IE zaczął się wieszać, dziwne pliki na pulpicie

[naitsyrk]

IE od kilku dni zaczął się wieszać w pewnych momentach, zrobiłem skana MalwaresBytes i wykrył 18 obiektówale niestety nie mogłem już wejśc ani w loga ani w kwarantannę bo się wieszał zaraz po skanie)JUZ DODAJĘ LOGA Z MALWARESA UDAŁO SIE W KOŃCU,zatem zrobiłem logi i proszę o wskazówkę co dalej. Wydaje mi się również,że jakies dziwne pliki sie pojawiły na pulpicie w pewnym momencie i nie wiem czy nie pojawiły się kłódki na katalogach jak dokumenty i ustawienia, i jeszcze kilku innych na dysku C.

1.Hijackthis:
http://wklej.eu/index.php?id=434e538ae7

2. OTL:
- extras : http://wklej.eu/index.php?id=9338b5c57e
- OTL : http://wklej.eu/index.php?id=7cf358278d

3. Gmer:
http://wklej.eu/index.php?id=fb7f36f7ce

4. malwaresBytes:
http://wklej.eu/index.php?id=480a6d4ce7

[kominekl]

Zawsze się usuwa to co znajduje Malwarebytes, ale o tym później.

W HijackThis zafixuj:

O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [SuiteTray] "C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CardDetectorICON225] C:\Program Files (x86)\CardDetector\ICON225\CardDetector.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe

Następnie wejdź w START URUCHOM Msconfig Usługi odznacz usługi Windows Defender, NVIDIA Display Driver Service i Acer Update.

Następnie odinstaluj Bonjour, Google Toolbar i Yahoo! (chyba, że używasz).

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5742g&r=27361210i165l0474z125v4722236r
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5742g&r=27361210i165l0474z125v4722236r
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5742g&r=27361210i165l0474z125v4722236r
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
IE - HKU\S-1-5-21-413342750-3625534322-78780742-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default Download Directory = C:\Users\yez\Desktop
IE - HKU\S-1-5-21-413342750-3625534322-78780742-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5742g&r=27361210i165l0474z125v4722236r
IE - HKU\S-1-5-21-413342750-3625534322-78780742-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.orange.pl
IE - HKU\S-1-5-21-413342750-3625534322-78780742-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
O4 - HKLM..\Run: []  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files (x86)\Yahoo!\Common\yinsthelper.dll (YInstStarter Class)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
@Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:CDFF58FE

:Files
C:\Program Files (x86)\Google\Update
C:\Users\yez\Desktop\gmer
C:\Windows\tasks\*.job
C:\Users\yez\Desktop\gmer.zip
C:\Windows\SysWow64\shortcut_ex.dat
C:\Windows\hpomdl30.dat.temp

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[naitsyrk]

Mylwaresem usunałem wszytko po podaniu tutaj loga.Dziś już nic nie znalazł.
Zrobione po koleji,jednak zostawiłem bonjour bo to chyba do Itunes'a potrzebne z tego co pamietam. Po wszytkim po uruchomieniu systemu wyskakuje mi komunikat Instalatora Windows,że przygotowuje się do instalacji i wskakuje instalacja HP z jakiejś ścieżki z Tepmporary Files,ale jej nie znajduje więc mi suszy głowę dopóki tego nie wyłączę.
Oto logi:

1.Z usuwania
http://wklej.eu/index.php?id=9f082e3e8e
2.OTL:
http://wklej.eu/index.php?id=e8ce11f9f1
3.Extras:
http://wklej.eu/index.php?id=5348715a68

[mateo8898]

Przywróć plik hpomdl30.dat.temp z kwarantanny OTL, czyli C:\_OTL do folderu C:\Windows i zobacz, czy komunikat nadal się będzie pojawiał.

[kominekl]

Przywróć plik hpomdl30.dat.temp z kwarantanny OTL, czyli C:\_OTL do folderu C:\Windows i zobacz, czy komunikat nadal się będzie pojawiał.

Wykonaj. A w międzyczasie działamy dalej z logami.

Podaj nam log z Autoruns http://www.instalki.pl/programy/downloa ... oruns.html.

Następnie odinstaluj HijackThis.

Następnie uruchom OTL w oknie Własne opcje skanowania skrypt:

:OTL

:Files
C:\SDFix
C:\Users\yez\Desktop\SDFix_www.INSTALKI.pl.exe

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[naitsyrk]

ściagnałem ten autoruns ale nie bardzo rozumiem jak mam podać tego loga, wrzucałem na strone wrzuć to tak jast jest napisane w tutorialu,ale dalej nie wiem jak to ma działać?

[kominekl]

Podajesz nam link do swojego loga.

[naitsyrk]

Przywróć plik hpomdl30.dat.temp z kwarantanny OTL, czyli C:\_OTL do folderu C:\Windows i zobacz, czy komunikat nadal się będzie pojawiał.

Zrobione jak napisano ,Niestety ale problem pozostał

Hjack odinstalowany
Skrypt w OTL wykonany

Oto logi:
1.z usuwania:
http://wklej.eu/index.php?id=3e32214e18
2.OTL:
http://wklej.eu/index.php?id=cb5d85ce58
3.extras:
http://wklej.eu/index.php?id=0bfa9480ef



Wygląda na to,że nie łapię który link mam wrzucić z loga autorunsa, wrzucam na stronce WRZUCto, ekran ciemnieje,plik się wrzuca,ale gdzie i jak mam dostać się do tego linka to nie mam pojęcia,jak kopiuję ten link który jest w pasku adresu przeglądarki- to jest to tylko link główny do strony...???

Co teraz mam zrobić?
I jak się pozbyć tego komunikatu??

[kominekl]

Po zakończeniu wysyłania pliku na hosting pokaże się link do pliku. Jakby co możesz użyć innego hostingu. Co do komunikatu nie wygląda to na problem z tym plikiem hpomdl30.dat.temp, ale z jakimś innym. Reinstaluj oprogramowanie HP, bądź pokaż screen z komunikatu.

[naitsyrk]

Ok mam linka z innego hostingu-n awrzuc to cos nie działa

[strona nie jest już dostępna]

[kominekl]

W Autoruns odznacz, a następnie usuń (co się będzie dało) wpisy kolejno według nazwy rdpclip, mwlDaemon, RtHDVCpl, HP Digital Imaging Monitor.lnk, Microsoft Windows, Microsoft Windows, NeroMobileAd, MBAMShlExt, NvCplDesktopContext, Windows Live ID Sign-in Helper, Adobe PDF Link Helper, Java(tm) Plug-In 2 SSV Helper, Skype Browser Helper , całą zakładkę Task Scheduler, gupdate i gupdatem. Następnie podaj nowe logi z OTL.

[naitsyrk]

Zrobione
Oto logi z OTL:

1.OTL:
http://wklej.eu/index.php?id=c7cac6cbc6

2.Extras:
http://wklej.eu/index.php?id=da244097e3

[kominekl]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O3 - HKU\S-1-5-21-413342750-3625534322-78780742-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

:Files
C:\Users\yez\Desktop\Autoruns
C:\Users\yez\Desktop\AutoRuns.arn
C:\Users\yez\Desktop\Autoruns.zip

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL Sprzątanie.

Odinstaluj starą wersję Java`y Java(TM) 6 Update 5, Java(TM) 6 Update 24 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.
Odinstaluj starą wersję programu do odczytu .PDF dobe Reader 9.5.0 MUI i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html.
Odinstaluj starą wersję paczki kodeków K-Lite Codec Pack 6.7.0. Zainstaluj najnowszą wersję K-Lite Codec Pack https://www.instalki.pl/download/programy/windows/multimedia/kodeki/k-lite-codec-pack-full/.
Odinstaluj starą wersję Skype`a Skype™ 5.5 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... Skype.html.
Zaktualizuj Firefox`a do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji...).
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.

[naitsyrk]

Zrobione. Okienko wyskakujące na początku już zniknęło .

Oto log z usuwania:
http://wklej.eu/index.php?id=1d74ff2748

[mateo8898]

Wykonaj pozostałe kroki.