Mocno spowolniony system, infekcje w folderze Temp

Dizzy · 8 Listopada 2015

Witam,

Użytkownik posiada Windows Vistę HP SP2 32bit.

System był instalowany ponad 3,5 roku temu, więc na pewno są wpisy w rejestrze, które należy usunąć i jakieś odnośniki do nieistniejących już programów. Komputer jest zainfekowany - uruchamiałem go w trybie awaryjnym i czyściłem folder Temp narzędziem TFC, ale chyba dalej coś jest na rzeczy i coś tam siedzi, o czym informuje ESET NOD32 Antivirus. mbar i adwcleaner w trybie awaryjnym również niczego nie znalazły. Proszę o wskazanie, które programy można jeszcze odinstalować (oprócz Matlaba i programów geodezyjnych, które szczególnie potrzebuje Użytkownik).Nie chcę formatować dysku i od nowa instalować systemu.
Jednak główny problem to długi czas uruchamiania się komputera oraz brak płynności np. podczas przeglądania stron www., kilku, kilkunastosekundowe "zwisy" systemu - laptop nie reaguje wtedy nawet na ruchy myszką. Zapuściłem wczoraj Gmera, ale po ponad 7 godzinach skanowania przypadkowo wyłączyłem laptopa.

NOD po skanowaniu informuje o infekcjach, pochodzących z hxxp://dl.ourinputinfonet.com

EDIT: Wstawiłem złe raporty... właściwe miałem w folderze, a te należą do użytkownika, który prosił o pomoc w innym temacie, a które to ściągnąłem w celach edukacyjnych. Nie mam zainstalowanego COMODO Antivirus. Bardzo przepraszam za to niedopatrzenie. Właściwe logi:

FRST.txt

Addition.txt

Shortcut.txt

picasso · 8 Listopada 2015

NOD po skanowaniu informuje o infekcjach, pochodzących z hxxp://dl.ourinputinfonet.com

Zgłoszenia te produkują pozostawione przez niedokładne wyczyszczenie adware dwa szkodliwe zadania w Harmonogramie, kierujące na katalog "Installer".

Jednak główny problem to długi czas uruchamiania się komputera oraz brak płynności np. podczas przeglądania stron www., kilku, kilkunastosekundowe "zwisy" systemu - laptop nie reaguje wtedy nawet na ruchy myszką. Zapuściłem wczoraj Gmera, ale po ponad 7 godzinach skanowania przypadkowo wyłączyłem laptopa.

Przypuszczalnie nie jest to jednak powiązane z powyższym. Prędzej można obstawiać stary ESET (komponenty z 2013) i będzie usuwany.

Akcje do wdrożenia:

1. Odinstaluj stare wersje: Adobe Reader X (10.1.16) - Polish, Adobe Shockwave Player 11.6, ESET NOD32 Antivirus, Java 7 Update 67.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKU\S-1-5-21-2247296619-1886198515-484620822-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=170
BHO: plushd8.1 -> {11111111-1111-1111-1111-110511111108} -> C:\Program Files\plushd8.1\plushd8.1-bho.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku
Task: {03890080-37D3-40E8-9638-59F19C7FAE30} - System32\Tasks\{3713C587-D7E6-4C68-931E-599CB1C6C1AB} => pcalua.exe -a "D:\Turbo C++ - instalka\Install.exe" -d "D:\Turbo C++ - instalka"
Task: {7ED82D96-50C4-490C-8F87-175DC66BAE94} - System32\Tasks\Installer_iwebar => C:\Users\Compaq\AppData\Local\Installer\Installiwebar_1831\ytdieamodc_amodc_inst.exe [2015-11-01] () 
Task: {AAF7BB48-02FF-42FF-9B2C-69A9D63614F4} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe
Task: {DAF718DF-FBED-473E-A0CF-5EDDA64E1459} - System32\Tasks\Installer_cr => C:\Users\Compaq\AppData\Local\Installer\Installcr_14183\ytdieamodc_amodc_inst.exe [2015-11-01] () 
C:\Program Files\GUT31C.tmp
C:\Program Files\360
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\JWMiniProJ
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\A-SWDE
C:\Users\Compaq\AppData\Local\{C9C72F75-E1D5-4583-83EC-48D884231316}
C:\Users\Compaq\AppData\Local\CrashRpt
C:\Users\Compaq\AppData\Local\Installer
C:\Users\Compaq\AppData\Local\Mozilla
C:\Users\Compaq\AppData\Local\Sparta
C:\Users\Compaq\AppData\Roaming\Mozilla
C:\Users\Compaq\AppData\Roaming\Shortcut
C:\Users\Compaq\AppData\Roaming\sparta111
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSC" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f
CMD: netsh advfirewall reset
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

C:\Users\Compaq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nastąpiła poprawa.

PS. Odpowiadasz już oczywiście w nowym poście.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Mocno spowolniony system, infekcje w folderze Temp

Rekomendowane odpowiedzi

Dizzy

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność