Mulowate odpalanie systemu na laptopie

[rafalmik]

Witam

przywracanie systemu dopiero z 5 lub 6 punktu udalo mi sie uruchomic sprzet.

na ta chwile: okolo 10min odpala sie system do momentu logowania

aha i gdy juz zobacze okno logowania ****** ( gwiazdki same zapelniaja miejsce na haslo uzupelniaja ciurkiem, musze skasowac i dopiero moge wpisac haslo)

eset nod32 wyleczyl:

Java/Exploit.Agent.PEF  *.PPI   *.PJT  *.PLW  rozne koncowki bylo 8szt.

malwarebytes anti-malware nic nie wykryl.

spybot rowniez cos znalazl i wykasowal

w zalaczeniu logi z OTL i FRST

z gory serdecznie dziekuje za pomoc

pozdrawiam

rafal

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

Temat przenoszę do działu Windows. Nie wygląda to na sprawę infekcji. Owszem, są resztki po rootkicie ZeroAccess w kluczu HKCU i Koszu (nieczynne) oraz adware, ale to nie ma związku z podstawowymi problemami. W spoilerze instrukcje doczyszczania.

 

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Winlogon: [shell] explorer.exe 
HKCU\...409d6c4515e9\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess?
HKCU\...\Run: [syshost32] - C:\Users\Piotrek\AppData\Local\{AA8461D2-279E-1E5A-0F34-B217ED9BA09B}\syshost.exe
Unlock: C:\$Recycle.Bin\S-1-5-21-3831495605-292676251-1450271164-1000\$3f25e78dce4969f5730804719c8082b4
CMD: rd /s /q C:\$Recycle.Bin
HKLM-x32\...\Run: [] - [x]
HKLM-x32\...\Run: [ApnUpdater] - "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [x]
SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={E25BAEFC-4207-450F-9F63-9D1E2D99D5DF}&mid=cb0890e2096647d08a79e1b0ab5dfad2-07407291480c4b54e5ee79bf368d0bec301ddad3&lang=pl&ds=xn011&pr=sa&d=2013-01-01 00:46:38&v=15.5.0.2&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {0321069C-DE2E-43BD-A943-77D66B693B98} URL = http://websearch.ask.com/redirect?client=ie&tb=NCH2&o=APN10113&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^A5O&apn_dtid=^YYYYYY^YY^PL&apn_uid=058f9a3c-0431-4d36-95f4-89cd2975b453&apn_sauid=380E3A99-1933-4A5B-809A-6DD62F89B4BE
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={E25BAEFC-4207-450F-9F63-9D1E2D99D5DF}&mid=cb0890e2096647d08a79e1b0ab5dfad2-07407291480c4b54e5ee79bf368d0bec301ddad3&lang=pl&ds=xn011&pr=sa&d=2013-01-01 00:46:38&v=15.5.0.2&pid=avg&sg=0&sap=dsp&q={searchTerms}
BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Task: {4745DC98-AB06-4E8E-BA03-6F373875323D} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{BCD20585-EC1E-4EEA-9E44-50E49E285FFE}.exe
Task: {9DDC628D-D7B7-44BC-A4C3-B2A60E986357} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{BCD20585-EC1E-4EEA-9E44-50E49E285FFE}.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj Ask Toolbar, AVG Security Toolbar, a także od razu i Bing Bar (kilka procesów mniej w starcie).

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

 

 

 

Po wykonaniu akcji ze spoilera:

 

Mulowate odpalanie systemu na laptopie

1. Pierwszy wybitny typ, który tu na pewno wstrzymuje start systemu, to usługa Hewlett-Packard. W Dzienniku zdarzeń jest następujący bardzo charakterystyczny błąd:

 

System errors:

=============

Error: (09/18/2013 09:51:24 AM) (Source: Service Control Manager) (User: )

Description: Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

 

To znany problem, usługę należy wyłączyć. Od razu wyłączysz i inne zbędne rzeczy ze startu. Uruchom Autoruns i w karcie Services odznacz pozycję hpqddsvc (czyli Usługa HP CUE DeviceDiscovery) oraz te (by widzieć wpis WinDefend Microsoftu, musisz w opcjach zaznaczyć pokazywanie wpisów Microsoftu):

 

SRV:64bit: - [2013-05-27 07:50:47 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

SRV - [2012-07-13 17:27:00 | 000,769,432 | ---- | M] (Nero AG) [Auto | Running] -- C:\Program Files (x86)\Nero\Update\NASvc.exe -- (NAUpdate)

SRV - [2012-07-13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)

SRV - [2011-02-02 15:08:16 | 000,018,656 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe -- (Autodesk Content Service)

SRV - [2010-03-18 12:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)

SRV - [2010-02-19 14:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)

 

W karcie Logon odznacz te pozycje:

 

HKLM\...\Run: [AdobeAAMUpdater-1.0] - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [500208 2010-03-06] (Adobe Systems Incorporated)

HKCU\...\Run: [iSUSPM] - C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [222496 2009-05-05] (Acresso Corporation)

HKLM-x32\...\Run: [switchBoard] - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)

HKLM-x32\...\Run: [AdobeCS5ServiceManager] - C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe [406992 2010-02-22] (Adobe Systems Incorporated)

HKLM-x32\...\Run: [HP Software Update] - C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe [54840 2007-05-08] (Hewlett-Packard)

HKLM-x32\...\Run: [indexSearch] - C:\Program Files (x86)\Nuance\PaperPort\IndexSearch.exe [46952 2011-08-02] (Nuance Communications, Inc.)

HKLM-x32\...\Run: [PaperPort PTD] - C:\Program Files (x86)\Nuance\PaperPort\pptd40nt.exe [30568 2011-08-02] (Nuance Communications, Inc.)

HKLM-x32\...\Run: [PDFHook] - C:\Program Files (x86)\Nuance\PDF Viewer Plus\pdfpro5hook.exe [636192 2010-03-05] (Nuance Communications, Inc.)

HKLM-x32\...\Run: [PDF5 Registry Controller] - C:\Program Files (x86)\Nuance\PDF Viewer Plus\RegistryController.exe [62752 2010-03-05] (Nuance Communications, Inc.)

 

Zresetuj system. To już powinno pomóc, ale dalsze działania do przeprowadzenia:

 

2. Pozbądź się przestarzałego ESET NOD32 Antivirus (z roku 2009). To kolejny delikwent, który tu może dorzucać cegłę, no i stary. Dodatkowo odinstaluj Spybot - Search & Destroy, gdyż program aktualnie dość mierny i przestarzały. Po ich pozbyciu się nie instaluj na razie żadnego oprogramowania antywirusowego.

 

3. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KB972034. Aktualnie HOSTS zaprawiony immunizacją Spybot, ponad 15 tysięcy linii w pliku przetwarzane, a to może mieć skutki uboczne (zawieszanie usługi Klient DNS):

 

O1 HOSTS File: ([2013-09-17 13:55:02 | 000,450,662 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hosts

O1 - Hosts: 192.168.1.56 erp.opwik

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 www.008k.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 www.00hq.com

O1 - Hosts: 127.0.0.1 00hq.com

O1 - Hosts: 127.0.0.1 010402.com

O1 - Hosts: 127.0.0.1 www.032439.com

O1 - Hosts: 127.0.0.1 032439.com

O1 - Hosts: 127.0.0.1 www.0scan.com

O1 - Hosts: 127.0.0.1 0scan.com

O1 - Hosts: 127.0.0.1 1000gratisproben.com

O1 - Hosts: 127.0.0.1 www.1000gratisproben.com

O1 - Hosts: 127.0.0.1 1001namen.com

O1 - Hosts: 127.0.0.1 www.1001namen.com

O1 - Hosts: 127.0.0.1 100888290cs.com

O1 - Hosts: 127.0.0.1 www.100888290cs.com

O1 - Hosts: 127.0.0.1 www.100sexlinks.com

O1 - Hosts: 127.0.0.1 100sexlinks.com

O1 - Hosts: 127.0.0.1 10sek.com

O1 - Hosts: 127.0.0.1 www.10sek.com

O1 - Hosts: 127.0.0.1 www.1-2005-search.com

O1 - Hosts: 127.0.0.1 1-2005-search.com

O1 - Hosts: 15468 more lines...

 

4. Drobniejsza sprawa do korekty, czyli ten błąd WMI numer 10:

 

Application errors:

==================

Error: (09/18/2013 09:49:54 AM) (Source: WinMgmt) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

 

Uruchom narzędzie Fix-it: KB2545227. Automatycznie skoryguje usterkę.

 

5. Uruchom TFC - Temp Cleaner.

 

Po wszystkich działaniach ze spoilera oraz wyżej podanych w punktach 1-5 zrób nowy skan FRST (bez Addition). Dołącz także plik fixlog.txt i log z AdwCleaner.

 

 

.

[rafalmik]

dzien dobry

bardzo dziekuje za pomoc komp chodzi oka. noda zainstaluje dzis. zalaczam logi z FRST i AdwCleanera

nie widze pliku fixlog.txt i nie moge znalesc, gdzie on siedzi?

FRST.txt

[picasso]

Nie ma tu żadnego raportu z AdwCleaner, na dodatek dałeś mi ponownie Addition o którego nie prosiłam (usuwam).

 

nie widze pliku fixlog.txt i nie moge znalesc, gdzie on siedzi?

Powinien być tam skąd uruchamiałeś FRST. Tylko, że w podanym logu nie ma żadnych oznak wykonania skryptu do FRST, wpisy infekcji nadal są. Co Ty właściwie robiłeś i w jaki sposób?

 

 

.