Trwałe zacinanie się komputera, wyskakujące reklamy, blue screen, spowolnienie pracy komputera.

[Kecart]

Dobry wieczór!
Ostatnio napotykałem wiele problemów ze swoim komputerem. Na początku, były to niechciane reklamy wyskakujące mimo włączonego AdBlocka. Następnie nastąpił spadek wydajności. Co jakiś czas wyskoczył także blue screen. W tym tygodniu do puli dołączyło kompletne ścinanie się komputera- czy to przy uruchamianiu gry, następnej karcie w Google Chromie czy włączaniu Battle.neta (klienta i instalatora). Po nastąpieniu ścinki musiałem resetować komputer. Zainstalowałem antywirusa AVG i przeskanowałem komputer- wyskakiwały m.in Trojany i Candycośtam + kolejny wirus którego nazwy nie zapamiętałem. Gnieździły się głównie w plikach systemowych Windowsa. Teraz nie mam reklam, jednak przy każdym skanie wirusy te są nadal wykrywane (w mniejszej ilości). Proszę pomóżcie. Z góry dziękuję.

Oto logi:
 

 

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

Teraz nie mam reklam, jednak przy każdym skanie wirusy te są nadal wykrywane (w mniejszej ilości).

Przedstaw raport AVG pokazujący te wyniki, gdyż w raporcie mało co już widać.

 

 

Na teraz lekkie doczyszczanie odpadkowych wpisów (puste wpisy i skróty po odinstalowanych aplikacjach):

 

1. Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Reader 9.5.0 - Polish, Akamai NetSession Interface, HP Deskjet Ink Adv 2060 K110 — badanie mające na celu poprawę produktów, Java 7 Update 60.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S2 38a94c45; "C:\Windows\system32\rundll32.exe" "c:\Program Files\RelayEdit\RelayEdit.dll",serv
S2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [X]
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
S1 iSafeKrnl; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys [X]
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
S1 iSafeKrnlKit; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys [X]
S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X]
S1 iSafeKrnlR3; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys [X]
S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X]
S3 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
S3 vtany; \??\C:\Windows\vtany.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
Task: {648295B6-52FD-4F96-9A08-194CEAEEEDF9} - System32\Tasks\avast! Emergency Update
Task: {7082E1B6-995D-4979-993F-B3EAF7EBC7DB} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-04] (AVAST Software)
Task: {CE8FDB9C-E21F-4E88-ABEA-6A4C5B60FAD2} - System32\Tasks\{3B66E4D9-A5D3-477A-8130-332CFEE52628} => pcalua.exe -a C:\Users\User\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt
Task: {E5A99B75-105D-42BA-A22A-24928CE48FCD} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [spotify Web Helper] => "C:\Users\User\AppData\Roaming\Spotify\SpotifyWebHelper.exe"
HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [DAEMON Tools Lite] => "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [spotify] => "C:\Users\User\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized
CustomCLSID: HKU\S-1-5-21-654294337-137298605-2700608432-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\User\Downloads\BESTplayer.exe => Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1428306487&from=smt&uid=HitachiXHTS723216L9A360_090110FC1200NCGB5NNDX&q={searchTerms}
HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1428306487&from=smt&uid=HitachiXHTS723216L9A360_090110FC1200NCGB5NNDX&q={searchTerms}
HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp
HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp
SearchScopes: HKLM -> DefaultScope - brak wartości
FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\hms6nq8j.default\extensions\fftoolbar2014@etech.com => nie znaleziono
CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{38a94c45}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
C:\Program Files\Common Files\AV\avast! Antivirus
C:\ProgramData\AVAST Software
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\GameExplorer\{C979F558-BE78-45FE-8157-8D0F909054CB}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EdHTML v5.0
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firaxis Games
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearthstone
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of the Storm
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NewFeature1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PIT Format 2015
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spolszczenie do Sid Meier's Pirates instalka by Termez & AliG
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II
C:\Users\Gość\Desktop\YouTube Accelerator.lnk
C:\Users\Gość\AppData\Local\Microsoft\Windows\GameExplorer\{755E6C26-9D08-4868-92BB-3B5AEF3BB8C7}
C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{C979F558-BE78-45FE-8157-8D0F909054CB}
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\BitTorrent.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\EdHTML v5.0.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\osu!.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Spotify.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj*.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Telegram Desktop
C:\Windows\System32\Tasks\AVAST Software
CMD: netsh advfirewall reset
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

[Kecart]

Tym razem skan AVG nic nie znalazł.

 

Zapomniałem przed uruchomieniem skryptu wyłączyć AVG i mi wyrzucił FRST.

Przestałem wykonywać dalsze kroki i zrobiłem nowy skan już z wyłączonym AVG. (myślę nad odinstalowaniem go)

Nadal komputer się zacina.

Przesyłam też plik fixlog.txt, który chyba zdążył się wygenerować przed wyrzuceniem FRST

Fixlog.txt

FRST.txt

[picasso]

AVG. (myślę nad odinstalowaniem go)

(...)

Nadal komputer się zacina.

Skoro i tak rozważasz deinstalację AVG, to przeprowadź to, by się upewnić, że program nie ponosi winy w tej kwestii. Druga sprawa, w logu są ślady uruchamiania checkdiska, co wskazuje, że były wykryte jakieś naruszenia w obszarze struktury plików:

 

2016-04-13 22:01 - 2016-04-13 22:01 - 00000000 __SHD C:\found.002

2016-04-13 20:20 - 2016-04-13 20:20 - 00000000 __SHD C:\found.001

 

 

Przesyłam też plik fixlog.txt, który chyba zdążył się wygenerować przed wyrzuceniem FRST

1. Fix zakończył działanie na komendzie czyszczenia autoryzacji w Zaporze, czyli do powtórzenia nie przetworzony fragment plus dodatkowe drobnostki. Do Notatnika wklej:

 

HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\User\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Policies\Explorer: []
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
CMD: netsh advfirewall reset
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
EmptyTemp:

 

Uruchom w taki sam sposób jak poprzednio. Przedstaw wynikowy fixlog.txt.

 

2. W Google Chrome nadal widać te same modyfikacje preferencji wprowadzone przez niepożądane instalacje Ask. Czy w ogóle wykonywałeś punkt relatywny do czyszczenia Chrome?

 

3. Zapomniałeś dołączyć też raport Farbar Service Scanner.

[Kecart]

Poprzednio nie wykonywałem kroków po wyrzuceniu FRST.

 

Teraz odinstalowałem AVG, wykonałem nowy skrypt i zrobiłem kroki odnośnie Chrome'a i skrótu IE.

Fixlog.txt

FRST.txt

FSS.txt

[picasso]

Czy po odinstalowaniu AVG jest jakaś poprawa w działaniu systemu? Fix FRST wykonany.

 

1. W Google Chrome pozostał drobny wtręt adware. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.ask.com.

 

2. Dokasowanie folderów odpadkowych po AVG. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\$AVG
RemoveDirectory: C:\ProgramData\Avg
RemoveDirectory: C:\ProgramData\MFAData
RemoveDirectory: C:\Users\User\AppData\Local\Avg
RemoveDirectory: C:\Users\User\AppData\Local\AvgSetupLog
RemoveDirectory: C:\Users\User\AppData\Roaming\AVG

 

Uruchom w taki sam sposób jak poprzednio. Przedstaw wynikowy fixlog.txt.

 

3. Raport FSS podaje, że brakuje klucza Windows Defender w systemie. Rekonstrukcja usługi. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]

"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00

"Start"=dword:00000002

"Type"=dword:00000020

"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00

"ObjectName"="LocalSystem"

"ServiceSidType"=dword:00000001

"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\

00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\

65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\

00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\

74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\

00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\

69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\

00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\

6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\

00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\

53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\

00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\

72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\

00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\

69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\

00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\

00,00

"DelayedAutoStart"=dword:00000001

"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\

00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]

"ServiceDllUnloadOnStop"=dword:00000001

"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\

00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\

20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\

00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]

"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\

05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\

00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\

84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\

00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\

05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\

04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\

01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]

"Type"=dword:00000005

"Action"=dword:00000001

"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso