Zamulony komputer, problem z podłączeniem pamięci USB - logi

[farphat]

Witam serdecznie, chciałbym poprosić o sprawdzenie logów z OTL
1. komputer chodzi zamulony od dłuzszego czasu, dlatego zastanawialem sie czy nie zmieniac w OTL...skan plikow młodsze niż 30 dni, w koncu nie zmieniłem, robilem wg intrukcji na forum.
2. Dosyc nie dawno zmienilem avasta na avire(znalazł sporo syfu). Oprócz zamulenia systemu, problem jest przy podlaczeniu jakiejkolwiek pamieci flash, tzn.chodzi o autorun.inf (za kazdym razem krzyczy avira, probowalem flash disinfector, nie działa na 64bit, panda usb vaccine nie zawsze działa)
3. System to win7 64-bit(ma juz około 2 lat) w związku z 64bitami, nie sciagalem programu Gmer
4. Zamieszczam Logi z OTL
Link do otl
http://www.wklej.eu/index.php?id=c477e58f10
link do extras
http://www.wklej.eu/index.php?id=0480d46113

Pozdrawiam.

[mateo8898]

2. Dosyc nie dawno zmienilem avasta na avire(znalazł sporo syfu). Oprócz zamulenia systemu, problem jest przy podlaczeniu jakiejkolwiek pamieci flash, tzn.chodzi o autorun.inf (za kazdym razem krzyczy avira, probowalem flash disinfector, nie działa na 64bit, panda usb vaccine nie zawsze działa)

Tu nie wiadomo, czy to infekcja, gdyż Avira blokuje wszystkie pliki autorun.inf, nawet te tworzone przez Flash Disinfector itp, więc stąd się może to brać. Dla pewności z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Listing i podaj utworzony log.

Co do logów, szkodliwego nic tu nie widać, tylko kilka kosmetycznych rzeczy. Od razu proponuję wywalić Spybot`a, gdyż to już stary, póki co nie rozwijany i mało skuteczny program. Do tego chyba oficjalnie nie wspiera Windows 7, a tym bardziej jeszcze 64-bit.

Odinstaluj toolbary: Conduit Engine, DAEMON Tools Toolbar, XfireXO Toolbar

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
FF - prefs.js..extensions.enabledItems: [email protected]:3.2.5.2
[2010-11-29 18:32:27 | 000,000,000 | ---D | M] (XfireXO) -- C:\Users\Pawel\AppData\Roaming\mozilla\Firefox\Profiles\cgg9om66.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
[2011-03-27 16:46:17 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Pawel\AppData\Roaming\mozilla\Firefox\Profiles\cgg9om66.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-03-27 16:46:03 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Pawel\AppData\Roaming\mozilla\Firefox\Profiles\cgg9om66.default\extensions\[email protected]
O4 - HKU\S-1-5-21-3141518473-2164386791-361705433-1001..\Run: [PlayNC Launcher] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] File not found
[2011-04-18 12:45:26 | 000,000,324 | ---- | C] () -- C:\Windows\tasks\WebReg HP Photosmart 2570 series.job

:Commands
[resethosts]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[farphat]

*Odinstalowałem 3 toolbary

*usbfix log (podlaczylem przykladowy pendrive, bo samych pendrivów mam 6 plus karty pamieci w tel. I aparacie fot.)
http://www.wklej.eu/index.php?id=06238574ca

*spybot=> Czy wystarczy sama avira i CCleaner czy może cos zamiast spybot? (jak odpalam spybota raz na jakis czas to teoretycznie znajduje cos za każdym razem)

*OTL
Po kliknieciu wykonaj skrypt:
http://www.wklej.eu/index.php?id=0587f908d5

Nowe logi OTL:
http://www.wklej.eu/index.php?id=63793928e3

[kominekl]

Polecam zamiast Avira`y, Comodo + skaner na żądanie Malwarebytes Anti-Malware.

[mateo8898]

Log z UsbFix w porządku, więc to co blokuje Avira pochodzi od któregoś z narzędzi.

W OTL wklej:

:OTL
IE - HKU\S-1-5-21-3141518473-2164386791-361705433-1001\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-3141518473-2164386791-361705433-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found
FF - HKLM\software\mozilla\Thunderbird\Extensions\\[email protected]: C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3:64bit: - HKU\S-1-5-21-3141518473-2164386791-361705433-1001\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found
O4 - Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip ()
[2011-04-21 18:09:37 | 000,000,000 | ---D | C] -- C:\Users\Pawel\AppData\Local\Conduit

Klikasz Wykonaj skrypt, później Sprzątanie

W UsbFix kliknij Uninstall

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.4.3 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

Co do zabezpieczeń, Avira może zostać, a Spybot`a zastąp Malwarebytes, to bardzo dobry skaner na żądanie.

[farphat]

#po wykonaniu skryptu
http://www.wklej.eu/index.php?id=989938bf4d

#kliknąłem sprzątanie, po tym był restart systemu
#cclaner wyczyściłem dysk i rejestr
#wykonałem pełne skanowanie programem Malwarebytes
http://www.wklej.eu/index.php?id=6e85e218af
#zainstalowałem nowszą wersje adobe Reader
#Ogólnie system zaczął chodzić dużo szybciej
Jedyny mankament to dalej przeklęte autorun.inf
Po wszystkim wykonałem ponownie skan programem OTL
Otl http://www.wklej.eu/index.php?id=235a4cf633
Extras http://www.wklej.eu/index.php?id=3e51ece91a

Cos z tym można jeszcze kombinować, czy dac juz sobie spokoj?

[mateo8898]

Jeszcze jeden pusty wpis się pojawił. W OTL wklej:

:OTL
O4 - HKLM..\RunOnce: [] File not found

Klikasz Wykonaj skrypt, później Sprzątanie, logów już podawać nie ma potrzeby.

Co do Autorun.inf jak pisałem wcześniej nie są one w tym przypadku szkodliwe, a wręcz przeciwnie, są zabezpieczeniem. Jak Cię denerwują komunikaty Aviry to możesz wyłączyć w jej opcjach blokowanie plików Autorun.inf

[farphat]

aha, dziękuje bardzo za poświęcony czas
pozdrawiam Paweł