Stary komputer zamula - analiza logów

Post15 lut 2013, 18:55

Witam
Moj kolejny komputer - staruszek strasznie zamula nawet jak na niego, jak go skanowałem to coś antyvirus coś znalazł ale myślę ze to nie wszystko albo te wirusy narobiły takiej szkody ze tak wolno chodzi.
Więc chciałbym żebyście mi sprawdzili jego logi.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post16 lut 2013, 15:20

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)

1. Użyj tego -> hhttp://download.software112.com/o2/8d/ ... ervice.exe.
2. Uruchom LSP-Fix -> Dostępne tylko dla zarejestrowanych użytkowników i za jego pomocą przesuń plik mdnsNSP.dll z okna Keep do Remove (w linku opis jak to się robi). I restart komputera.
3. Po resecie można wywalić katalog Bonjour.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\lineage 2\system\npkcusb.sys -- (npkcusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\lineage 2\system\npkcrypt.sys -- (npkcrypt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | System | Stopped] -- C:\Program Files\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys -- (atitray)
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-448539723-2025429265-839522115-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-21-448539723-2025429265-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..extensions.enabledAddons: nasanightlaunch%40example.com:0.6.20121209
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: battlefieldheroespatcher@ea.com:5.0.31.0
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2010-12-12 18:18:54 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Documents and Settings\Michalek\Dane aplikacji\Mozilla\Firefox\Profiles\3wulkcw2.default\extensions\battlefieldheroespatcher@ea.com
[2012-12-29 17:17:17 | 002,319,618 | ---- | M] () (No name found) -- C:\Documents and Settings\Michalek\Dane aplikacji\Mozilla\Firefox\Profiles\3wulkcw2.default\extensions\nasanightlaunch@example.com.xpi
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found
O8 - Extra context menu item: &Search - Dostępne tylko dla zarejestrowanych użytkowników File not found
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll) - File not found
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013-02-03 15:12:54 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2010-07-18 14:57:29 | 000,451,584 | ---- | C] () -- C:\Documents and Settings\Michalek\PRO Installer.exe
[2009-08-01 21:47:19 | 003,156,992 | -HS- | C] () -- C:\Documents and Settings\Michalek\Moje dokumentySyS4Ce_save2pc.exe
[2009-08-01 21:40:11 | 003,156,992 | -HS- | C] () -- C:\Documents and Settings\Michalek\Moje dokumentyMcP0J1_save2pc.exe
[2009-07-30 20:45:20 | 003,156,992 | -HS- | C] () -- C:\Documents and Settings\Michalek\Moje dokumentyNdu3G2_save2pc.exe
[2009-07-30 20:37:54 | 003,156,992 | -HS- | C] () -- C:\Documents and Settings\Michalek\Moje dokumentyBbS278_save2pc.exe
[2009-02-08 20:06:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Locktime
[2010-11-30 22:07:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\r2 Studios
[2010-02-01 14:48:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Michalek\Dane aplikacji\EurekaLog
[2009-06-15 14:40:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Michalek\Dane aplikacji\fizzy
[2009-01-10 17:51:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Michalek\Dane aplikacji\GetRightToGo
[2010-11-30 22:07:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Michalek\Dane aplikacji\r2 Studios
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:70DE00F5D0E462CA

:Files
C:\WINDOWS\tasks\S*.*
C:\Documents and Settings\Michalek\Moje dokumenty\*.reg
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Przyspieszenie uruchomienia programu AutoCAD.lnk
C:\Documents and Settings\Michalek\Menu Start\Programy\Autostart\PowerReg SchedulerV2.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

Post17 lut 2013, 00:16

1. Użyj tego -> hhttp://download.software112.com/o2/8d/ ... ervice.exe.

link mi nie odpalił ale i tak ściągnąłem program zainstalował mi jakieś gówna(toolbar) czy pc speed maximizer i nie wiem ocb co ten program miał zrobić.

2. Uruchom LSP-Fix -> Dostępne tylko dla zarejestrowanych użytkowników i za jego pomocą przesuń plik mdnsNSP.dll z okna Keep do Remove (w linku opis jak to się robi). I restart komputera.

Zrobione

3. Po resecie można wywalić katalog Bonjour.

chodzi o usuniecie folderu normalnie?? bo nic nie robiłem

Logi.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania

Dostępne tylko dla zarejestrowanych użytkowników

Ciekawe czy też stracę autocada i inventora na tym kompie.

Następnie podaj log z ADWCleaner (z opcji Delete)

Dostępne tylko dla zarejestrowanych użytkowników

log z TDSSKiller

coś znalazl nie usuwalem czekam na opinie specjalistów

Dostępne tylko dla zarejestrowanych użytkowników

nowe logi z OTL.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post17 lut 2013, 11:46

link mi nie odpalił ale i tak ściągnąłem program zainstalował mi jakieś gówna(toolbar) czy pc speed maximizer i nie wiem ocb co ten program miał zrobić.

Po pierwsze, jeśli coś się nie udaje nie przechodzimy dalej tylko o tym piszemy. Toolbar`ów się pozbędę, jeśli tego ADWCleaner nie zrobił. Podam inny link -> Dostępne tylko dla zarejestrowanych użytkowników.

Zrobione

OK.

chodzi o usuniecie folderu normalnie?? bo nic nie robiłem

Tak - usuń folder.

Ciekawe czy też stracę autocada i inventora na tym kompie.

Tym razem nie. Inny system (brak możliwości podobnego błędu przy logu z Autoruns) i inna sytuacja.

ADWCleaner.

Użyj go ponownie z opcji Delete. Przedstaw raport, a następnie go odinstaluj.

coś znalazl nie usuwalem czekam na opinie specjalistów

To wszystko jest OK. A tak ogólnie ten log pokazał, że sprawa z Bonjour przez niewykonanie punktu pierwszego wciąż jest obecna

:

23:49:17.0031 3356 Bonjour Service ( UnsignedFile.Multi.Generic ) - skipped by user
23:49:17.0031 3356 Bonjour Service ( UnsignedFile.Multi.Generic ) - User select action: Skip

Myślę, że zaraz to poprawisz

. Możesz też (dla pewności) po wykonaniu punktu pierwszego, sprawdzić raz jeszcze, czy możesz wykonać punkt drugi.

O33 - MountPoints2\{1db0daa2-3fd0-11df-915e-00138fc5a231}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vOEuw.exe

Podpiąłeś niedawno jakiś zainfekowany pendrive. Z podłączonymi wszystkimi pamięciami przenośnymi użyj USBFix z opcji Deletion i podaj powstały log -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm.

"PC Speed Maximizer_is1" = PC Speed Maximizer v3.1
"Smart Driver Updater_is1" = Smart Driver Updater v3.0

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-448539723-2025429265-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-448539723-2025429265-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-448539723-2025429265-839522115-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-448539723-2025429265-839522115-1003\..\SearchScopes\AFBF2C62-2983-4E65-84A3-107B1008A31A: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF - prefs.js..browser.startup.homepage: "http://search.toggle.com/?lang=en&cid=adfaa7a7"
FF - prefs.js..extensions.enabledAddons: ffxtlbr%40toggle.com:1.5.0
[2013-02-16 21:57:01 | 000,000,000 | ---D | M] (toggle.com) -- C:\Documents and Settings\Michalek\Dane aplikacji\Mozilla\Firefox\Profiles\3wulkcw2.default\extensions\ffxtlbr@toggle.com
[2013-02-16 21:56:38 | 000,001,366 | ---- | M] () -- C:\Documents and Settings\Michalek\Dane aplikacji\Mozilla\Firefox\Profiles\3wulkcw2.default\searchplugins\toggle.xml
[2013-02-16 22:10:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michalek\Pulpit\lspfix
[2013-02-16 21:56:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michalek\Dane aplikacji\PC Speed Maximizer
[2013-02-16 21:55:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\TEMP
[2013-02-16 21:51:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michalek\Dane aplikacji\Smart Driver Updater
[2013-02-16 21:51:01 | 000,000,000 | ---D | C] -- C:\Program Files\Smart Driver Updater
[2013-02-16 21:49:49 | 000,000,000 | ---D | C] -- C:\Program Files\PC Speed Maximizer
[2013-02-16 21:45:29 | 000,000,000 | ---D | C] -- C:\Program Files\Toggle
@Alternate Data Stream - 143 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:AD022376

:Files
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\Michalek\Pulpit\lspfix.zip
C:\Documents and Settings\Michalek\Pulpit\turn_off_bonjour_service.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post17 lut 2013, 22:47

Post18 lut 2013, 17:58

usbfix
AutoIt error
Variableused without being declared
Line 2786

Sprawdź w trybie awaryjnym (na takich samych zasadach). Po wykonaniu danego polecenia przechodź dalej. Coś nie idzie to się zatrzymaj.

ADWCleaner.

Odinstaluj.

Post18 lut 2013, 22:00

Sprawdź w trybie awaryjnym (na takich samych zasadach). Po wykonaniu danego polecenia przechodź dalej. Coś nie idzie to się zatrzymaj.

To sie zatrzymuje:)
Ten sam błąd. Nie wiem czy coś mam na pendrivach ale kaspersky nic nie wykrywa.

Post19 lut 2013, 20:06

michu5 pisze:
Sprawdź w trybie awaryjnym (na takich samych zasadach). Po wykonaniu danego polecenia przechodź dalej. Coś nie idzie to się zatrzymaj.

To sie zatrzymuje:)
Ten sam błąd. Nie wiem czy coś mam na pendrivach ale kaspersky nic nie wykrywa.

Odinstaluj AutoCAD na ten czas i spróbuj ponownie.

Post23 lut 2013, 14:01

Na tym kompie mam 2 autoCady 2006 i 2010 obydwa odinstalowac??
I co wspólnego moze miec z tym autocad?

Post23 lut 2013, 19:40

michu5 pisze:Na tym kompie mam 2 autoCady 2006 i 2010 obydwa odinstalowac??
I co wspólnego moze miec z tym autocad?

Czasami bywa konflikt między tymi oprogramowaniami. Tak - oba.

Post03 mar 2013, 15:33

Nareszcie znalazłem czas zęby do tego usiąść ale niestety po odinstalowaniu dalej wyskakuje błąd nawet w trybie awaryjnym. Co teraz?

Post03 mar 2013, 19:37

michu5 pisze:Nareszcie znalazłem czas zęby do tego usiąść ale niestety po odinstalowaniu dalej wyskakuje błąd nawet w trybie awaryjnym. Co teraz?

W takim razie. Z podłączonymi pamięciami przenośnymi wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport. W Malwarebytes zaznacz wszystkie swoje dyski twarde + dyski przenośne, które podepniesz (wszelkie pamiętaj).

Post06 mar 2013, 11:26

Dostępne tylko dla zarejestrowanych użytkowników

Post06 mar 2013, 12:50

michu5 pisze:http://www.wklej.eu/index.php?id=257164d601

OK. Opróżnij kwarantannę Malwarebytes`a (Usuń Wszystko). Następnie z podłączonymi pamięciami przenośnymi użyj tego -> Dostępne tylko dla zarejestrowanych użytkowników. Po tym podaj nowe logi z OTL.

Post16 mar 2013, 16:45

I znowu po dłuższej przerwie udało się osiąść do kompa

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników