Analiza logów OTL, Empty.pif, Tok-Cirrhatus

[matthew4]

Od kilku dni mam problemy z komputerem. Komputer się dziwnie zachowuje, kilka razy się zresetował ale to nic wielkiego... dziś w BIOSie wyskoczył mi komunikat że nie mam podłączonego dysku twardego. Po dwóch restartach mogłem wejść do BIOSu i wybrać urządzenie rozruchowe. Zauważyłem w systemie dziwne procesy. Zamykałem je ale to nie dawało skutku. W autostarcie wyłączyłem Empty.pif (już znikł z tej listy), Tok-Cirrhatus, Tok-Cirrhatus-2487. Dziwne procesy już się nie pojawiają ale to niczego nie zmienia - komputer nadal szwankuje. Proszę o pomoc ponieważ antywirus nie wykrywa zagrożenia i nie potrafię się pozbyć tych szkodników.

PS. Mam na komputerze jeszcze Heur.W32
Dostępne tylko dla zarejestrowanych użytkowników
teraz muszę przy każdym włączeniu komputera wchodzić do BIOSu i wybierać skąd ma być wczytany system...

[filutka78]

teraz muszę przy każdym włączeniu komputera wchodzić do BIOSu i wybierać skąd ma być wczytany system...

W tym dziale zajmiemy się tylko infekcją, natomiast o powyższym problemie napisz w innym dziale Forum.

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2011-02-12 15:49:14 | 000,000,000 | -HSD | M] -- C:\Users\Mateusz\AppData\Roaming\.#
[2012-05-03 16:27:53 | 000,000,000 | ---D | M] -- C:\Users\Mateusz\AppData\Roaming\Babylon
[2011-07-31 17:01:47 | 000,000,002 | ---- | C] () -- C:\ProgramData\timerxfile
[2011-07-31 17:01:47 | 000,000,002 | ---- | C] () -- C:\ProgramData\datesavefile
[2011-07-31 17:01:47 | 000,000,001 | ---- | C] () -- C:\ProgramData\varsavefile
[2011-07-31 17:01:46 | 000,004,768 | ---- | C] () -- C:\ProgramData\operaprefs.ini
[2013-05-26 18:10:40 | 000,045,348 | -H-- | C] () -- C:\Windows\sembako-anzjbro.exe
[2013-11-30 13:04:35 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Local\Bron.tok-18-30
[2013-11-29 12:33:48 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Local\Bron.tok-18-29
[2013-11-28 18:44:40 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Local\Ok-SendMail-Bron-tok
[2013-11-28 18:42:15 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Local\Loc.Mail.Bron.Tok
[2013-11-28 18:37:15 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Local\Bron.tok-18-28
[2012-05-10 14:54:50 | 000,143,240 | ---- | C] (Ask.com) -- C:\Program Files (x86)\Common Files\ApnStub.exe
[2011-07-31 17:01:46 | 000,347,136 | RHS- | C] (NirSoft) -- C:\ProgramData\nircmd.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.45.2)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.45.2)
O9 - Extra Button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files (x86)\Bonjour SDK\Bin\ExplorerPlugin.dll File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O4 - HKU\S-1-5-21-1205229233-3990701351-2569999014-1000..\Run: [Google Update] "C:\Users\Mateusz\AppData\Local\Google\Update\GoogleUpdate.exe" /c File not found
O4 - HKLM..\Run: [NPSStartup] File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (&Tłumaczenie) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - C:\Program Files (x86)\Techland\Common\InternetTranslator\InternetTranslator.dll File not found
O3 - HKLM\..\Toolbar: (HyperCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\HyperCam Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.3.8\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\HyperCam Toolbar\tbcore3.dll ()
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll (Babylon BHO)

:Files
netsh advfirewall reset /C

:Reg
[-HKEY_USERS\S-1-5-21-1205229233-3990701351-2569999014-1000\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Przeskanuj komputer przy pomocy MBAM http://www.hotfix.pl/obsluga-programu-m ... re-a55.htm
Dostępne tylko dla zarejestrowanych użytkowników
Daj z tego raport.

4) Zrób nowy log z OTL.

F.

[matthew4]

adw
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników



MBAM
Dostępne tylko dla zarejestrowanych użytkowników

OTL
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

[HKEY_USERS\S-1-5-21-1205229233-3990701351-2569999014-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

[HKEY_USERS\S-1-5-21-1205229233-3990701351-2569999014-1007\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-



Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

Większość z tego, co wykrył MBAM, to pliki *exe - nie podoba mi się to.
Pisałeś, że Twój Antywirus nic nie wykrył, więc przeskanuj komputer przy pomocy >Dostępne tylko dla zarejestrowanych użytkowników
>>kliknij na: pobierz program Dr.WebCureIt i wyślij statystyki
>zaznacz: I accept Dr.Web License Agreement.
>kliknij: Continue
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >
>Dostępne tylko dla zarejestrowanych użytkowników
Napisz, co wykrył.

F.

[matthew4]

Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Nie widzę tu żadnej poważnej infekcji. Na szczęście.

F.

[matthew4]

Jeśli to wszystko to serdecznie dziękuję za pomoc.

PS.

W tym dziale zajmiemy się tylko infekcją, natomiast o powyższym problemie napisz w innym dziale Forum.

O który dział chodzi ?

[djkamil09061991]

O który dział chodzi ?

Problemy