Proszę o sprawdzenie logów

[onazielona]

Objawy zainfekowania:
Witam,
jak pisałam w innym temacie, mam problem na moim drugim komputerze (laptop Acer TravelMate 2490, z roku 2007 - jeśli to ma znaczenie ).
Od dłuższego czasu strasznie się ociąga, strony długo się otwierają, inne aplikacje też. Bardzo często się zawiesza.

Wykonywane działania:
Kompa skanowałam AdwCleanerem, antywirusa nie posiadam. Ostatnio się rozglądałam, ale nie wiem jaki z tych darmowych byłby odpowiedni.

Logi:
Wklejam logi
OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

Proszę o pomoc

[tachion]

Nigdy nie wykonujdziałań programem AdwCleaner,zanim nie zostaną odinstalowane śmieci z systemu.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

HKLM\...\Run: [NWEReboot] - [x]
HKLM\...\Run: [UIUCU] - C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\UIUCU.EXE [542424 2004-06-07] (Conexant Systems, Inc.) <===== ATTENTION
HKCU\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000
MountPoints2: {330aaf06-9352-11df-bb59-0016cfbd6690} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
MountPoints2: {4fd6ea4f-9188-11df-bb51-0016cfbd6690} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
URLSearchHook: HKCU - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\neostrada tp\SearchPageURL.dll ()
SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={4D9B7E6A-1914-4A3B-BC09-FECBC522E6FE}&mid=750b15e62b4e47d09f77d15f89598f63-6c215b5a3bdda3ec0c321529780fbd23f182955c&lang=pl&ds=AVG&pr=fr&d=2012-09-02 21:31:07&v=11.0.0.10&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={4D9B7E6A-1914-4A3B-BC09-FECBC522E6FE}&mid=750b15e62b4e47d09f77d15f89598f63-6c215b5a3bdda3ec0c321529780fbd23f182955c&lang=pl&ds=AVG&pr=fr&d=2012-09-02 21:31:07&v=11.0.0.10&sap=dsp&q={searchTerms}
BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Antonio\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File
S2 tzhxzogrr; C:\WINDOWS\system32\mgarrazg.dll [x]
S4 InCDFs; system32\drivers\InCDFs.sys [x]
S1 InCDPass; system32\drivers\InCDPass.sys [x]
S1 InCDRm; system32\drivers\InCDRm.sys [x]
S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [x]
NETSVC: tzhxzogrr -> C:\WINDOWS\system32\mgarrazg.dll ==> No File.
C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\gg10.upgr.exe
C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\RtkBtMnt.exe
C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\UIUCU.EXE

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

W programie AdwCleaner ponownie kliknij szukaj i jak coś znajdzie to usuń.
Pokaż raport po wykonaniu.

[onazielona]

Witam,

przepraszam, że długo nie pisałam, ale nie miałam dostępu do kompa.

Oto raport z Fix

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz z AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

Przeglądarkę zresetowałam. Co dalej? Pozdrawiam

[tachion]

Zrób ponowny skan FRST+OTL

[onazielona]

oto nowe raporty

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\Quarantine.exe
C:\Documents and Settings\Antonio\Ustawienia lokalne\Temp\RtkBtMnt.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKU\S-1-5-21-796845957-1409082233-1417001333-1004\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

[onazielona]

Hej, oto raport

[Aby zobaczyć linki, zarejestruj się tutaj]

Co dalej? Pozdrawiam

[tachion]

Trochę jeszcze z optymalizujemy autostart

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom,kliknij w File > Savei zapisz jako AutoRuns.arn ,plik prześlij na jakiś hosting np.tu

[Aby zobaczyć linki, zarejestruj się tutaj]

i przedstaw na forum.

[onazielona]

coś sobie nie mogę poradzić ;/ klinam na to Autoruns, daję otwórz za pomocę Archiwizator winRAR, otwiera mi sie i nie wiem w co dalej kliknąć ;/

---

Dodano: 16 gru 2013, 20:44

jak klikam na autoruns.exe to wyskakuje jakieś czarne tłona tym coś sie pisze, ale zaraz to znika.
A jak otwieram autorunsc.exe to otwiera się jakieś okno Autoruns Sysintenals a w nim różne rzeczy piszą Ale tego nie dam rady zapisac jako AutoRuns.arn, wychodzi error saving file, odmowa dostępu

zwiem wiem, ciemnia jestem

[tachion]

Jest spakowany,klikasz prawym klawiszem myszy i pokażą się opcje,następnie klikasz wypakuj do np. autoruns i program wypakuje zawartość do katalogu obok w tej samej lokalizacji

[onazielona]

nie wiem, chyba mam to co chcesz

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Tak

[onazielona]

no to się cieszę
no i jak z tym autostartem? działamy coś jeszcze?

[tachion]

Przejdź do karty services i odptaszkuj:

AdobeFlashPlayerUpdateSvc
AppMgmt
JavaQuickStarterService
ose

W karcie Scheduled Tasks

prawy przycisk myszy i klik delete

Karta Internet Explorer odptaszkuj:

Windows messenger

Wyślij do interfejsu &Bluetooth (jeśli nie używasz)

W karcie logon odptaszkuj:

AdobeARM
BroadcomWireless
NeroFilterCheck
SunJavaUpdateSched
SynTPEnh
SynTPLpr
WinampAgent
WOOTASKBARICON
WOOWATCH
BTTray.lnk Bluetooth Tray Application (jeśli nie stosujesz komunikacji,wysyłania i odbierania przez ten moduł)
OpenOffice.org 3.4.1.lnk
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}
MSMSGS

[onazielona]

odptaszkowałam to co podałeś, poza OpenOffice 3.4.1 Bo używam. Jak skończyłam odptaszkowywać dałam zapisz jako...
Co dalej?

[tachion]

Ja wiem i używać będziesz ale nie musi się ładować podczas uruchomienia systemu,poza tym zawsze można zaptaszkować.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

i na koniec

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[onazielona]

zrobione
raport

[Aby zobaczyć linki, zarejestruj się tutaj]

tylko mi coś toutchpad przstal działać

[tachion]

Czyli wpływa na niego tak myślałem to zaptaszkuj te opcje:


SynTPEnh
SynTPLpr

Uruchom ponownie kompa i sprawdź

[onazielona]

teraz działa

mam pyanie, czy strona

[Aby zobaczyć linki, zarejestruj się tutaj]

jest zaufana i ściągając z niej jakies programy w przyszłości nie nabawię sie znów czegoś niechcianego?

czy mogę usunąć OTL, FRST, Adw Cleaner itd?

[tachion]

Tak w adw kliknij Odinstaluj

W OTL dodatkowo możesz zastosować sprzątanie i następnie usunąć.
FRST też usuń z tej lokalizacji C:\FRST

Ta strona jest w porządku.