: : The drivers for this device are not installed. (Code 28)

Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

 

Sprawdź jak to widać w Menedżerze urządzeń i czy da się pobrać Device ID (jest możliwe, że nawet tego brak).

[djlimak]

OK zrobiłem wszystko oprócz aktualizacji i tu mam pytanie czy da się zwiększyć pamięć na dysku C: tak żeby nie stracić danych? Błąd ze sterownikiem (Code 28)

to pozostałości po AndroidCam ale już usunąłem bo pokazywało się jako nieznane urządzenie w menadżerze. Po usunięciu klucza i zresetowaniu komputera pojawił sie błąd CPU podczas uruchamiania. Dodatkowo przestał działać Bitdefender. Usunąłem goi teraz chcę zainstalować ponownie i pojawia się komunikat, że program już był zainstalowany na komputerze. Po zainstalowaniu nie moge go uruchomić pojawia się komunikat że nie może znaleść  seccenter.exe. Plik seccenter.exe jest w rejestrze 0x000022b8 (8888) czy mam go usunąć? 

[djlimak]

Kiedy dostanę odpowiedź?