Proszę o sprawdzenie logów OTL

Post28 lut 2013, 22:22

Witam,

Proszę o pomoc. Przy uruchomieniu komputera ale bez dostępu do internetu jest wszystko ok. Po włączeniu wi-fi komputer na ok 25 min. tak zwalnia że nie mogę nic zrobić. Później jest ok aż do następnego zamknięcia i ponownego uruchomienia.

Poniżej logi:

olt.text - Dostępne tylko dla zarejestrowanych użytkowników
extras.text - Dostępne tylko dla zarejestrowanych użytkowników

Post01 mar 2013, 19:34

"{889DF117-14D1-44EE-9F31-C5FB5D47F68B}" = Yontoo 1.10.03
"{16D0F2D2-242C-4885-BEF1-4B1655C141AE}" = Bing Bar
"Ad-Remover" = Ad-Remover par C_XX

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\msi\msi Software Install\MGHwCtrl.sys -- (MGHwCtrl)
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {8C8D2250-F98E-4D24-B09B-485A848935E0}
IE:64bit: - HKLM\..\SearchScopes\{8C8D2250-F98E-4D24-B09B-485A848935E0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=MSITDF&pc=MAM3&src=IE-SearchBox
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{61B211DF-BDDE-4AA1-AE49-6EC8F70BEF7F}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=MSITDF&pc=MAM3&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
IE - HKCU\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll (Microsoft Corporation)
IE - HKCU\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A}
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=119370&babsrc=SP_ss&mntrId=d67e8af50000000000006c626d3045c7
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2786678
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\DELTA TECH\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\DELTA TECH\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
[2011/04/21 16:01:57 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
CHR - Extension: Yontoo = C:\Users\DELTA TECH\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [Google Update] C:\Users\DELTA TECH\AppData\Local\Google\Update\GoogleUpdate.exe (Google Inc.)
O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O8:64bit: - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found
O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found
@Alternate Data Stream - 24 bytes -> C:\Windows:CD9520B751578834
@Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:9E22BBE8

:Files
C:\Program Files (x86)\Google\Update
C:\Users\DELTA TECH\AppData\Local\Google\Update
C:\windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaje log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

Post02 mar 2013, 10:20

Log z usuwania OTL - Dostępne tylko dla zarejestrowanych użytkowników

Log z ADWCleaner - Dostępne tylko dla zarejestrowanych użytkowników

Log z TDSSKliller - po wykonaniu czynności nie wyskoczył plik tekstowy.

nowe logi z OTL -http://wklej.eu/index.php?id=0ca49bad82

Dalej są te same objawy po restarcie systemu i podłączeniu do neta.

-- 02 mar 2013, 11:20 --

Zrobiłem jeszcze raz scan i wygenerowałem raport:

Log z TDSSKliller - Dostępne tylko dla zarejestrowanych użytkowników

Post02 mar 2013, 15:24

Dalej są te same objawy po restarcie systemu i podłączeniu do neta.

Dopiero po skończeniu tematu będą wyniki.

ADWCleaner.

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2013/03/02 01:16:54 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SoftwareUpdater
[2011/04/21 09:26:08 | 000,000,017 | ---- | C] () -- C:\windows\SysWow64\shortcut_ex.dat
[2011/02/26 00:32:15 | 000,131,368 | ---- | C] () -- C:\ProgramData\FullRemove.exe

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post02 mar 2013, 20:14

log z usuwania - Dostępne tylko dla zarejestrowanych użytkowników

log z Autoruns - Dostępne tylko dla zarejestrowanych użytkowników

Post03 mar 2013, 13:39

Autoruns.

Log ma być w formie pliku .ARN.

Post03 mar 2013, 13:52

log z Autoruns - Dostępne tylko dla zarejestrowanych użytkowników

Post03 mar 2013, 19:34

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

APSDaemon
HPUsageTrackingLEDM
NUSB3MON
StartCCC
VirtualCloneDrive

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AMD External Events Utility
cvhsvc
FLEXnet Licensing Service
FLEXnet Licensing Service 64
gupdate
gupdatem
Micro Star SCM
MotoHelper
MozillaMaintenance
MSI Foundation Service
MSSQL$ECSQLEXPRESS
OberonGameConsoleService
ose
osppsvc
sftlist
sftvsa
SQLBrowser
SQLWriter
WinDefend
WMPNetworkSvc

Logi.

Następnie podajesz nowe logi z OTL.

Post03 mar 2013, 20:22

Wszystko odznaczone i usunięte, nie mogłem odszukać:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

nowe logi z OTL - Dostępne tylko dla zarejestrowanych użytkowników

Post03 mar 2013, 20:27

DELTATECH pisze:Wszystko odznaczone i usunięte, nie mogłem odszukać:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

nowe logi z OTL - Dostępne tylko dla zarejestrowanych użytkowników

Nie wszystko, co się dało poszło. To się zdarza. Popraw to w trybie awaryjnym.

Post03 mar 2013, 21:23

czyli odpalić kompa w trybie awaryjnym i powtórzyć czynności ?

-- 03 mar 2013, 22:23 --

jeśli jest możliwość to proszę o dalsze wskazówki

Post04 mar 2013, 18:16

czyli odpalić kompa w trybie awaryjnym i powtórzyć czynności ?

Tak. Te w Autoruns.

jeśli jest możliwość to proszę o dalsze wskazówki

Z chęcią, z tym, że po powtórce w Autoruns podaj nowe logi z OTL, bo to zmienia wszystko

.

Post04 mar 2013, 18:56

udało się dokończyć poprawki w Autoruns w trybie awaryjnym (mam nadzieję że niczego nie ominąłem)

nowe logi z OTL - Dostępne tylko dla zarejestrowanych użytkowników

Post04 mar 2013, 19:16

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\windows\system32\StikyNot.exe File not found
O8:64bit: - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found
O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java(TM) 6 Update 30
"{32A3A4F4-B792-11D6-A78A-00B0D0160240}" = Java(TM) SE Development Kit 6 Update 24

Odinstaluj i zainstaluj najnowsza wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{AC76BA86-7AD7-5760-0000-900000000003}" = Japanese Fonts Support For Adobe Reader 9

Odinstaluj i zainstaluj najnowsza wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5

Odinstaluj i zainstaluj najnowsza wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

Post05 mar 2013, 14:42

wszystkie czynności zrobione

log z usuwania - Dostępne tylko dla zarejestrowanych użytkowników

Malwarebytes nic nie wykrył - Dostępne tylko dla zarejestrowanych użytkowników

-- 05 mar 2013, 10:02 --

Dzisiaj po odpaleniu systemu pojawił się na pulpicie w dolnym prawym rogu napis:

Windows 7
Kompilacja 7601
Ta kopia systemu Windows nie jest oryginalna.

-- 05 mar 2013, 15:42 --

Zaczęły też przychodzić na skrzynkę firmową dziwne wiadomości :

OD: aparise@scdsb.edu.on.ca
Temat: New Alert,Read Inside, Don`t Miss Out

This Company Needs Your Complete Attention Today. This stock is ready to start a fresh week on a good note!

Trade Date: Tuesday, Mar 5th, 2013
Company: GOLD & GEMSTONE MINING, INC.
Symbol to buy: GG SM
Last Trade: $.02
Target: 0.20

This Company may have a Huge Bounce Potential, chart inside!!! This Company Is Looking to Break Out.

i jeszcze coś takiego: adresat i nadawca ten sam - Dostępne tylko dla zarejestrowanych użytkowników Kierownik ds. kluczowych klientow.pdf