Windows 7 - Panel zakrywający pulpit po uruchomieniu systemu, co to może być?

Witam,

Dzisiaj po uruchomieniu systemu i zalogowaniu się na użytkownika zauważyłem taki oto obrazek.



Nie jestem w stanie stwierdzić czy przed pojawieniem się tego "panelu" był widoczny pulpit czy nie. Panel przykrywał wszystko, łącznie z paskiem zadań. Po najechaniu myszką na losowy kwadracik, ten się podświetlał na chwilkę i gasł. Robił tak jednorazowo, następnie najechanie na ten sam kwadracik nie powodowało żadnej akcji. Po kliknięciu guzika "Windows" na klawiaturze pokazywał się pasek zadań, jednak po otworzeniu Eksploratora, bądź przeglądarki Chrome/Firefox te chowały się za tym panelem, nie można było ich w ogóle zobaczyć. Jedyne co można było otworzyć przed panelem to Menedżer zadań. Uważałem przy tym, aby nie kliknąć w żadnym wypadku gdzieś na tym dziwnym panelu. Po restarcie systemu panel zniknął i jak gdyby nigdy nic wszystko działa jak wcześniej.

Po tej sytuacji uruchomiłem pełny skan Avast - znalazł "PNP: Win32:PUP-gen [PUP]". Został przeniesiony do kwarantanny.
Poczytałem również tutaj na forum co zrobić:
- pełny skan Malwarebytes zrobiony - log w załączniku,
- skan AdwCleaner zrobiony - log w załączniku,
- skan FRST zrobiony - logi w załączniku.

Pierwszy raz zdarzyło mi się coś tak dziwnego jak ten panel, próbowałem znaleźć coś na ten temat w Internecie jednak bez powodzenia. Bardzo proszę o przeglądnięcie logów i informację czy coś groźnego siedzi w systemie.

A z drugiej strony - czy ktoś z Was spotkał się z czymś takim ?

Pozdrawiam,
Chwilowy2

Zapewne wyswietlil to ktorys z zainstalowanych programow, moze cos niechcacy kliknales lub samo sie wlaczylo.

Fixlist.txt dla FRST:
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.33.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{91A41FCC-BC02-42D8-A36E-0D27FF9BFFC8}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.33.7\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.29.2\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1538046009-141824678-1528231420-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Michal\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku
Task: {5E7DD9CB-A5E9-4B22-B59F-D409C71BEBF3} - System32\Tasks\{90FB9D75-E573-4D4C-8A99-C79305D83743} => C:\Windows\system32\pcalua.exe -a C:\DRIVERS\WIN\CAMERA\Install.exe -d "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Integrated Camera Driver for windows"
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-1538046009-141824678-1528231420-1000\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [3884720 2017-10-04] (ALLPlayer.org)
HKU\S-1-5-21-1538046009-141824678-1528231420-1000\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep"
HKU\S-1-5-21-1538046009-141824678-1528231420-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe
HKU\S-1-5-21-1538046009-141824678-1528231420-1000\...\MountPoints2: {2c90856a-f486-11e2-9228-6036dd7ed0e1} - F:\AutoRun.exe
HKU\S-1-5-21-1538046009-141824678-1528231420-1000\...\MountPoints2: {8cfecbe9-1e12-11e3-bbe8-3c970e6a93f9} - F:\AutoRun.exe
HKU\S-1-5-21-1538046009-141824678-1528231420-1000\...\MountPoints2: {e964e266-f3b1-11e2-b3cb-6036dd7ed0e1} - F:\AutoRun.exe
HKU\S-1-5-21-1538046009-141824678-1528231420-1000\...\MountPoints2: {e964e27b-f3b1-11e2-b3cb-6036dd7ed0e1} - F:\AutoRun.exe
HKU\S-1-5-21-1538046009-141824678-1528231420-1000\...\MountPoints2: {f531f307-0ebc-11e5-9f25-6036dd7ed0e1} - F:\SISetup.exe
HKU\S-1-5-21-1538046009-141824678-1528231420-1000\...\MountPoints2: {f9f846e6-072c-11e3-8871-6036dd7ed0e1} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\index.htm
HKU\S-1-5-18\...\RunOnce: [SPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
2018-01-02 18:38 - 2018-01-02 18:43 - 000000000 ____D C:\AdwCleaner

Witaj Kolobos,

Dziękuję za przeglądnięcie logów i podesłanie rozwiązania.
Jeden z rejestrów nie został usunięty, rzucisz proszę na to okiem ?

Czyli ten panel, który wyskoczył nie jest niczym groźnym ?
Nie dopatrzyłeś się niczego w logach ?


Pozdrawiam,
Chwilowy2

> Jeden z rejestrów nie został usunięty, rzucisz proszę na to okiem ?

Zostal, ale i tak nie ma to znaczenia, to tylko pare zbednych wpisow.

> Czyli ten panel, który wyskoczył nie jest niczym groźnym ?

Nie, zreszta zawiera linki do normalnych stron, to zapewne jakies oprogramowanie od Lenovo lub Hp, ale to tylko przypuszczenia.

> Nie dopatrzyłeś się niczego w logach ?

Tylko to co widac.

Witaj Kolobos,

Sprawa wraca, dosłownie przed chwilą znowu pojawił się ten panel.
Laptop był uśpiony, po włączeniu i zalogowaniu zobaczyłem panel. Objawy jak wcześniej, nie widać żadnego z otworzonych okien, nie można ich "przywołać" przed ten panel. Po restarcie panel znika i wszystko działa jak wcześniej.

Wspomniałeś, że panel zawiera linki do normalnych stron - w jaki sposób to sprawdziłeś ?


Pozdrawiam,
Chwilowy2

Mogles nacisnac alt+ctrl+del, wlaczyc menadzer zadan i sprawdzic co to za proces.

> Wspomniałeś, że panel zawiera linki do normalnych stron - w jaki sposób to sprawdziłeś ?

Widze nazwy przyciskow, do tego w logach nie bylo widac infekcji.

Zrobię tak następnym razem, ale na liście mam dość sporo procesów. Zrobić screen'a czy jest jakiś sposób na ich spisanie ?

Również widzę nazwy przycisków, jednak loga stron/firm do których się one odwołują są nieaktualne. Czy nie jest to zastanawiające? Nie powinna włączyć się "czerwona lampka"?

Zamykaj procesy az sie zamknie to okno, wtedy bedziesz wiedzial co dokladnie to wyswietla.

Ewentualnie zainstaluj Process Explorer, w programie ustaw zeby startowal zamiast menadzera zadan i po jego wlaczeniu przeciagnij ikone celownika na to okno, wtedy wyswietli Ci sie nazwa procesu.

Ok, dziękuję. Następnym razem postaram się sprawdzić co to za proces.

Pozdrawiam,
Chwilowy2