Sprawdzenie logów otl i gmer

[seba_pl2]

Będę wdzięczny za pomoc:)

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników
GMER: Dostępne tylko dla zarejestrowanych użytkowników

Objawy: nie można kopiować plików, brak drukarek i połączeń sieciowych na liście, okna Windowsa nie są widoczne po zminimalizowaniu na pasek.

[kominekl]

"SkanerOnline" = Skaner on-line mks_vir

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\zfhsh5usr6i6u43t2q3awhrejaew81.exe -- (zfhsh5usr6i6u43t2q3awhrejaew80)
SRV - File not found [Auto | Stopped] -- C:\Program Files\sys\sys.dll -- (sys)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\sopidkc.exe -- (sopidkc)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\msncache.dll -- (msncache)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes,DefaultScope = {56256A51-B582-467e-B8D4-7786EDA79AE0}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\TEST\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\TEST\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
O2 - BHO: (Reg Error: Value error.) - {39D67F39-6F48-438A-80A2-F86FE363C215} - C:\WINDOWS\system32\ljJAQHyW.dll File not found
O2 - BHO: (Reg Error: Value error.) - {47baef63-3597-432b-b967-51202bdfe651} - C:\WINDOWS\system32\hapowoko.dll File not found
O2 - BHO: (Reg Error: Value error.) - {6E26DBE1-F022-4E7D-A2DF-A5B183611C51} - C:\WINDOWS\system32\qoMeDWpP.dll File not found
O2 - BHO: (QXK Olive) - {83EB5BB1-B24D-41FB-8D66-7F570E5BFA80} - C:\WINDOWS\gfetqaxsmnw.dll File not found
O2 - BHO: (Reg Error: Value error.) - {8f6ced3a-721e-4b79-8c71-0fe68eec613c} - C:\WINDOWS\system32\bcevgo.dll File not found
O2 - BHO: (Rmn plugin) - {ABADC07C-9990-405a-AA24-2C209B50AE79} - svchstb.dll File not found
O3 - HKLM\..\Toolbar: (gxvpsafm) - {7D1DDA59-1111-444F-95B3-2B3B9264BB4E} - C:\WINDOWS\gxvpsafm.dll File not found
O4 - HKLM..\Run: [RunTasktray] "C:\Program Files\Hewlett-Packard\HP Easy Printer Care\HPPRun.exe" --regkeypath=Software\Hewlett-Packard\HP Easy Printer Care\HPPRun --valuename=InstallTTM File not found
O4 - HKLM..\Run: [Salestart] "C:\Program Files\Common Files\OczyszczaczKomputerza\stm.exe" dm=http://oczyszczaczkomputerza.com ad=http://oczyszczaczkomputerza.com sd=http://paistutta.oczyszczaczkomputerza.com File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Lsass Service = C:\Documents and Settings\TEST\Dane aplikacji\Microsoft\Windows\lsass.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: explorer = C:\Documents and Settings\TEST\Dane aplikacji\Microsoft\Windows\iexplorer.exe
O15 - HKLM\..Trusted Domains: hp.com ([]http in Trusted sites)
O15 - HKLM\..Trusted Domains: hp.com ([]https in Trusted sites)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} Dostępne tylko dla zarejestrowanych użytkowników (OggX Control)
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} Dostępne tylko dla zarejestrowanych użytkowników (MainControl Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} Dostępne tylko dla zarejestrowanych użytkowników (WUWebControl Class)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} Dostępne tylko dla zarejestrowanych użytkowników (MksSkanerOnline Class)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.4.0_03)
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe) - File not found
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe) - File not found
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) - File not found
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-4854517753-7932706285-670339032-6724\winmap32.exe) - File not found
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe) - File not found
O20 - Winlogon\Notify\ljJAQHyW: DllName - (ljJAQHyW.dll) - File not found
O28 - HKLM ShellExecuteHooks: {39D67F39-6F48-438A-80A2-F86FE363C215} - C:\WINDOWS\system32\ljJAQHyW.dll File not found
O28 - HKLM ShellExecuteHooks: {9b3be9fb-25ca-4911-9339-ee67f76d720b} - C:\WINDOWS\system32\bcevgo.dll File not found
O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\qoMeDWpP) - File not found
[2012-11-15 08:23:37 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2012-11-15 08:23:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\TEST\Dane aplikacji\Malwarebytes
[2012-11-15 08:23:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes
@Alternate Data Stream - 199 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:683E787C
@Alternate Data Stream - 104 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:A1454082

:Files
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\TEST\Ustawienia lokalne\Dane aplikacji\Google\Update

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z USBFix (z opcji Deletion, przy podłączonych pamięciach przenośnych) -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm + log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL -> http://hotfix.pl/articles.php?article_id=143.

[seba_pl2]

Oto logi:
Dostępne tylko dla zarejestrowanych użytkowników OTL po wykonaniu skryptu
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników AdwCleaner

przy USBfix mam jakiś błąd przy uruchamianiu, może to przez to że nic z nośników nie jest podłączone pod USB?? OTL extras też się nie pojawił (opcje były ustawione jak spod linku).

[kominekl]

przy USBfix mam jakiś błąd przy uruchamianiu, może to przez to że nic z nośników nie jest podłączone pod USB?? OTL extras też się nie pojawił (opcje były ustawione jak spod linku).

Szczegóły błędu? A najlepiej spróbuj w trybie awaryjnym.

[seba_pl2]

Ok poszło z awaryjnego:

Dostępne tylko dla zarejestrowanych użytkowników USBfix deletion

[kominekl]

ADWCleaner.

Uninstall.

USBFix.

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
IE - HKU\S-1-5-21-1960408961-113007714-839522115-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
O4 - HKU\.DEFAULT..\Run: [kell] C:\Program Files\Manson\liser.exe File not found
O4 - HKU\S-1-5-18..\Run: [kell] C:\Program Files\Manson\liser.exe File not found
O4 - HKLM..\RunOnce: [] File not found
O20 - AppInit_DLLs: (C c:\progra~1\Manson\liser.dll) - File not found
O20 - AppInit_DLLs: (C:\WINDOWS\system32\bujokatu.dll) - File not found

:Files
C:\UsbFix
C:\WINDOWS\System32\CatRoot_bak
C:\Documents and Settings\TEST\Moje dokumenty\*.reg
C:\Documents and Settings\All Users\Dane aplikacji\10905154
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\MSScanAppDataDir
C:\Documents and Settings\All Users\Dane aplikacji\OczyszczaczKomputerza
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\180386662.htm
C:\AdbeRdr705_pol_full.exe
C:\AdwCleaner[S2].txt
C:\asusdisp.log
C:\Bricscad-V11.2.9-1-pl_PL.exe
C:\Bricscad-V11.3.12-1-pl_PL.exe
RECYCLER /alldrives
C:\SetupDWGTrueView2011_32bit.exe
C:\TurboMap_1.5.exe
C:\TurboMapHLP.exe
C:\TurboMap.doc
C:\TurboMap_2.0.exe
C:\UsbFix.txt
D:\Bricscad-V12.1.15-1-pl_PL.exe
D:\fc_setup_.zip
D:\Thumbs.db
D:\tn1471setup.exe
C:\UsbFix_Upload_Me_BIURO.zip

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[seba_pl2]

Ok, oto logi:
Dostępne tylko dla zarejestrowanych użytkowników OTL z wykonania skryptu
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników OTL Extras

[seba_pl2]

Kolego dann0150 załóż nowy post, powyższa instrukcja raczej nie dotyczyła Twojego przypadku.

Oto moje logi:
Dostępne tylko dla zarejestrowanych użytkowników OTL wykonanie skryptu
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników OTL Extras
Dostępne tylko dla zarejestrowanych użytkowników Autoruns

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

PPort11reminder

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

Wszystkie z frazą -> File Not Found.

HKCU\Control Panel\Desktop\Scrnsave.exe

C:\WINDOWS\system32\BLPHC5~1.SCR

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.

[seba_pl2]

Wszystko odznaczyłem ale nie wszystko dało się usunąć. Oto nowe logi:

Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników OTL Extras

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O24 - Desktop Components:AutorunsDisabled () -
@Alternate Data Stream - 199 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:683E787C

:Files
RECYCLER /alldrives
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\TEST\Pulpit\AutoRuns.rar

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Zainstaluj SP3 -> Dostępne tylko dla zarejestrowanych użytkowników.

Internet Explorer (Version = 7.0.5730.13)

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03

Odinstaluj to oprogramowanie i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish

Odinstaluj i zainstaluj najnowszą wersję-> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[seba_pl2]

rzypadkiem usunąłem logi z wykonania OTL, podaję nowe logi po wszystkim z listy:
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników Extras

Malwarebytes Anti-Malware wykrył trochę, raport poniżej:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Ogólnie wielkie dzięki bo wszystko jakoś działa już:) Mam jeszcze pytanko, XP z SP3 + Kaspersky Internet Security 2013 wystarczą żeby ochrona była taka w miarę?? Co zrobić jeszcze żeby trochę odmulić tego kompa??

Jeszcze raz dzięki!

[kominekl]

OTL.

Sprzątanie.

Malwarebytes.

Opróżnij jego kwarantannę (Usuń Wszystko), a następnie powtórz pełne skanowanie.

Mam jeszcze pytanko, XP z SP3 + Kaspersky Internet Security 2013 wystarczą żeby ochrona była taka w miarę?

Tak.

Co zrobić jeszcze żeby trochę odmulić tego kompa??

Hmmm. Daliśmy czadu w Autoruns. Jednak KIS to mocny zamulacz, sugeruję jego odinstalowanie na próbę.

[seba_pl2]

Ok wszystko zrobiłem, nic już nie wykryło po skanowaniu. Co do KIS to zostawię bo mam licencję roczną wykupioną. A do kompa po prostu trzeba będzie 2GB RAM-u dołożyć żeby nie zamulał tak:)

Dzięki wielkie raz jeszcze za pomoc. Temat można zamknąć.

Pozdrawiam!

[kominekl]

Ok wszystko zrobiłem, nic już nie wykryło po skanowaniu. Co do KIS to zostawię bo mam licencję roczną wykupioną. A do kompa po prostu trzeba będzie 2GB RAM-u dołożyć żeby nie zamulał tak:)

Dzięki wielkie raz jeszcze za pomoc. Temat można zamknąć.

Pozdrawiam!

Sugeruję jeszcze zapoznać się z tym -> Dostępne tylko dla zarejestrowanych użytkowników.