Zamulony cały windows

[dziubi21]

Witam mam strasznie zamulony windows. Mulą się i wieszają wszystkie programy i cały windows. Start i zamknięcie systemu zajmuje ponad minutę. 

Daję logi:

 

FRST: Addition: http://wklej.org/id/1350678/

FRST: http://wklej.org/id/1350680/

Shortcut: http://wklej.org/id/1350681/

OTL:  http://wklej.org/id/1350683/

Proszę o pomoc.

Dodaje log z GMER: http://wklej.org/id/1351167/

Podczas skanu wyskoczył mi komunikat: "C:\Users\...\ntuser.dat: Proces nie może uzyskać dostępu do pliku ponieważ jest on używay przez inny proces."

A OTL nie wygenerował mi loga Extras

[picasso]

A OTL nie wygenerował mi loga Extras

W opisie tworzenia raportów jest wyszczególnione która opcja za to odpowiada: opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania".

 

 

mam strasznie zamulony windows. Mulą się i wieszają wszystkie programy i cały windows. Start i zamknięcie systemu zajmuje ponad minutę.

W raportach nie notuję czynnej infekcji trojanami, ale owszem jest czynny odpadkowy sterownik {572f484b-455f-44b0-9d6a-da3ad2071365}Gw64 po źle doczyszczonym adware. Dodatkowo, jest tu zainstalowany program Classic Start 8 od crawler.com. Producent jest wiązany z instalacjami adware: KLIK.

 

W Dzienniku zdarzeń są też różne błędy oprogramowania Hewlett-Packard, nie wiadomo czy to tylko skutki czy przyczyna:

 

==================== Event log errors: =========================
 

Application errors:

==================

Error: (05/03/2014 03:22:59 PM) (Source: Application Error) (User: )

Description: Nazwa aplikacji powodującej błąd: HPWMISVC.exe, wersja: 3.0.1.0, sygnatura czasowa: 0x4ffa6477

Nazwa modułu powodującego błąd: HPWMISVC.exe, wersja: 3.0.1.0, sygnatura czasowa: 0x4ffa6477

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x0000128a

Identyfikator procesu powodującego błąd: 0x620

Godzina uruchomienia aplikacji powodującej błąd: 0xHPWMISVC.exe0

Ścieżka aplikacji powodującej błąd: HPWMISVC.exe1

Ścieżka modułu powodującego błąd: HPWMISVC.exe2

Identyfikator raportu: HPWMISVC.exe3

Pełna nazwa pakietu powodującego błąd: HPWMISVC.exe4

Identyfikator aplikacji względem pakietu powodującego błąd: HPWMISVC.exe5
 

Error: (05/03/2014 09:23:06 AM) (Source: Application Error) (User: )

Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.16441, sygnatura czasowa: 0x5265dec8

Nazwa modułu powodującego błąd: hprpguard.dll, wersja: 0.0.1.1, sygnatura czasowa: 0x50124031

Kod wyjątku: 0xc000041d

Przesunięcie błędu: 0x0000000000002907

Identyfikator procesu powodującego błąd: 0xb74

Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0

Ścieżka aplikacji powodującej błąd: Explorer.EXE1

Ścieżka modułu powodującego błąd: Explorer.EXE2

Identyfikator raportu: Explorer.EXE3

Pełna nazwa pakietu powodującego błąd: Explorer.EXE4

Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5
 
 

System errors:

=============

Error: (05/03/2014 03:25:52 PM) (Source: Service Control Manager) (User: )

Description: Usługa HPWMISVC niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.
 

Error: (05/03/2014 03:23:20 PM) (Source: Service Control Manager) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi HPWMISVC.
 

Error: (05/03/2014 03:20:22 PM) (Source: Service Control Manager) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi hpqwmiex.

 

 

Wstępnie:

 

1. Usuń czynny sterownik adware oraz wpisy odpadkowe i szczątki używanych skanerów. Otwórz Notatnik i wklej w nim:

 

R1 {572f484b-455f-44b0-9d6a-da3ad2071365}Gw64; C:\Windows\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}Gw64.sys [61120 2014-04-24] (StdLib)
C:\Windows\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}Gw64.sys
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
Task: {7D2778D8-7B2A-4977-813D-F05FD2DCBE68} - System32\Tasks\SlimDrivers Startup => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe
Task: C:\WINDOWS\Tasks\SlimDrivers Startup.job => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe
C:\Program Files (x86)\SecurityXploded
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Freemake
C:\ProgramData\Norton
C:\Users\dziubi\Doctor Web
C:\Users\dziubi\AppData\Local\Norman Malware Cleaner
C:\Users\dziubi\AppData\Roaming\Mozilla
C:\Users\dziubi\Desktop\SXAntivirusKit.lnk
C:\WINDOWS\PSEXESVC.EXE
C:\WINDOWS\SysWOW64\sqlite3.dll
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Proponuję pozbyć się Classic Start 8.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i logi z folderu C:\AdwCleaner (był używany). Wypowiedz się czy są jakieś zmiany.

 

 

 

 

.

[dziubi21]

Daję logi:

 

FRST: http://wklej.org/id/1353818/

fixlog: http://wklej.org/id/1353820/

ADWCleaner: http://wklej.org/id/1353822/

http://wklej.org/id/1353823/

 

Co do zmian to jutro coś napiszę. Ale pierwsze wrażenia na plus.

[dziubi21]

Jest nieco lepiej ale jeszcze coś go boli. Np. dźwięk słychać dopiero po kilku kilkunastu sekundach gdy włączę film czy mp3.