Wolno otwierające się okna folderów, przegrzewanie się, samoczynne wgrywające się adware?

[aleksandra]

Cześć!

 

Sedno problemu zawarłam w temacie:"Wolno otwierające się okna folderów, przegrzewanie się, samoczynne wgrywające się adware." - na co dzień pracuję z Adobe, ciężko mi przy powyższych niedogodnościach płynnie przechodzić między oknami i folderami w Bridge, komputer się zacina, ekran gaśnie na chwilę i włącza się z powrotem, klawiatura nagrzewa się szybko pomimo permanentnej pracy chłodziarki pod komputer, przy oglądaniu filmów samoczynnie zamyka się okno przeglądarki...

 

Przed sekundą wyświetlił się blue screen z błędem, przy tym komputer zaczął niemal wyć. Niestety nie zdążyłam zapamiętać przyczyny błędu, a funkcja PRT SC nie zaskoczyła.

 

Proszę o pomoc, będę ogromnie wdzięczna za jakiekolwiek wskazówki, które zniwelują powyższe problemy.

 

Pozdrawiam,

Aleksandra

GMER.txt

Addition.txt

Shortcut.txt

FRST.txt

[picasso]

To przegrzewanie i BSOD to wygląda raczej na problem sprzętowy a nie żadnej infekcji.

 

Co widzę w raportach:

- Owszem, są tu aplikacje znane z obciążenia zasobów (Bitcoin miner GPUTemp uruchamiany z Tempów i aktywny niepożądany program Mobogenie oraz inne "Genie" z tej stajni), ale jakoś wątpię, by to było przyczyną. Mam pytanie: skąd były pobierane te programy Genie Cleaner i Genie Wifi?

- Prócz wymienionych widać różne obiekty adware, w tym przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja od zera. Na dodatek to jakaś stara wersja.

- Szczątki po komercyjnej wersji Avast IS - sterownik aswKbd filtrujący klawiaturę. W pierwszej kolejności trzeba rozwiązać filtr, dopiero po tym można usuwać sterownik.

 

R1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-08-30] (AVAST Software)

 

- Zmodyfikowany plik Windows:

 

C:\Windows\SysWOW64\User32.dll

[2013-01-09 13:05] - [2013-01-09 13:06] - 0833024 ____A (Microsoft Corporation) E01EBE6A0C7B306763667FDC60A0B25A

 

 

---

W pierwszej kolejności wyczyść system i zobaczymy co z tego wyniknie. Akcja:

 

1. Deinstalacje adware/PUP, starych wersji i zbędników:

 

----> Przez Panel sterowania odinstaluj: Adobe Reader X (10.1.13) MUI, Genie Cleaner, Genie Wifi, Google Chrome, Java 7 Update 67 (64-bit), Java 7 Update 67, Java 8 Update 25, Mobogenie3, Omiga Plus, Opera 12.02, SlimDrivers, Update for PriceFountain. Niektóre instalacje adware są uszkodzone przez AdwCleaner (zawsze się deinstaluje w pierwszej kolejności przed użyciem automatu brutalnie usuwającego składniki), ale Windows powinien zapytać czy usuwać puste wpisy.

 

----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. Powtórz proces dla odpadka po odinstalowanym McAfee, czyli Shared C Run-time for x64.

 

2. Weryfikacja plików systemowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

 

sfc /scannow

 

Gdy komenda ukończy działanie:

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 7fcf9d8f; c:\Program Files (x86)\tank perfect\TakeHalfOff.dll [4054528 2014-11-22] () [File not signed]
S2 MgAssistService; C:\Program Files (x86)\Mobogenie\MgAssist.exe [X]
S3 massfilter_hs; system32\drivers\massfilter_hs.sys [X]
HKLM-x32\...\Run: [GPUTemp] => "C:\Users\ALEKSA~1\AppData\Local\Temp\GPUTemp.exe" 
HKLM-x32\...\Run: [TkBellExe] => "C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe" -osboot
HKU\S-1-5-21-746655809-3196509524-1674948232-1018\...\Run: [Mobile Partner] => C:\Program Files (x86)\Wi-Fi Modem\Wi-Fi Modem
Startup: C:\Users\Aleksandra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sony MSS.lnk
Task: {02BC20FA-C35A-46EC-BDA5-5FA37846A862} - System32\Tasks\{D0D175B2-29EE-4F96-B401-596B18A550CC} => pcalua.exe -a "C:\Users\Aleksandra\Desktop\folder\Angielski Mowisz i Rozumiesz\setup.exe" -d "C:\Users\Aleksandra\Desktop\folder\Angielski Mowisz i Rozumiesz"
Task: {0B382264-375E-4303-BA11-7EA1343B0247} - System32\Tasks\HPCustParticipation HP Deskjet 1510 series => C:\Program Files\HP\HP Deskjet 1510 series\Bin\HPCustPartic.exe [2013-02-08] (Hewlett-Packard Co.)
Task: {10519BBD-79E9-4566-BE90-0F40544AC442} - System32\Tasks\AllmyappsUpdateTask => C:\Users\Aleksandra\AppData\Roaming\Allmyapps\AllmyappsUpdater.exe
Task: {10B4066F-615F-447D-B69F-9C661F2A0709} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
Task: {22360954-E70D-4A24-BF6D-FCBA21DE54DD} - \AutoKMS No Task File 
Task: {36FBB98D-508E-4D81-AC23-3FCE506253C7} - System32\Tasks\RegClean Prosch => C:\Program Files (x86)\RCP\RegCleanPro.exe 
Task: {5EA95FCB-A0D3-45B3-A590-3F3F3566192A} - System32\Tasks\{487566ED-83E2-404D-A024-F9EFEEC14184} => pcalua.exe -a "C:\Program Files (x86)\Photodex Presenter\uninst.exe"
Task: {60C12DB0-59AE-47D3-8816-30C2BC785ADD} - System32\Tasks\Sony Corporation\VAIO Smart Network\VSN Logon Start => net
Task: {62E4A717-1FB3-482E-A964-388CEC02CD55} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-12-24] (Google Inc.)
Task: {8B69F981-839D-4C7B-BC97-F0A10AEE69A4} - System32\Tasks\Sony Corporation\VAIO Personalization Manager\VpmLM Task Music Olik => C:\Program Files\Sony\VAIO Personalization Manager\VpmLM.exe
Task: {95BA8E52-C96F-4509-83CD-9BFA69536623} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-12-24] (Google Inc.)
Task: {D39266F1-D0AE-465F-9E86-DFF957FDD0B8} - System32\Tasks\{B3E2AFE8-2DC4-49EC-B5F5-EAF635CFC9E2} => C:\Program Files\AVAST Software\Avast\AvastUI.exe=
Task: {F4DD5174-31D2-48D3-9C18-9F8E98D6220B} - System32\Tasks\GS-Enabler-S-1622525965 => c:\programdata\softwarehouse\gs-enabler\GS-Enabler.exe 
Task: C:\Windows\Tasks\AllmyappsUpdateTask.job => C:\Users\Aleksandra\AppData\Roaming\Allmyapps\AllmyappsUpdater.exe
Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GS-Enabler-S-1622525965.job => c:\programdata\softwarehouse\gs-enabler\GS-Enabler.exe 
Task: C:\Windows\Tasks\RegClean Prosch.job => C:\Program Files (x86)\RCP\RegCleanPro.exe 
GroupPolicy: Group Policy on Chrome detected 
GroupPolicyUsers\S-1-5-21-746655809-3196509524-1674948232-1018\User: Group Policy restriction detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKU\S-1-5-21-746655809-3196509524-1674948232-1018\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE
SearchScopes: HKLM -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-746655809-3196509524-1674948232-1018 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
BHO: SearchNewTab -> {0C60861B-D0B0-71F5-D9CF-620F53983307} -> No File
BHO: SNT -> {14AE31F8-F874-D997-A2F4-DFBFD4982852} -> No File
BHO: YoutubeAdblocker -> {2A082AFC-F1D5-71F1-309E-75A7B2D52F21} -> No File
BHO: greatSSavear -> {3681356F-1744-E589-AFA6-3A6224E28262} -> No File
BHO: Shopping App by Ask -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport_x64.dll" No File
BHO: surrf, aNdd KieEp -> {4F66E9CA-1B8A-C0F0-F29D-EE4BB3184CB7} -> No File
BHO-x32: SearchNewTab -> {0C60861B-D0B0-71F5-D9CF-620F53983307} -> No File
BHO-x32: SNT -> {14AE31F8-F874-D997-A2F4-DFBFD4982852} -> No File
BHO-x32: YoutubeAdblocker -> {2A082AFC-F1D5-71F1-309E-75A7B2D52F21} -> No File
BHO-x32: greatSSavear -> {3681356F-1744-E589-AFA6-3A6224E28262} -> No File
BHO-x32: Shopping App by Ask -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" No File
BHO-x32: surrf, aNdd KieEp -> {4F66E9CA-1B8A-C0F0-F29D-EE4BB3184CB7} -> No File
Toolbar: HKLM - Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport_x64.dll" No File
Toolbar: HKLM-x32 - Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" No File
AlternateDataStreams: C:\ProgramData\Microsoft:nGkMlqJAoLb9qpV1V
AlternateDataStreams: C:\ProgramData\Microsoft:uqWqbR0E916DHyVPcABZew
AlternateDataStreams: C:\ProgramData\Microsoft:vjmDhHf15M1MSPMuRDQFZ
AlternateDataStreams: C:\ProgramData\Microsoft:wmv0AskE4yQfsKR6WZANo7eI
C:\Program Files (x86)\Google
c:\Program Files (x86)\tank perfect
C:\ProgramData\__FileUploader.log
C:\ProgramData\uxxadbmu.rlu
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ProShow Gold.lnk
C:\Users\Olik\AppData\Local\Google
C:\Users\Olik\AppData\Roaming\lrtUaqBKnWTGyOXP31hKwJC4HDL3
C:\Users\Olik\Downloads\*(*)-dp*.exe
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}
CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. W Panelu sterowania zlikwiduj konto Aleksandra, potwierdzając usunięcie danych użytkownika - to konto uszkodzone logowane via profil tymczasowy:

 

==================== Accounts: =============================
 

Aleksandra (S-1-5-21-746655809-3196509524-1674948232-1000 - Administrator - Enabled) => C:\Users\TEMP

Olik (S-1-5-21-746655809-3196509524-1674948232-1018 - Administrator - Enabled) => C:\Users\Olik

 

5. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz raporty z folderu C:\AdwCleaner (był używany, nie uruchamiaj ponownie, chodzi o wyniki poprzednie). Wypowiedz się czy są jakieś zmiany.

[aleksandra]

Punkt 1.

 

Na liście nie ma: "Google Update Helper"

 

 

 

Nie wiem, jak bardzo istotną kwestią jest kolejność wykonywanych działań także poczekam na informację, co zrobić z powyższym, a dopiero potem będę kontynuować.

 

PS. Odpowiadając na pytanie - nie mam pojęcia, sama nie doprowadziłam do ich instalacji.

[picasso]

Kolejność zadań owszem jest istotna. Ta pozycja mogła zniknąć przy deinstalacji Google Chrome. Wprawdzie element został stworzony przez adware, ale użyty ten sam klucz instalacyjny, więc przeglądarka mogła to potraktować jako część własną. Kontynuuj dalej.

[aleksandra]

Zadania wykonane.

 

Nie ma już problemu z oknami, photoshop również zachowuje się płynniej, spory czas jednak trwał rozruch i włączenie się przeglądarki, nie wspominając o tym, że przeglądarka samoczynnie się zamyka.

 

 

Addition.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Ten Fix został wykonany dwa razy, Fix jest jednorazowy i nie przetworzy ponownie tego samego. Poproszę o pierwszy log z serii - dostarcz najstarszy plik z archiwum logów: C:\FRST\Logs\Fixlog_data_czas.txt (chodzi o kopię Fixlog a nie głónego FRST).

[aleksandra]

proszę.

Fixlog_21-02-2015_12-10-06.txt

[picasso]

Poprzednie zadania wykonane, filtr Avast z klawiatury już zdjęłam w skrypcie i można bezpiecznie usunąć sterownik Avast. Poprawki:

 

1. Nie została odinstalowana pozycja Java 8 Update 25. To nie jest najnowsza wersja. Aktualizację będziemy robić na końcu.

 

2. Otwórz Notatnik i wklej w nim:

 

R1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-08-30] (AVAST Software)
S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16152 2015-02-20] ()
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
HKU\S-1-5-21-746655809-3196509524-1674948232-1018\...\Run: [GenieFloater] => C:\Program Files (x86)\Genie Soft\Genie Cleaner\GenieFloater.exe
C:\Program Files (x86)\Genie Soft
C:\Program Files (x86)\Mobogenie3
C:\Users\Olik\AppData\Local\GscWare
C:\Users\Olik\AppData\Local\Opera
C:\Users\Olik\AppData\Roaming\appdataFr3.bin
C:\Users\Olik\AppData\Roaming\Mobogenie
C:\Users\Olik\AppData\Roaming\Opera
C:\Users\Olik\Documents\Genie Soft
C:\Users\Olik\Documents\Mobogenie
C:\Users\Public\Documents\GenieSoft
C:\Windows\System32\Drivers\aswKbd.sys
C:\Windows\system32\Drivers\SWDUMon.sys
Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Opera" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Price Fountain" /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, powstanie kolejny fixlog.txt. Pokaż go.

 

3. W kwestii:

 

spory czas jednak trwał rozruch i włączenie się przeglądarki, nie wspominając o tym, że przeglądarka samoczynnie się zamyka

Wg FRST nie ma żadnych zainstalowanych rozszerzeń - czy odpowiada to temu co widzisz w Operze? Dodatkowo, uruchom w pasku adresów stronę opera://plugins i zrób zrzut ekranu co tam widać.

[aleksandra]

Java 8 Update 25 odinstalowana. Log w załączniku. Przed zrobieniem zrzutów tylko dodam, że komputer strasznie zwolnił - zachowuje się gorzej niż na początku. 10 minut pisałam ten post.

 

 

Screeny w załączniku:

Fixlog.txt

[picasso]

Przed zrobieniem zrzutów tylko dodam, że komputer strasznie zwolnił - zachowuje się gorzej niż na początku. 10 minut pisałam ten post.

Poproszę o nowe raporty z FRST, zaznacz też pole Addition, by było widać ostatnio nagrane błędy w Dzienniku zdarzeń.

[aleksandra]

Proszę:

Addition.txt

FRST.txt

[picasso]

Z raportów nic nie wynika. Komputer działa wolno już podczas procesu startu, czy zaczyna spowalniać w trakcie użytkowania? Czy komputer nadal się przegrzewa?

[aleksandra]

Spowalnia w trakcie użytkowania, start jest płynny. Komputer nadal hałasuje dość głośno podczas pracy, fakt.

[picasso]

Proponuję jednak na wszelki wypadek wykonać diagnostykę sprzętową. Proszę założ nowy temat w dziale Hardware i dostarcz dane wymagane działem: KLIK. Zlinkuj też do tego topiku, by było wiadome jaka była geneza, co już zrobione w systemie. Kto inny będzie się zajmował tematem w dziale sprzętowym, to nie jest moja specjalizacja.

[aleksandra]

Super! Oczywiście zrobię to ;-)

 

Pozdrawiam i serdeczne dzięki!, bardzo mi pomogłaś ;-)!

[aleksandra]

Witam ponownie!

 

Wszystkie sprawy, które działy się wcześniej, powróciły. Mianowicie: wolno otwierające się okna folderów, samoczynne wgrywające się adware, komputer się zacina, ekran gaśnie na chwilę i włącza się z powrotem - to dzieje się przede wszystkim wtedy, kiedy oglądam film, strasznie jest to uciążliwe, komputer strasznie wolno się włącza - zajmuje mu to przynajmniej 4 minuty, po czym aby uruchomiła się na przykład przeglądarka - trwa to kolejne 7 do 8 minut. I znów - przed sekundą wyświetlił się blue screen z błędem, przy tym komputer zaczął niemal wyć. Niestety nie zdążyłam zapamiętać przyczyny błędu, a funkcja PRT SC nie zaskoczyła.

 

 

Pozdrawiam,

Aleksandra

gmer.txt

Shortcut.txt

Addition.txt

FRST.txt