Sprawdzenie logga OTL, problemy z explorer.exe

[orlowskiw]

Ostatnio explorer.exe zaczął się zawieszać i restartować, czyściłem rejestr CCleanerem, odinstalowałem nieużywane programy, defragmentowałem dysk, i czyściłem puste miejsce. Dodatkowo przeskanowałem komputer BitDefender. Nic nie pomogło. Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Ostatnio explorer.exe zaczął się zawieszać i restartować, czyściłem rejestr CCleanerem, odinstalowałem nieużywane programy, defragmentowałem dysk, i czyściłem puste miejsce. Dodatkowo przeskanowałem komputer BitDefender. Nic nie pomogło.

No to teraz moja kolej . Odinstaluj BitDeffender - antywirus dobry, ale nie mam do Niego ufności. Argument mówiący, że mam rację? Jest tu infekcja, a on jej nie wykrył. Śmiech.

O33 - MountPoints2\{1f96d067-920e-11e1-9e8c-00037a96fc2b}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\index.html

Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Deletion i pokaz utworzony przez niego log -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgvmodem.sys -- (LGVMODEM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmdobex.sys -- (lgmdobex)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmdmgmt.sys -- (lgmdmgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmdmdm.sys -- (lgmdmdm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmdmdfl.sys -- (lgmdmdfl)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmdbus.sys -- (lgmdbus)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgbtbus.sys -- (lgbusenum)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgbtport.sys -- (LgBttPort)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\FsUsbExDisk.SYS -- (FsUsbExDisk)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (as66qkgr)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1719508074-3951510777-4068941917-1001\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=-1&toolbar_version=&install_country=PL&install_date=20111017&user_guid=C17E15E246F544A5937E0462F2B1CCFB&machine_id=845fda55cf15c6149aa18ee3f73b0637&browser=IE&os=win&os_version=6.1-x86-SP1&iesrc={referrer:source}
IE - HKU\S-1-5-21-1719508074-3951510777-4068941917-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1719508074-3951510777-4068941917-1001\..\SearchScopes\{4FE444BC-9E6D-48DF-8002-407011536858}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-1719508074-3951510777-4068941917-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Teresa\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Teresa\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
[2011-06-20 14:47:30 | 000,189,088 | ---- | M] ( ) -- C:\Program Files\mozilla firefox\plugins\npVividasPlayer.dll
[2005-03-08 23:13:28 | 000,001,085 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\ling-pl.gif
[2006-10-10 08:13:22 | 000,000,916 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\ling-pl.src
O3 - HKU\S-1-5-21-1719508074-3951510777-4068941917-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-19..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-20..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.7.2)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)

:Files
C:\Program Files\Google\Update
C:\Users\Teresa\AppData\Local\Google\Update
C:\5ff4fafc6e7434854b8edc072fb595a4
C:\Users\Teresa\AppData\Roaming\7za.exe
C:\Windows\tasks\*.*
C:\Users\Teresa\Documents\*.reg
C:\Users\Teresa\AppData\Roaming\EurekaLog

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL (oba! - tym razem pominąłeś jeden log z Niego) -> http://hotfix.pl/articles.php?article_id=143.

[orlowskiw]

Dziękuję za szybką odpowiedź, bitdeffender odinstalowany, póki co załączam brakujący log extras, a za chwilę zajmę się resztą instrukcji. Jeszcze pytanie w jakim celu mam przeskanować podłączone pamięci, w zasadzie korzystam tylko z pamięci wewnętrznej telefonu?
Dostępne tylko dla zarejestrowanych użytkowników

-- 11 sty 2013, 21:56 --

Log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
ADWCleaner: Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników
Z góry dziękuję za analizę

-- 11 sty 2013, 22:11 --

log z USBfix: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

USBFix.

Miałeś go użyć w podany sposób z opcji Deletion, a nie Research. Popraw.

Jeszcze pytanie w jakim celu mam przeskanować podłączone pamięci, w zasadzie korzystam tylko z pamięci wewnętrznej telefonu?

Klucz MountPoints wskazuje na związki infekcyjne, aczkolwiek w takiej postaci, że zagrożenia brak i wirusa też zapewne, aczkolwiek trzeba wykonać (nie można robić roboty na "odwal się") .

ADWCleaner.

Miał zostać użyty z opcji Delete, a nie Search.

O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)

1. Użyj tego -> Dostępne tylko dla zarejestrowanych użytkowników.
2. Uruchom LSP-Fix -> Dostępne tylko dla zarejestrowanych użytkowników i za jego pomocą przesuń plik mdnsNSP.dll z okna Keep do Remove (w linku opis jak to się robi). I restart komputera.
3. Po resecie można wywalić katalog Bonjour.
4. Użyj tego -> Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a470fcyv)
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
[2013-01-11 20:07:18 | 000,000,000 | ---D | C] -- C:\Users\Teresa\Desktop\tds
[2013-01-07 18:06:42 | 000,000,000 | ---D | C] -- C:\Users\Teresa\AppData\Roaming\liQeNSoft
[2013-01-07 17:44:22 | 000,000,000 | ---D | C] -- C:\Program Files\Bitdefender
[2013-01-07 17:43:52 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Bitdefender
[2013-01-07 17:42:50 | 000,000,000 | ---D | C] -- C:\Users\Teresa\AppData\Local\liQeNSoft
[2013-01-07 17:27:37 | 000,000,000 | ---D | C] -- C:\ProgramData\BDLogging
[2013-01-07 17:23:13 | 000,000,000 | ---D | C] -- C:\Users\Teresa\AppData\Roaming\QuickScan
[2013-01-11 19:49:08 | 000,225,553 | ---- | M] () -- C:\ProgramData\1357929968.bdinstall.bin
[2013-01-07 17:51:28 | 000,579,135 | ---- | M] () -- C:\ProgramData\1357577048.bdinstall.bin
[2013-01-07 17:30:32 | 000,588,877 | ---- | M] () -- C:\ProgramData\1357575752.bdinstall.bin
[2013-01-07 17:28:24 | 000,253,404 | -H-- | M] () -- C:\bdr-ld01
[2013-01-07 17:28:24 | 000,009,216 | -H-- | M] () -- C:\bdr-ld01.mbr
[2013-01-07 17:28:24 | 000,000,308 | -H-- | M] () -- C:\bdr-cf01

:Files
C:\Users\Teresa\AppData\Roaming\a.7z

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[orlowskiw]

ADWCleaner: Dostępne tylko dla zarejestrowanych użytkowników
USBFix: Dostępne tylko dla zarejestrowanych użytkowników
OTL po skrypcie: Dostępne tylko dla zarejestrowanych użytkowników

-- 14 sty 2013, 16:59 --

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"Usbfix" = UsbFix By El Desaparecido

Odinstaluj.

ADWCleaner.

Uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a55zlodt)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error.
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1719508074-3951510777-4068941917-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1719508074-3951510777-4068941917-1001\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}

:Services
gupdate
gupdatem

:Files
C:\UsbFix
C:\656eec9ecc0435f969e5c26ca9f8
C:\013658fa1c59816c73e2
C:\8f6fce3d4a263a80537808066d698919
C:\b69482f8afef4b312bd59de292bdc1
C:\UsbFix_Upload_Me_TERESA-KOMPUTER.zip
$Recycle.Bin /alldrives
C:\AdwCleaner[R1].txt
C:\AdwCleaner[S1].txt
C:\AutoMapaSetupLog.txt
C:\bdlog.txt
C:\bdr-bz01
C:\bdr-cf01
C:\bdr-im01.gz
C:\bdr-ld01
C:\bdr-ld01.mbr
C:\TDSSKiller.2.7.22.0_11.01.2013_20.08.54_log.txt
C:\TDSSKiller.2.8.15.0_11.01.2013_20.09.18_log.txt
C:\TDSSKiller.2.8.15.0_11.01.2013_20.10.37_log.txt
C:\Temp
C:\UsbFix.txt
C:\vraylog.txt
C:\VRSpawner.log

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[orlowskiw]

OTL po skrypcie: Dostępne tylko dla zarejestrowanych użytkowników
Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
AMD External Events Utility
Autodesk Licensing Service
FLEXnet Licensing Service
IDriverT
Microsoft Office Groove Audit Service
MozillaMaintenance
odserv
ose
SkypeUpdate
SolidWorks Licensing Service
Sony PC Companion
SwitchBoard
TabletServiceWacom
WinDefend

HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.

[orlowskiw]

Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników\
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

http://wikisend.com/download/723690/AutoRuns.rar
OTL: Dostępne tylko dla zarejestrowanych użytkowników\
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Sprawdź, czy w trybie awaryjnym nie będziesz mógł jeszcze czegoś usunąć w Autoruns.

[orlowskiw]

Czy jest szansa na przywrócenie usuniętego klucza? (konkretnie klucza mechanizmu udzielania licencji dla Photoshop)

[kominekl]

Czy jest szansa na przywrócenie usuniętego klucza? (konkretnie klucza mechanizmu udzielania licencji dla Photoshop)

Da się ale łatwiej będzie zreinstalować usługę. Czekamy na nowe logi z OTL.