Kontrolne sprawdzenie logów_(Acer_Martita)

[marcos_777]

Witam,
proszę o kontrolne sprawdzenie logów [ACER_Martita]:

OTL.extras http://wklej.org/id/785569/
OTL.txt http://wklej.org/id/785568/
AutoRuns.arn http://www5.zippyshare.com/v/42189997/file.html

Ogólnie jest dobrze, ale zawsze może być lepiej.

[kominekl]

Autoruns

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy rdpclip, eDataSecurity Loader, ExpressFiles, IgfxTray, LManager, Malwarebytes' Anti-Malware, Persistence, RtHDVCpl, SunJavaUpdateSched, Microsoft Windows Mail 7, Adobe PDF Link Helper, Groove GFS Browser Helper, Java(tm) Plug-In 2 SSV Helper, Java(tm) Plug-In SSV Helper, Yontoo, wszystko z zakłądki Task Scheduler, AdobeARMservice, Bonjour Service, NAUpdate, SkypeUpdate, WinDefend, IpInIp, NwlnkFlt, NwlnkFwd, SBRE, UIUSys i msacm.mkdmp3enc.

"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}" = Acer ScreenSaver
"{94389919-B0AA-4882-9BE8-9F0B004ECA35}" = Acer Tour
"{AEEAE013-92F1-4515-B278-139F1A692A35}" = Acer eDataSecurity Management
"{BF839132-BD43-4056-ACBF-4377F4A88E2A}" = Acer ePresentation Management
"ESET Online Scanner" = ESET Online Scanner v3
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware wersja 1.61.0.1400
"Registry Mechanic_is1" = PC Tools Registry Mechanic 11.0
"V9Software" = Deinstalator Strony V9

To oprogramowanie możesz śmiało odinstalować. Zrób to za pomocą Revo Uninstaller`a w trybie zaawansowanym https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/revo-uninstaller/ po wcześniejszym zaznaczeniu w Nim opcji Pokazuj Elementy Systemowe.

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\SBREdrv.sys -- (SBRE)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.intl.acer.yahoo.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
IE - HKLM\..\SearchScopes,DefaultScope = {AA74FE59-BC4C-4172-9AC4-73315F71CFFE}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://search.gboxapp.com/?q={searchTerms}
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330979375_253153
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SEARCH PAGE = http://uk.rd.yahoo.com/customize/ycomp/defaults/sp/*http://uk.yahoo.com
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://global.acer.com [binary data]
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\SearchScopes,DefaultScope = {82299DD9-FF10-4615-9D97-FC79761B1B76}
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\SearchScopes\{82299DD9-FF10-4615-9D97-FC79761B1B76}: "URL" = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://search.gboxapp.com/?q={searchTerms}
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultenginename: "GadgetBox"
FF - prefs.js..browser.search.order.1: "GadgetBox"
FF - prefs.js..browser.startup.homepage: "http://search.gboxapp.com/"
FF - prefs.js..keyword.URL: "http://search.gboxapp.com/?q="
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Marta\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Marta\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
[2012-05-20 00:09:35 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\Marta\AppData\Roaming\mozilla\Firefox\Profiles\qp2opz85.default\extensions\[email protected]
[2012-05-19 23:26:03 | 000,000,440 | ---- | M] () -- C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\qp2opz85.default\searchplugins\GadgetBox.xml
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - No CLSID value found.
O4 - HKLM..\Run: [Acer Tour]  File not found
O4 - HKLM..\Run: [eRecoveryService]  File not found
O4 - HKLM..\Run: [SetPanel]  File not found
O4 - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000..\Run: [Acer Tour Reminder]  File not found
O4 - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000..\Run: [捁牥吠畯r]  File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
@Alternate Data Stream - 100 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Files
C:\Users\Marta\AppData\Local\Google\Update
C:\Users\Marta\Desktop\AutoRuns_Martita.arn
C:\Windows\tasks\*.job

:Reg
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292.

[marcos_777]

Przepraszam za opóźnienie z odpowiedzią, ale wyjechałem z kraju i dopiero wróciłem.
Natomiast co do skryptów usuwających lub moich działań w Autoruns, to okazały się zbyt agresywne i laptop nie chciał się w ogóle uruchomić, brakowało mu czegoś do startu.
Na szczęście udało się przywrócić go do życia poprzez punkt przywracana systemu i działa jako tako.

W najbliższych dniach dam nowe logi i poproszę o pomoc.

[kominekl]

Przepraszam za opóźnienie z odpowiedzią, ale wyjechałem z kraju i dopiero wróciłem.
Natomiast co do skryptów usuwających lub moich działań w Autoruns, to okazały się zbyt agresywne i laptop nie chciał się w ogóle uruchomić, brakowało mu czegoś do startu.
Na szczęście udało się przywrócić go do życia poprzez punkt przywracana systemu i działa jako tako.

W najbliższych dniach dam nowe logi i poproszę o pomoc.

OK. Czekamy.

[marcos_777]

Laptop strasznie muli.

Logi:
OTL.txt: http://wklej.org/id/834239/
OTL.Extras: http://wklej.org/id/834242/

MBR.log: http://wklej.org/id/834264/
TDSKiler: nie chce się zainstalować, brak file Main.exe. Unable to download.


Autoruns log:

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

WMPNSCFG

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\System\CurrentControlSet\Services

Apple Mobile Device
CLCapSvc
CLSched
CyberLink Media Library Service
eDataSecurity Service
eLockService
eRecoveryService
eSettingsService
iPod Service
LightScribeService
Microsoft SharePoint Workspace Audit Service
MozillaMaintenance
ose
osppsvc
RichVideo
SkypeUpdate
WMPNetworkSvc
XAudioService

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

"ESET Online Scanner" = ESET Online Scanner v3
"V9Software" = Deinstalator Strony V9

Odinstaluj.

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.intl.acer.yahoo.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
IE - HKLM\..\SearchScopes,DefaultScope = {AA74FE59-BC4C-4172-9AC4-73315F71CFFE}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://search.gboxapp.com/?q={searchTerms}
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330979375_253153
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SEARCH PAGE = http://uk.rd.yahoo.com/customize/ycomp/defaults/sp/*http://uk.yahoo.com
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://global.acer.com [binary data]
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\SearchScopes,DefaultScope = {82299DD9-FF10-4615-9D97-FC79761B1B76}
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\SearchScopes\{82299DD9-FF10-4615-9D97-FC79761B1B76}: "URL" = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKU\S-1-5-21-1677742923-2309305446-4285304835-1000\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://search.gboxapp.com/?q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "GadgetBox"
FF - prefs.js..browser.search.order.1: "GadgetBox"
FF - prefs.js..browser.startup.homepage: "http://search.gboxapp.com/"
FF - prefs.js..keyword.URL: "http://search.gboxapp.com/?q="
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Marta\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Marta\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - No CLSID value found.
O4 - HKLM..\Run: [Acer Tour]  File not found
O4 - HKLM..\Run: [eRecoveryService]  File not found
O4 - HKLM..\Run: [SetPanel]  File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Java Plug-in 10.5.0)
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Files
C:\Users\Marta\AppData\Local\Google\Update
C:\Users\Marta\Desktop\AutoRuns.arn
C:\Windows\tasks\*.*

:Reg
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p139531 + nowe logi z OTL.

[marcos_777]

Ok, działamy:

GMER.log: http://wklej.org/id/834357/

Otl.usuwanie: http://wklej.org/id/834385/

ADWCleaner_log:http://wklej.org/id/834389/

Otl.txt:http://wklej.org/id/834395/

Otl.Extras:http://wklej.org/id/834396/


A strona Portal V9 ciągle wyskakuje...

[kominekl]

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

@Alternate Data Stream - 127 bytes C:\ProgramData\TEMP:D1B5B4F1

:Files
C:\Users\Marta\Desktop\AutoRuns.zip

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL Sprzątanie.

"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)

Zaktualizuj Firefox`a do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji...).

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.

[marcos_777]

OTL.usuwanie: http://wklej.org/id/835077/
Otl, CCleaner i System Ninja posprzątały.
MBAM - nie wykryto zagrożeń.
Na pewno system jest już dużo wydajniejszy, ale zrobiłem jeszcze coś:

AdwCleaner_log: http://wklej.org/id/835180/

oraz zrobione w Trybie Awaryjnym: TFCleaner i

USBFix_log: http://wklej.org/id/835749/, (po tym mam wrażenie, że jeszcze lepiej działa wszystko).
OTL.txt: http://wklej.org/id/835751/
OTL.extras: http://wklej.org/id/835753/

UnHackMe - SpyHolesList -RegRunLog.txt http://wklej.org/id/835802/

Jeśli to już wszystko, to wielkie dzięki!
Ale pewnie będzie jeszcze jakiś skrypt na zakończenie ...

[marcos_777]

Odświeżam temat, coś znowu zamula Proszę o pomoc.
Trzeba po 3-6 razy klikać, żeby się otworzyło menu lub cokolwiek zareagowało.

Logi w kolejności wykonania:

Otl.txt: http://wklej.org/id/838464/
Otl.extras: http://wklej.org/id/838465/

Autoruns.arn: http://www34.zippyshare.com/v/35622161/file.html

HDTune_health: http://img30.otofotki.pl/obrazki/uz545_HdTune_health.jpg

Gmer: http://wklej.org/id/838529/

Combofix: http://wklej.org/id/838532/

AdwCleaner: http://wklej.org/id/839704/

[mateo8898]

ComboFix bezpodstawnie użyty.

Wygląda to na problem z dyskiem, jest kilkanaście realokowanych sektorów. Podaj jeszcze screen z zakładki Error Scan

Przeskanuj plik:

C:\Windows\winstart.bat

na https://www.virustotal.com/ i podaj wyniki.

[marcos_777]

Plik C:\Windows\winstart.bat przeskanowany -
Virustotal scan:

File name: winstart.bat
Detection ratio: 0 / 41

HDTune robiłem normalny skan wczoraj, ale nie skończyłem, ponieważ musiałem wyłączyć kompa; do połowy dysku doszło skanowanie i nie było żadnych błędów.
W załączniku wersja Quick scan, a już się robi scan normalny.

Combofix i AdwCleaner po ostatnich działaniach wydaje mi się, że mimo wszystko poprawił pracę lapcia. I to chyba nie efekt placebo,
a zrobiłem CF w akcie desperacji, tak muliło.

[kominekl]

Reasumacja.

Czekamy na pełny skan, ponadto Combofix to nie zabawka.

[marcos_777]

Full Error scan:

[marcos_777]

Witam,
ponownie po 3 miesiącach proszę o pomoc, bo laptop znów strasznie zwolnił.
Np. żeby cokolwiek uruchomić lub zamknąć trzeba kliknąć z 5-8 razy - tak w Windowsie jak i w Total Commanderze czy w dowolnym programie, w przeglądarce, przechodząc między zakładkami, czy też wysyłając e-maila....
Natomiast rozruch jest normalny.

OTL.txt: http://wklej.org/id/911030/

OTL.extras: http://wklej.org/id/911036/

AUTORUNS: http://www71.zippysh...50452/file.html

USBfix: http://wklej.org/id/911219/

AdwCleaner: http://wklej.org/id/911216/

MBAM nie znalazł zagrożeń: http://wklej.org/id/911273/

ipconfig/ all: http://wklej.org/id/911506/

Czyszczone CCleaner, TFC, NinjaSystem, DiskMax.

Tweaking_Windows_Repair_Log: http://wklej.org/id/915242/

Combofix: http://wklej.org/id/915214/
Wiem, że nie powinienem bez zaleceń, ale w akcie desperacji - w oczekiwaniu na pomoc, zrobiłem to.
Trochę się poprawiło.