Powolna praca laptopa, BSOD

bruta1ity · 5 Maja 2016

Witam, mam problem z laptopem Asus x54h z zainstalowanym Windows 7 Home Premium x64. Niedawno miałem BSOD z którym się uporałem naprawiając błędy dysku, lecz sam system startuje powoli jak i jego reakcja jest opóźniona.GMER nie odnalazł żadnego rootkita.

FRST.txt

Addition.txt

Shortcut.txt

picasso · 6 Maja 2016

Niedawno miałem BSOD z którym się uporałem naprawiając błędy dysku, lecz sam system startuje powoli jak i jego reakcja jest opóźniona.

Na chwilę obecną zakładam, że powyższe nie ma związku, gdyż w systemie owszem widać niepożądane instalacje, w tym aktywny sterownik adware grupy Sambreel oraz "skaner" Bytefence (replika Reason Core Security, MBAM i nie wiadomo czego jeszcze). Rozpocznij od:

1. Deinstalacje:

- Przez Panel sterowania odinstaluj adware/PUP: Booking.com version 1.1.0.5019, ByteFence Anti-Malware, Native Info, Sparta, WarThunder. A także stare wersje: Adobe Flash Player 10 Plugin, Adobe Flash Player 12 ActiveX, Adobe Shockwave Player 12.1, Bonjour, Gadu-Gadu 10, Java 8 Update 65.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R1 {3f538614-b636-4023-9ec2-564ada4b07b3}w64; C:\Windows\System32\drivers\{3f538614-b636-4023-9ec2-564ada4b07b3}w64.sys [61112 2014-07-08] (StdLib)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X]
Task: {1E256B6A-6D10-487A-A0A0-0CC946F36863} - System32\Tasks\{4C7644A2-F2F9-422B-9760-2334D06628B6} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=2
Task: {3192F00F-178A-4ADF-BBEE-621F31C9B25E} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) 
Task: {38681C30-FA96-421F-B136-8236F0AB0AC1} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) 
Task: {4023F048-50A4-479F-A50C-9651F4538CC2} - System32\Tasks\{13906C8A-E5DE-41AA-AFE4-092A6784890D} => pcalua.exe -a C:\Users\Gabrysia\Downloads\Minecraft-Setup.exe -d C:\Users\Gabrysia\Downloads
Task: {42A61F4A-8440-4906-AEF4-168B84E78AA1} - System32\Tasks\{5AE06147-A4BA-448F-87EB-195589D923F8} => pcalua.exe -a "C:\Users\kacper i martyna\AppData\Roaming\webssearches\UninstallManager.exe" -c -ptid=amt -simple=0 
Task: {4E9967DC-75A3-4CBC-A39E-BC7B00B057C1} - System32\Tasks\RunAsStdUser Task => C:\Users\Gabrysia\AppData\Local\Temp\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\RunIE.exe 
Task: {6D2917A2-F962-4F0A-863C-5C9554837FBE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
Task: {91F8F384-1EE5-4000-8553-CC0549FA7512} - \Dealply -> Brak pliku 
Task: {A3D6DD62-F9CB-4D8A-B210-8BC622617910} - \EPUpdater -> Brak pliku 
Task: {B2FFCD6A-6D6B-427C-A452-2E0EB58CF3F6} - System32\Tasks\AmiUpdXp => C:\Users\kacper i martyna\AppData\Local\3584\Updater.exe 
Task: {DA025766-3B8D-47C5-8602-04747BCA9400} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe 
Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\kacper i martyna\AppData\Local\3584\Updater.exe 
HKLM-x32\...\Run: [fst_en_103] => [X]
HKLM-x32\...\Run: [fst_pl_139] => [X]
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/hm?eq=U0EeCFZVBB8SRghFI1sAWVxCQxhFJQkKTA1BFAUOIQgOBRRCRwBHcQsPUQkQRAcFIk0FA1ADB0VXfVBdFElXTwhtIU1RF1w4T1NM
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1180481510-4086299747-2033843143-1015\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFI1sAWVxCQxhFJQkKTA1BFAUOIQgOBRRCRwBHcQsPUQkQRAcFIk0FA1ADB0VXfVBdFElXTwhtIU1RF1w4T1NM
SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV9bAwFJRAZBbV9dUQtcFQUWcBRZUA8VDAZFdV0JUw5BEVRGch9aFQQTSEcFME0FCFwEURNNfXdZFVAHRHxNJlY=&q={searchTerms}
SearchScopes: HKLM -> OldSearch URL =
SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV9bAwFJRAZBbV9dUQtcFQUWcBRZUA8VDAZFdV0JUw5BEVRGch9aFQQTSEcFME0FCFwEURNNfXdZFVAHRHxNJlY=&q={searchTerms}
SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450270928&from=zzgbkk123&uid=st9500325as_s2w7k24vxxxxs2w7k24v&z=4b5a878395111bc5b8f17d4g4z5w8e1o1m8e5tfc0e&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13001&tm=394&src=ds&p={searchTerms}
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450270928&from=zzgbkk123&uid=st9500325as_s2w7k24vxxxxs2w7k24v&z=4b5a878395111bc5b8f17d4g4z5w8e1o1m8e5tfc0e&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13001&tm=394&src=ds&p={searchTerms}
SearchScopes: HKLM-x32 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms}
BHO-x32: Treasure Track -> {1ef422df-c387-4f0d-88d1-b75bdfd51013} -> C:\Program Files (x86)\Treasure Track\Extensions\1ef422df-c387-4f0d-88d1-b75bdfd51013.dll => Brak pliku
BHO-x32: Native Info -> {20ffc3e2-8613-4800-a80c-73ae470177af} -> C:\Program Files (x86)\Native Info\Extensions\20ffc3e2-8613-4800-a80c-73ae470177af.dll [2016-02-02] ()
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Gabrysia\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29]
CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Gabrysia\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Amsp
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Bonjour Service
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dealplylive
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dealplylivem
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IePluginService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TiMiniService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\winzipersvc
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Wpm
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Nuance PDF Reader-reminder
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Titanium
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VizorHtmlDialog.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Firefox
C:\Program Files (x86)\Lenovo
C:\Program Files (x86)\Native Info
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\175B47DD6.zot
C:\ProgramData\mntemp
C:\ProgramData\oqztiqep.adk
C:\ProgramData\074d595f-0c31-4ea0-91ea-d03ba1a766fb
C:\ProgramData\Temp
C:\Users\Alicja.asus1\AppData\Roaming\WarThunder
C:\Users\Alicja.asus1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk
C:\Users\Alicja.asus1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk
C:\Users\Alicja.asus1\Downloads\*-dp*.exe
C:\Users\Gabriela ♥\AppData\Roaming\WarThunder
C:\Users\Gabriela ♥\Downloads\*-dp*.exe
C:\Windows\System32\drivers\{3f538614-b636-4023-9ec2-564ada4b07b3}w64.sys
C:\Windows\System32\Tasks\Lenovo
CMD: netsh advfirewall reset
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść przeglądarki z adware:

Google Chrome:

Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i zaloguj się na niego, a poprzedni usuń całkowicie.
Pobierz instalator Google Chrome i nadpisz nim pliki Chrome (są prawdopodobnie zainfekowane)

Opera:

Odłącz synchronizację (o ile włączona): KLIK.
Ustawienia > karta Rozszerzenia > odinstaluj adware Native Info, o ile nadal będzie widoczne po w/w deinstalacjach.

4. W systemie są dwa aktywne konta, na razie dostarczono tylko logi z konta Alicja:

==================== Konta użytkowników: ============================= 

Alicja (S-1-5-21-1180481510-4086299747-2033843143-1015 - Administrator - Enabled) => C:\Users\Alicja.asus1

Gabriela ♥ (S-1-5-21-1180481510-4086299747-2033843143-1019 - Administrator - Enabled) => C:\Users\Gabriela ♥

Po kolei zaloguj się na każde poprzez pełny restart systemu i na każdym zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Mam też pytanie dodatkowe związane z kontami. Wg wykazu są tylko te dwa powyższe i Gość, ale na dysku widać ogromną ilość folderów nie powiązanych z kontami. Czy można je usunąć?

2016-05-01 05:15 - 2016-02-25 09:12 - 00000000 ____D C:\Users\Gabriela ♥

2016-05-01 05:15 - 2016-02-15 12:07 - 00000000 ____D C:\Users\Gabrysia.asus1

2016-05-01 05:15 - 2016-02-07 12:14 - 00000000 ____D C:\Users\Alicja.asus1

2016-05-01 05:15 - 2015-12-09 17:56 - 00000000 ____D C:\Users\Rodzina.asus1

2016-05-01 05:15 - 2015-12-03 16:14 - 00000000 ____D C:\Users\Goscie

2016-05-01 05:15 - 2015-11-08 12:24 - 00000000 ____D C:\Users\Gabriela

2016-05-01 05:15 - 2014-02-01 16:09 - 00000000 ____D C:\Users\Mateusz

2016-05-01 05:15 - 2012-08-11 10:32 - 00000000 ____D C:\Users\alicja

2016-05-01 05:15 - 2012-06-23 07:43 - 00000000 ____D C:\Users\Gość

2016-05-01 05:15 - 2012-05-20 15:25 - 00000000 ____D C:\Users\Gabrysia

bruta1ity · 6 Maja 2016

Tak, można je usunąć.

picasso · 6 Maja 2016

Usuwaniem tych folderów zajmę się potem. Wykonaj w pierwszej kolejności zadane czynności.

Edytowane 7 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Powolna praca laptopa, BSOD

Rekomendowane odpowiedzi

bruta1ity

Odnośnik do komentarza

picasso

Odnośnik do komentarza

bruta1ity

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność