Prośba o sprawdzenie logów OTL

Post30 wrz 2013, 12:11

Witam, jak dodać log z OTL na Wklej.to.pl ?

-- 30 wrz 2013, 11:56 --

Ok, wkleiłem, teraz tylko proszę o sprawdzenie loga z OTL.
Dostępne tylko dla zarejestrowanych użytkowników

Post30 wrz 2013, 12:38

Regulamin Bezpieczeństwa

Zakaz dopisywania się do cudzych wątków.
Każdy ma mieć własny indywidualny temat przeznaczony tylko i jedynie dla niego. Każdy przypadek jest indywidualny. Nie ma dwóch takich samych przypadków, jeżeli nawet inna osoba zarazi się takim samym odmianą wirusa.
Posty które zostaną dopisane zostaną usunięte albo przedzielone do nowegu wątku!

1. Należy przedstawić dokładne szczegóły związane z systemem:
Czy wyskakują jakieś ostrzeżenia / błędy
Jeżeli były używane wcześniej jakieś skanery / programy usuwające wirusy należy dołączyć z nich raporty albo wspomnieć o tym w wątku.
Opisać czy użytkownik podejmował jakieś kroki elminujące dany problem, o ile takie były.
Podawać pełne sformułowania tych błędów. Screeny / raporty / pełne komunikaty / precyzyjne informacje. Żadnych skrótów!

2. Jeżeli temat jest prowadzony w tej samej chwili na inny forum to należy podać link do tematu.

Obowiązkowe logi:
OTL.txt i Extras.txt --> http://www.hotfix.pl/obsluga-programu-otl-a143.htm
TDSSKiller --> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm

Logi wrzucamy na:
Dostępne tylko dla zarejestrowanych użytkowników

Post03 paź 2013, 08:17

Mam system Windows 7 64-bit, żadne błędy nie wyskakują, mam Avast antywirus i Comodo firewall, miesiąc temu usunąłem 2 robaki szpiegujące programem Malware-bytes, chciałem skontrolować stan laptopa, aha, pliku extras.txt program OTL po skanowaniu nie wygenerował.

-- 03 paź 2013, 08:17 --

Halo, jest tu kto?

Post03 paź 2013, 21:08

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes\{c1d89ae7-449d-4929-b24b-fded04adbe06}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=iesearch
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [binary data]
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=A436C417FE013BA4&affID=120665&tt=150813_ctrl1&tsp=4975
IE - HKCU\..\SearchScopes\{c1d89ae7-449d-4929-b24b-fded04adbe06}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=iesearch
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_168.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.25.2: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Sebastian\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Sebastian\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
[2013/08/27 08:20:54 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Firefox\Profiles\04be7swl.default-1351318584404\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2013/09/23 10:55:05 | 000,534,729 | ---- | M] () (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\firefox\profiles\04be7swl.default-1351318584404\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
[2013/08/03 19:39:28 | 000,824,302 | ---- | M] () (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\firefox\profiles\04be7swl.default-1351318584404\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.25.2)
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} Dostępne tylko dla zarejestrowanych użytkowników (WRC Class)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.25.2)
O20:64bit: - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O20 - Winlogon\Notify\igfxcui: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013/09/30 08:26:59 | 023,438,664 | ---- | C] (Mozilla) -- C:\Users\Sebastian\Documents\Firefox Setup 24.0.exe
[2013/09/08 20:30:48 | 000,000,000 | ---D | C] -- C:\Users\Sebastian\Desktop\Autoruns
[2013/08/28 11:55:02 | 000,000,000 | ---D | C] -- C:\ProgramData\GlarySoft
[2013/08/28 11:49:48 | 000,117,024 | ---- | C] (Glarysoft Ltd) -- C:\Windows\SysNative\BootDefrag.exe
[2013/08/28 11:49:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Glary Utilities 3
[2013/08/28 11:49:27 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Glary Utilities 3
[2013/05/29 00:37:46 | 006,590,679 | ---- | C] (Cenega Poland Sp. z o.o. ) -- C:\Users\Sebastian\Documents\Oficjalne spolszczenie Grand Theft Auto San Andreas - Cenega 100%.exe
[2012/02/19 15:20:14 | 002,371,152 | ---- | C] (DownVision ) -- C:\Users\Sebastian\AppData\Local\setup.exe
[2009/11/05 05:33:04 | 000,036,136 | ---- | C] (Oberon Media) -- C:\ProgramData\FullRemove.exe
@Alternate Data Stream - 152 bytes -> C:\ProgramData\TEMP:07BF512B
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:587EB586
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:A1063995
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:C31F31E6

:Files
C:\Program Files (x86)\Google\Update
C:\Users\Sebastian\AppData\Local\Google\Update
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Scan, a potem Clean) + nowe logi z OTL (oba!).

Post04 paź 2013, 08:43

Oto wykonany log z OTL

Dostępne tylko dla zarejestrowanych użytkowników

-- 04 paź 2013, 08:14 --

To następnie log z ADWCleaner
Dostępne tylko dla zarejestrowanych użytkowników

-- 04 paź 2013, 08:42 --

późniejszy log z OTL
Dostępne tylko dla zarejestrowanych użytkowników
oraz log extras z OTL

-- 04 paź 2013, 08:43 --

Dostępne tylko dla zarejestrowanych użytkowników

Post06 paź 2013, 10:01

"InstallShield_{72B776E5-4530-4C4B-9453-751DF87D9D93}" = Acer Backup Manager
"Glary Utilities 3" = Glary Utilities 3.9.2
"Acer Screensaver" = Acer ScreenSaver

Odinstaluj.

ADWCleaner.

Naciśnij w Nim przycisk Uninstall.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_pl
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
[2013/10/04 07:36:56 | 000,000,000 | ---D | C] -- C:\AdwCleaner

:Files
C:\Windows\tasks\*.*
C:\Users\Sebastian\AppData\Local\Temp*.html

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post11 paź 2013, 00:24

Hej kominekl, robiłem czyszczenie i defragmentację dysku oraz rejestru programem Glary Utilities, oraz usunąłem ww. programy oprócz "InstallShield_{72B776E5-4530-4C4B-9453-751DF87D9D93}" = Acer Backup Manager, ponieważ nie mogę tego pliku znaleźć. Oto log z OTL po wykonaniu wklejonego skryptu:

Dostępne tylko dla zarejestrowanych użytkowników

A oto log z Autoruns:

Dostępne tylko dla zarejestrowanych użytkowników

-- 11 paź 2013, 00:24 --

Hej, hej, pomożecie?

Post12 paź 2013, 11:09

Hej, hej, pomożecie?

Podaj log z Autoruns (nowy, przez moja nieobecność - przepraszam).

Post12 paź 2013, 22:46

Ok,

, wrzucam aktualny log z Autoruns:

Dostępne tylko dla zarejestrowanych użytkowników

Post13 paź 2013, 15:33

Autoruns.

W Dostępne tylko dla zarejestrowanych użytkowników (jeśli czegoś nie znajdziesz, bądź nie będzie chciało pójść to spróbuj w trybie normalnym, jeśli nadal nie będzie chciało pójść to tylko odznacz), w Autoruns usuń następujące wpisy (co nie będzie dało się usunąć to po prostu odznacz):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IAAnotif
IgfxTray
Persistence
RtHDVCpl

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

LManager

HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers

Glary Utilities 3

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
IAANTMON
LMS
ServiceLayer
UNS
Updater Service

HKLM\System\CurrentControlSet\Services

networx
NTIDrvr
StarOpen
UBHelper
vserial

HKLM\System\CurrentControlSet\Control\Session Manager\AutorunsDisabled\BootExecute

Wszystko z frazą File Not Found.

Następnie podajesz nowe logi z OTL.

Post14 paź 2013, 20:33

Hej, usunąłem lub wyłączyłem ww. procesy, oprócz trzech procesów, ponieważ po wyłączeniu wszystkich wskazanych procesów ekran samoczynnie się ściemniał do minimalnej wartości po kilku,kilkunastu minutach od startu systemu mimo ciągłej pracy na laptopie, a oto nowy log z OTL:

Dostępne tylko dla zarejestrowanych użytkowników

log extras z OTL:

Dostępne tylko dla zarejestrowanych użytkowników

Post20 paź 2013, 10:09

Sebastian pisze:log extras z OTL:

W Autoruns nie zrobiłeś wszystkiego - popraw.