Objawy zainfekowania:
Witam,
jak pisałam w innym temacie, mam problem na moim drugim komputerze (laptop Acer TravelMate 2490, z roku 2007 - jeśli to ma znaczenie
).
Od dłuższego czasu strasznie się ociąga, strony długo się otwierają, inne aplikacje też. Bardzo często się zawiesza.
Wykonywane działania:
Kompa skanowałam AdwCleanerem, antywirusa nie posiadam. Ostatnio się rozglądałam, ale nie wiem jaki z tych darmowych byłby odpowiedni.
Logi:
Wklejam logi
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
EXTRAS
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition
[Aby zobaczyć linki, zarejestruj się tutaj]
AdwCleaner
[Aby zobaczyć linki, zarejestruj się tutaj]
Proszę o pomoc
Nigdy nie wykonujdziałań programem AdwCleaner,zanim nie zostaną odinstalowane śmieci z systemu.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
HKLM\...\Run: [NWEReboot] - [x]
HKLM\...\Run: [UIUCU] - C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\UIUCU.EXE [542424 2004-06-07] (Conexant Systems, Inc.) <===== ATTENTION
HKCU\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000
MountPoints2: {330aaf06-9352-11df-bb59-0016cfbd6690} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
MountPoints2: {4fd6ea4f-9188-11df-bb51-0016cfbd6690} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
URLSearchHook: HKCU - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\neostrada tp\SearchPageURL.dll ()
SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={4D9B7E6A-1914-4A3B-BC09-FECBC522E6FE}&mid=750b15e62b4e47d09f77d15f89598f63-6c215b5a3bdda3ec0c321529780fbd23f182955c&lang=pl&ds=AVG&pr=fr&d=2012-09-02 21:31:07&v=11.0.0.10&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={4D9B7E6A-1914-4A3B-BC09-FECBC522E6FE}&mid=750b15e62b4e47d09f77d15f89598f63-6c215b5a3bdda3ec0c321529780fbd23f182955c&lang=pl&ds=AVG&pr=fr&d=2012-09-02 21:31:07&v=11.0.0.10&sap=dsp&q={searchTerms}
BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Antonio\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File
S2 tzhxzogrr; C:\WINDOWS\system32\mgarrazg.dll [x]
S4 InCDFs; system32\drivers\InCDFs.sys [x]
S1 InCDPass; system32\drivers\InCDPass.sys [x]
S1 InCDRm; system32\drivers\InCDRm.sys [x]
S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [x]
NETSVC: tzhxzogrr -> C:\WINDOWS\system32\mgarrazg.dll ==> No File.
C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\gg10.upgr.exe
C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\RtkBtMnt.exe
C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\UIUCU.EXE
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport z tego działania.
W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
W programie AdwCleaner ponownie kliknij szukaj i jak coś znajdzie to usuń.
Pokaż raport po wykonaniu.
Witam,
przepraszam, że długo nie pisałam, ale nie miałam dostępu do kompa.
Oto raport z Fix
[Aby zobaczyć linki, zarejestruj się tutaj]
oraz z AdwCleaner
[Aby zobaczyć linki, zarejestruj się tutaj]
Przeglądarkę zresetowałam. Co dalej? Pozdrawiam
Zrób ponowny skan FRST+OTL
oto nowe raporty
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\Quarantine.exe
C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\RtkBtMnt.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKU\S-1-5-21-796845957-1409082233-1417001333-1004\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport z tego działania.
Hej, oto raport
[Aby zobaczyć linki, zarejestruj się tutaj]
Co dalej? Pozdrawiam
Trochę jeszcze z optymalizujemy autostart
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom,kliknij w
File >
Savei zapisz jako
AutoRuns.arn ,plik prześlij na jakiś hosting np.tu
[Aby zobaczyć linki, zarejestruj się tutaj]
i przedstaw na forum.
coś sobie nie mogę poradzić ;/ klinam na to Autoruns, daję otwórz za pomocę Archiwizator winRAR, otwiera mi sie i nie wiem w co dalej kliknąć ;/
Dodano: 16 gru 2013, 20:44
jak klikam na autoruns.exe to wyskakuje jakieś czarne tłona tym coś sie pisze, ale zaraz to znika.
A jak otwieram autorunsc.exe to otwiera się jakieś okno Autoruns Sysintenals a w nim różne rzeczy piszą
Ale tego nie dam rady zapisac jako AutoRuns.arn, wychodzi error saving file, odmowa dostępu
zwiem wiem, ciemnia jestem
Jest spakowany,klikasz prawym klawiszem myszy i pokażą się opcje,następnie klikasz wypakuj do np. autoruns i program wypakuje zawartość do katalogu obok w tej samej lokalizacji
nie wiem, chyba mam to co chcesz
[Aby zobaczyć linki, zarejestruj się tutaj]
no to się cieszę
no i jak z tym autostartem? działamy coś jeszcze?
Przejdź do karty services i odptaszkuj:
AdobeFlashPlayerUpdateSvc
AppMgmt
JavaQuickStarterService
ose
W karcie Scheduled Tasks
prawy przycisk myszy i klik delete
Karta Internet Explorer odptaszkuj:
Windows messenger
Wyślij do interfejsu &Bluetooth (jeśli nie używasz)
W karcie logon odptaszkuj:
AdobeARM
BroadcomWireless
NeroFilterCheck
SunJavaUpdateSched
SynTPEnh
SynTPLpr
WinampAgent
WOOTASKBARICON
WOOWATCH
BTTray.lnk Bluetooth Tray Application (jeśli nie stosujesz komunikacji,wysyłania i odbierania przez ten moduł)
OpenOffice.org 3.4.1.lnk
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}
MSMSGS
odptaszkowałam to co podałeś, poza OpenOffice 3.4.1 Bo używam. Jak skończyłam odptaszkowywać dałam zapisz jako...
Co dalej?
Ja wiem i używać będziesz ale nie musi się ładować podczas uruchomienia systemu,poza tym zawsze można zaptaszkować.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
i kliknij Start.
i na koniec
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
zrobione
raport
[Aby zobaczyć linki, zarejestruj się tutaj]
tylko mi coś toutchpad przstal działać
Czyli wpływa na niego tak myślałem to zaptaszkuj te opcje:
SynTPEnh
SynTPLpr
Uruchom ponownie kompa i sprawdź
teraz działa
mam pyanie, czy strona
[Aby zobaczyć linki, zarejestruj się tutaj]
jest zaufana i ściągając z niej jakies programy w przyszłości nie nabawię sie znów czegoś niechcianego?
czy mogę usunąć OTL, FRST, Adw Cleaner itd?
Tak w adw kliknij Odinstaluj
W OTL dodatkowo możesz zastosować sprzątanie i następnie usunąć.
FRST też usuń z tej lokalizacji C:\FRST
Ta strona jest w porządku.