Proszę o sprawdzenie OTL i Extras. Co dalej robić?

[xsara177]

Jestem pierwszy raz na tej stronie i prosze o pomoc.Problem jest z wirusem chyba weelsof po odpaleniu komputera wyskakuje komunikat "Twój komputer został zablokowany przez policje".Proszę o fachową pomoc i przy okazji sprawdzenie systemu czy nie mam jakiegoś syfu co jest nie potrzebne.A bym zapomniał system był sprawdzany przez Combofix ktory rozwiazał problem ale po szperaniu w internecie problem sie wznowił,nastepnym programem był Malwarebytes Anti-Malware,Advanced SystemCare, Kaspersky nic nie zdziałał i jeszcze jedno system tak jakby za długo sie wczytywał i razem z nim programy podczas startu.

System operacyjny: Windows 7 Ultimate 64bit
Procesor: INTEL CORE i7 2600k 3.4 GHz-4.6GHz
Pamięć: Pariot DDR3 4x2048 MB 1600MHz CL8.0 Viper Xtreme
Dysk: WD Caviar Green 750GB SATA600
Karta: HIS Radeon HD 6870 IceQ 1GB DDR5
Płyta: ASUS P8P67-M PRO R3.0 3x PCI-Express x16
Zasilacz: OCZ ZS 650 SLI and ATI CrossFire 135mm



OTL:
Dostępne tylko dla zarejestrowanych użytkowników

EXTRAS:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"Akamai" = Akamai NetSession Interface
"UnityWebPlayer" = Unity Web Player

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{E40FB6D5-E84C-4369-94C9-D591B17CFCAC}
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&st=6&barid={E40FB6D5-E84C-4369-94C9-D591B17CFCAC}
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3741681512-2175035064-600337337-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3741681512-2175035064-600337337-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3741681512-2175035064-600337337-1000\..\SearchScopes\{8E5C0D8D-CBB3-4d00-A784-512202BFFB4A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-3741681512-2175035064-600337337-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&st=6&barid={E40FB6D5-E84C-4369-94C9-D591B17CFCAC}
IE - HKU\S-1-5-21-3741681512-2175035064-600337337-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Ponton\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-21-3741681512-2175035064-600337337-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [] File not found

:Files
C:\Users\Ponton\AppData\LocalLow\Unity
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\Qoobox
C:\Windows\erdnt
C:\Users\Ponton\AppData\Roaming\Unity
C:\Users\Ponton\AppData\Local\Unity
C:\ProgramData\Tarma Installer
C:\Users\Ponton\AppData\Local\Akamai
C:\Config.Msi
C:\ProgramData\Norton
C:\ProgramData\NortonInstaller
C:\Program Files (x86)\Temp
C:\ProgramData\DeviceVm
C:\Program Files (x86)\DeviceVM
C:\Users\Ponton\AppData\Local\Temp
C:\Windows\tasks\*.*
C:\Users\Ponton\AppData\Roaming\ESET
C:\Users\Ponton\AppData\Roaming\SecureTraveler
C:\Users\Ponton\AppData\Roaming\Security_File

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

[xsara177]

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

Log "szukaj" z AdwCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

Log "usuń" z AdwCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

Log z TDSSKiller:
Dostępne tylko dla zarejestrowanych użytkowników

Nowy log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Nowy Extras z OTL:
Dostępne tylko dla zarejestrowanych użytkowników



Troszkę roboty ale i troszkę wiedzy przybyło:)Dziękuję za szybką pomoc ale zobaczymy co pokażą nowe Logi:))

-- 28 gru 2012, 22:52 --

Popełniłem błąd w skrypcie log z usuwania nie wkleiłem z OLT. Co teraz bo nie chce namieszac juz namieszalem?

-- 28 gru 2012, 23:17 --

Wszystko robione od początku

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

Log "usuń" z AdwCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

Log z TDSSKiller:
Dostępne tylko dla zarejestrowanych użytkowników

Nowy log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Combofix.

Pobierz to na pulpit (nie uruchamiaj!) -> http://www.hotfix.pl/articles.php?article_id=41. Następnie wejdź w START -> URUCHOM -> i wklej tam -> "C:\Users\Ponton\Desktop\Combofix.exe" /uninstall .

ADWCleaner.

Uninstall.

OTL.

Następnie podaj nowe logi z OTL.

[xsara177]

Wszystko usunięte + nowe logi
Dostępne tylko dla zarejestrowanych użytkowników

Prosiłbym jeszcze o sprawdzenie autoruns zauważyłem plik Bonjour słyszałem że to zamula kompa i sie instaluje razem z Microsoft Word 2003/7
Dostępne tylko dla zarejestrowanych użytkowników

-- 30 gru 2012, 21:32 --

??

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdvancedSystemCareService6
AMD External Events Utility
BCUService
PnkBstrA
WinDefend
wlidsvc
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries

mdnsNSP

Logi.

Następnie podajesz nowe logi z OTL.

[xsara177]

Można prosić o dokładniejsze wyjaśnienie

czyli z:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mam wszystko(realtek) zaznaczyć i usunąć czy wszystko odznaczyć z
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

?????

[kominekl]

Można prosić o dokładniejsze wyjaśnienie

czyli z:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mam wszystko(realtek) zaznaczyć i usunąć czy wszystko odznaczyć z
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

?????

Wszystko w tym kluczu odznaczyć i usunąć.

[xsara177]

Czy plik Bonjour powinien być?

Pliku Gretech Video Filter e:\programy\gomplayer\gvf.ax nie mozna usunąć "Error deleting start setting. Nie można odnaleść określonego pliku.

I jeszcze jedno coś usunołem niechcący ale nie wiem co;/ żaden błąd nie wyskoczył przy usuwaniu możę to był zaznaczony właściwy plik ale nie jestem pewny.

Autoruns:
Dostępne tylko dla zarejestrowanych użytkowników

OTL:
Dostępne tylko dla zarejestrowanych użytkowników

-- 30 gru 2012, 23:54 --

Nie wiem co się stało ale musiałem zrobić przywracanie systemu napewno coś źle zrobiłem w autoruns(pierwszy raz sie tym bawie ale słyszałem że ta aplikacja pomaga więc poprosiłem o sprawdzenie autoruns) nie wiem na jakim etapie jestem trzeba wszystko robić od początku.Powiem co i jak robiłem.

1::krok
Autoruns odznaczyłem wszystkie ważne pliki tak jak mam wyżej reszte usunołem i chyba za dużo skasowałem;p
2::krok
Zrobiłem log Aut.
3::krok
Nowy log z OTL.
4::krok
Dodałem na strone logi
5:Po tym oczyściłem programem Advanced SystemCare 6(wszystko oprócz defragmentacji dysku bo z 4 dni temu była robiona)==>> Dostępne tylko dla zarejestrowanych użytkowników
6::krok
System zaczął długo się wczytywać na ekranie Zapraszamy! ładował sie z 2-3min
Jak zapraszamy znikło pojawił sie czarny ekran i na nim tylko kursor myszki też długo sie ładował 3-4min
W końcu pojawił się pulpit i tak to wyglądało==>> Dostępne tylko dla zarejestrowanych użytkowników a wcześniej tak(przed przywróceniem sys)==>> Dostępne tylko dla zarejestrowanych użytkowników
Brak dostępu do internetu,brak dżwięku
6::krok
wszedłem w msconfig usługi jak i uruchamianie było wyłaczone(wszystko)
7::krok
Wszedłem w menedżer urządzeń(karta graficzna,sieciowa,muzyczna i jeszcze coś ale nie pamiętam)usunięte
8::krok
Przywracanie systemu
A teraz trzeba od nowa wszystko robić;/
Ale przygoda była:))

[kominekl]

Czy plik Bonjour powinien być?

Pytanie nie jest sprecyzowane. Bonjour jest niepotrzebnym programem tak naprawdę. Nie masz Go na liście zainstalowanych programów, stąd mniemam, że został on usunięty, jednak zrobiono to prawdopodobnie "na twardo", czyli w sposób niepoprawny, bez uprzedniego użycia odpowiedniego deinstalatora, to skutkuje w wielu przypadkach uszkodzeniem sieci.

Pliku Gretech Video Filter e:\programy\gomplayer\gvf.ax nie mozna usunąć "Error deleting start setting. Nie można odnaleść określonego pliku.

OK.

Nie wiem co się stało ale musiałem zrobić przywracanie systemu napewno coś źle zrobiłem w autoruns(pierwszy raz sie tym bawie ale słyszałem że ta aplikacja pomaga więc poprosiłem o sprawdzenie autoruns) nie wiem na jakim etapie jestem trzeba wszystko robić od początku.Powiem co i jak robiłem.

Problem z Bonjour tu się odezwał, poniżej znajdziesz rozwiązanie tegoż problemu .

Autoruns odznaczyłem wszystkie ważne pliki tak jak mam wyżej reszte usunołem i chyba za dużo skasowałem;p

Co prawda powyższy log jest nieaktualny, ale nie usunąłeś wszystkiego. Pamiętaj, najpierw odznaczasz to, o czym mówimy w danym kluczu, a następnie to, co odznaczyłeś - usuwasz (to tak na przyszłość ) .

Ale przygoda była:))

Sylwester w końcu dziś .

Bonjour.

Przejdźmy do rozwiązania problemu z Bonjour. Jak wspomniałem tego siew taki sposób nie usuwa .To plik w łańcuchu Winsock i nie wolno go kasować "na żywca" nie wypinając w pierwszej kolejności z łańcucha. To może się skończyć trwałym odcięciem od sieci. Widzimy to tu:

O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

Wejdź w START -> Uruchom -> regedit -> i skasuj klucz dostawcy Bonjour:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000007

Następnie skoryguj liczbę dostawców w kluczu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries

W tym celu wykonaj dwuklik w wartość Num_Catalog_Entries i zamień figurującą tam aktualnie liczbę 7 na 6, a następnie zrestartuj system i podaj nowe logi z OTL.

[xsara177]

Jeszcze nie zrobiłem restartu komputera ale zrobilem tak jestem w tym catalogu entries i sa katalogi od 00000000001 do 00000000009 cały 0000000007 usunołem a 2 rzecz

W tym celu wykonaj dwuklik w wartość Num_Catalog_Entries i zamień figurującą tam aktualnie liczbę 7 na 6, a następnie zrestartuj system i podaj nowe logi z OTL." Umnie jest nie 7 tylko 9 ?

[kominekl]

Jeszcze nie zrobiłem restartu komputera ale zrobilem tak jestem w tym catalogu entries i sa katalogi od 00000000001 do 00000000009 cały 0000000007 usunołem a 2 rzecz

OK.

W tym celu wykonaj dwuklik w wartość Num_Catalog_Entries i zamień figurującą tam aktualnie liczbę 7 na 6, a następnie zrestartuj system i podaj nowe logi z OTL." Umnie jest nie 7 tylko 9 ?

Dobrze, że się zgłosiłeś. Liczba dostawców jest inna niż podaje to protokół O10. Nie stanowi to żadnego problemu, gdyż pomija on uważane przez Niego za standardowe obszary. A więc korekta. Zmień figurującą tam liczbę 9 na 8.

[xsara177]

Jescze nie zmienilem na 8 ale mam Num_Catalog_Entries65 na 8 nie pomiesza sie z Num_Catalog_Entries też z 8 i jeszcze jedno dodawałem zdjęcie tutaj na forum i zauwazyłem ze mi sie interent wyłacza i po 3 odswiezeniach strony włacza?

[kominekl]

Jescze nie zmienilem na 8 ale dodawałem zdjęcie tutaj na forum i zauwazyłem ze mi sie interent wyłacza i po 3 odswiezeniach strony włacza?

Sprawdź, czy to reguła, czy na innych stronach problem wygląda ponownie, być może to chwilowy problem sieci. Na pewno nie jest to powiązane z sytuacją z Bonjour.

[xsara177]

Na każdej stronie mam Adres jest nieprawidłowy