Zwolnienie działania kompa

pepele · 8 Lutego 2012

witam,

mój drugi komp zwalnia strasznie prosze o analizę

picasso · 8 Lutego 2012

A gdzie obowiązkowy log z GMER? Infekcja tu jest w systemie, procesy związane z Qooqlle. Infekcja ta wchodzi głównie z "kodekami" z trefnych źródeł torrent. Poza tym, są drobne odpadki śmieci sponsoringowych.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O3 - HKU\S-1-5-21-602162358-1897051121-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-602162358-1897051121-682003330-1003\..\Toolbar\WebBrowser: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-602162358-1897051121-682003330-1003..\Run: [jushed] C:\Documents and Settings\All Users\jushed.exe (                                                                               )
 
:Files
C:\Documents and Settings\All Users\nircmd.exe
C:\Documents and Settings\All Users\timerxfile
C:\Documents and Settings\All Users\varsavefile
C:\Documents and Settings\All Users\datesavefile
C:\Documents and Settings\All Users\operaprefs.ini
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\jushed.exe
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\nircmd.exe
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Codecs.exe
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\operaprefs.ini
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\Właściciel\Dane aplikacji\PriceGong
C:\Documents and Settings\Właściciel\Dane aplikacji\OpenCandy
C:\Program Files\Conduit
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

2. Uruchom Google Chrome, w pasku adresów wklej chrome://plugins i odinstaluj adware FunWebProducts:

CHR - plugin: Fun Web Products Plugin Stub (Enabled) = C:\Program Files\FunWebProducts\Installr\2.bin\NPFunWeb.dll

3. Prezentujesz: log z wynikami usuwania z punktu 1, nowy log z OTL z opcji Skanuj (Extras po raz drugi nie potrzebuję) oraz log z AD-Remover z opcji Scan.

.

pepele · 8 Lutego 2012

w załącznikach:

log z usuwania, nowy log OTL i log z Ad-a

nie udało mi się z jakiegoś powodu załączyć logu z usuwania wiec wklejam tutaj:

All processes killed

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-602162358-1897051121-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Registry value HKEY_USERS\S-1-5-21-602162358-1897051121-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EFEED92A-A33D-4873-BA8F-32BAA631E54D} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EFEED92A-A33D-4873-BA8F-32BAA631E54D}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-602162358-1897051121-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\jushed deleted successfully.

C:\Documents and Settings\All Users\jushed.exe moved successfully.

========== FILES ==========

C:\Documents and Settings\All Users\nircmd.exe moved successfully.

C:\Documents and Settings\All Users\timerxfile moved successfully.

C:\Documents and Settings\All Users\varsavefile moved successfully.

C:\Documents and Settings\All Users\datesavefile moved successfully.

C:\Documents and Settings\All Users\operaprefs.ini moved successfully.

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\jushed.exe moved successfully.

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\nircmd.exe moved successfully.

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Codecs.exe moved successfully.

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\operaprefs.ini moved successfully.

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Conduit\Community Alerts\Log folder moved successfully.

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Conduit\Community Alerts\LanguagePacks folder moved successfully.

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Conduit\Community Alerts\Feeds folder moved successfully.

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Conduit\Community Alerts folder moved successfully.

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Conduit folder moved successfully.

C:\Documents and Settings\Właściciel\Dane aplikacji\PriceGong\Data folder moved successfully.

C:\Documents and Settings\Właściciel\Dane aplikacji\PriceGong folder moved successfully.

C:\Documents and Settings\Właściciel\Dane aplikacji\OpenCandy\OpenCandy_D5D1E8A0C327458D8A6C03ABD07BCF9D folder moved successfully.

C:\Documents and Settings\Właściciel\Dane aplikacji\OpenCandy folder moved successfully.

C:\Program Files\Conduit\Community Alerts folder moved successfully.

C:\Program Files\Conduit folder moved successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator