Qooqlle.com raz jeszcze?

[Argh]

Widziałem kilka skutecznych akcji pomocy, zatem sam proszę o podobną.

argh_gmer.txt

Extras.Txt

OTL.Txt

[picasso]

Na przyszłość: Log z GMER stworzony w nieprawidłowych warunkach, działa emulacja napędów wirtualnych (KLIK).

 

W Twoim przypadku Qooqlle wstawiło podróbkę "nVidia":

 

O4 - HKLM..\Run: [Display] C:\Documents and Settings\routier.ROUTIPC\Dane aplikacji\nwiz.exe (Nvidia Corporation)

Prawidziwy wpis nVidia (mimo braku "sygnatury") to ten:

 

O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()

Prócz tego są tu ślady po podpinaniu zainfekowanego urządzenia USB, a w związku z tym, że wpisy w MountPoints2 nie mają statusu "not found" na oko założę, że pliki tej infekcji mogą być nadal na dysku.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-448539723-1644491937-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://www.google.com/ie"
IE - HKU\S-1-5-21-448539723-1644491937-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
O4 - HKLM..\Run: [Display] C:\Documents and Settings\routier.ROUTIPC\Dane aplikacji\nwiz.exe (Nvidia Corporation)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} "http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Files
C:\Documents and Settings\routier.ROUTIPC\Dane aplikacji\Mozilla\Firefox\Profiles\vjpselnd.default\searchplugins
Recycled /alldrives
1weicxa.com /alldrives
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przez opcję Wykonaj skrypt. Komputer będzie restartował. Otrzymasz z tego log.

 

2. Wytwarzasz nowe logi z OTL opcją Skanuj. Dołączasz log otrzymany z usuwania w punkcie 1.

 

 

 

.

[Argh]

Faktycznie dziwnie wyglądała ta nVidia 2x odpalana, ale nie domyśliłem się po ścieżce, że to tu się schowało paskudztwo

 

Chyba skrypt zrobił swoje:

12272010_112447.txt

Extras.Txt

OTL.Txt

[picasso]

Zadanie zostało wykonane, tych plików z zarażonego USB jednak nie było na dysku. Zostały końcowe kroki do wykonania:

 

1. W OTL wywołaj funkcję Sprzątanie.

 

2. Wykonaj aktualizację oprogramowania:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 21
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java™ SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{AC76BA86-7AD7-1033-7B44-A82000000003}" = Adobe Reader 8.2.5

Aktualizacja IE niezależnie od tego, że w ogóle nie uruchamiasz tej przeglądarki. Plus deinstalacja pozostałych tu widzianych i wymiana najnowszymi wersjami. Wszystko tu: INSTRUKCJE.

 

3. Na koniec posprzątaj foldery Przywracania systemu: INSTRUKCJE.

 

 

 

.

[Argh]

Dziękuję za pomoc i wskazówki.

Posprzątane, poauktalizowane.

Pozdrawiam

[Argh]

Korzystając z uprzejmości Pani Admin poproszę o pomoc z jeszcze 2 komputerami po przejściach (z pewnością nie wszystko zostało z nich usunięte do czysta)

Żeby nam się nie pomyliły maszyny to może najpierw laptop, a jak z nim skończymy to druga maszyna.

niestety pełnego Gmera nie mam bo się wywraca, a RootRepeal zamarza na "Initializing, please wait"

gmer_preskan.txt

Extras.Txt

OTL.Txt

[picasso]

Tu nie ma nic szczególnego: są te same szczątki po podpinaniu zarażonego USB w kluczu MountPoints2 i puste wpisy po infekcji. Można usunąć szczątki po odinstalowanych programach (MKS i Ad-aware) i wysprzątać lokalizacje tymczasowe. Przy okazji zostaną skorygowane te błędy:

 

[ System Events ]
Error - 2010-12-26 18:24:21 | Computer Name = NOTEBOOK | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi MkS_Vir Monitor z powodu następującego 
błędu:   %%2
 
Error - 2010-12-26 18:24:21 | Computer Name = NOTEBOOK | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi NTPort Library Driver z powodu następującego
 błędu:   %%2
 
Error - 2010-12-26 18:24:25 | Computer Name = NOTEBOOK | Source = NokiaSuite3 | ID = 458757
Description = 
 
Error - 2010-12-26 18:24:25 | Computer Name = NOTEBOOK | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   Lbd
 
Error - 2010-12-27 08:14:13 | Computer Name = NOTEBOOK | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Lavasoft Ad-Aware Service z powodu następującego
 błędu:   %%3
 
Error - 2010-12-27 08:14:13 | Computer Name = NOTEBOOK | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Sterownik portu równoległego z powodu następującego
 błędu:   %%1058

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [bascstray]  File not found
O4 - HKLM..\Run: [RUNDLL] C:\WINDOWS\System32\rundll32\svchost.exe File not found
O4 - HKLM..\Run: [secure] C:\WINDOWS\System32\secure\rundll32.exe File not found
O4 - HKLM..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe File not found
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe File not found
O4 - HKU\S-1-5-21-2969691963-187991888-1637679466-1005..\Run: [NokiaOviSuite2] C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe File not found
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} "http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38026.4843055556" (Reg Error: Key error.)
O34 - HKLM BootExecute: (lsdelete) -  File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\MKS\Bin\mksmonsv.exe -- (MksVirMonSvc)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\zntport.sys -- (zntport)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\P2k.sys -- (P2k)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MKS\Bin\MksMonFd.sys -- (MksMonFd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MKS\Bin\MksMonEv.sys -- (MksMonEv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MKS\Bin\MksMonEn.sys -- (MksMonEn)
DRV - File not found [File_System | Boot | Stopped] -- C:\WINDOWS\System32\DRIVERS\Lbd.sys -- (Lbd)
[2010-12-20 20:14:00 | 000,000,472 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Parport]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NokiaSuite3]
"Start"=dword:00000004
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Znajoma sekwencja: restart + log.

 

2. Do aktualizacji:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Gadu-Gadu" = Gadu-Gadu 7.6
"Mozilla Firefox (3.0.7)" = Mozilla Firefox (3.0.7)
"Mozilla Firefox (3.6.9)" = Mozilla Firefox (3.6.9)

Gadu - przeczytaj temat Darmowe komunikatory w celu dobrania sprawniejszej alternatywy. Propozycja: WTW lub Miranda.

 

Dodatkowo: reinstalacja (lub całkowita deinstalacja) Nokia PC Suite. Sterownik tego pakietu, nie dość że stary (1998 rok), to jeszcze zwraca błędy w Dzienniku zdarzeń. Powyższym skryptem go wyłączyłam. Reszta w Twojej gestii.

 

DRV - [1998-09-12 09:59:48 | 000,837,696 | ---- | M] (Nokia Mobile Phones Ltd.) [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\NokiaSuite3.sys -- (NokiaSuite3)

 

 

 

.

[Argh]

zatem wygląda na to że jest w miarę posprzątane, a ewentualne zamulenia laptopa są hardware'owe - no cóż ma już swoje lata

co do Nokia PC Suite to machnę reinstall, bo co prawda stara wersja, ale jako jedyna pracuje poprawnie, nie zrywa połączenia bluetooth itp (ale to już inna historia)

reszta rzeczy do aktualizacji będzie tak samo jak w poprzednim temacie.

logi po restarcie:

12272010_152105.txt

Extras.txt

OTL.txt

[Argh]

Przepraszam za multipost, ale to ze względu na to, żeby się nie pomyliły logi, bo tu chciałem zamieścić skany drugiego komputera

Podobnie jak laptop nie lubi za bardzo GMERa (tylko startowy log):

gmer00.txt

Extras.Txt

OTL.Txt

RootRepeal.txt

[picasso]

Te dwa Twoje tematy sklejam razem.

 

Pierwszy komputer:

 

1. W OTL możesz wywołać funkcję Sprzątanie.

 

2. Pozbądź się też sterownika pozostawionego przez RootRepeal:

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\rootrepeal.sys -- (rootrepeal)

Start > Uruchom > CMD i wpisz komendę SC DELETE rootrepeal

 

zatem wygląda na to że jest w miarę posprzątane, a ewentualne zamulenia laptopa są hardware'owe - no cóż ma już swoje lata

 

Czy zamulenia nadal występują po powyższych operacjach? A jeśli tak, to w których momentach się to objawia? Jak dawno temu defragmentowałeś dysk? Czy do tego sprzętu są możliwe do znalezienia nowsze sterowniki sprzętowe?

 

 

 

Drugi komputer:

 

Są ślady po podpinaniu zarażonego USB, wszystkie w stanie "not found".

 

1. Drobne sprzątanie martwych zapisów. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\ICQ\Icq.exe"=-
"C:\Program Files\AVG\AVG8\avgupd.exe"=-
"C:\Program Files\AVG\AVG8\avgemc.exe"=-
"C:\Program Files\AVG\AVG8\avgnsx.exe"=-
 
:OTL
O3 - HKU\S-1-5-21-73586283-2077806209-839522115-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [DAEMON Tools] C:\Program Files\DAEMON Tools\daemon.exe File not found
O4 - HKU\S-1-5-21-73586283-2077806209-839522115-1003..\Run: [amva] C:\WINDOWS\System32\amvo.exe File not found
O4 - HKU\S-1-5-21-73586283-2077806209-839522115-1003..\Run: [MsnMsgr] C:\Program Files\MSN Messenger\MsnMsgr.Exe File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/fhg.CAB" (Reg Error: Key error.)
O16 - DPF: {3334504D-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/C/8/0C8EDFAB-30BC-4792-898E-2DABE27B2C4D/mp43dmo.CAB" (Reg Error: Key error.)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
DRV - [2006-05-28 15:42:20 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ABIT\ABIT uGuru\Memctl.sys -- (Memctl)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\PAWEL&~1\USTAWI~1\Temp\kbeepm.sys -- (kbeepm)
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Dodatkowo możesz wyłączyć ze startu zbędne rzeczy. Uruchom program Autoruns a w nim w karcie Logon odptaszkuj wpisy ze startu:

 

O4 - HKLM..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE (Creative Technology Ltd.)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe ()
O4 - HKLM..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe (Labtec Inc.)
O4 - HKLM..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe (Labtec Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [updReg] C:\WINDOWS\Updreg.EXE (Creative Technology Ltd.)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe ()
O4 - HKLM..\Run: [WINDVDPatch] C:\WINDOWS\System32\CTHELPER.EXE (Creative Technology Ltd)
O4 - HKU\S-1-5-21-73586283-2077806209-839522115-1003..\Run: [NBJ] C:\Program Files\Ahead\Nero BackItUp\NBJ.exe (Ahead Software AG)
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)

 

3. Obowiązkowe aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

Service Pack 3 + Internet Explorer 8

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
""{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"AVG9Uninstall" = AVG Free 9.0
"Gadu-Gadu" = Gadu-Gadu 6.1
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)

Przestarzałe programy AVG 9 i Ad-aware do deinstalacji i zastąpienia najnowszymi formami aplikacji. Reszta tu wyliczona także do aktualizacji.

 

4. Są tu i stare sterowniki sprzętowe. Zorientuj się czy jest możliwa aktualizacja (o ile coś do tego sprzętu będzie).

 

 

 

.

[Argh]

Czy zamulenia nadal występują po powyższych operacjach? A jeśli tak, to w których momentach się to objawia? Jak dawno temu defragmentowałeś dysk? Czy do tego sprzętu są możliwe do znalezienia nowsze sterowniki sprzętowe?

 

Ogólnie zamulenia są kilku-kilkunastosekundowe, głównie w czasie przeglądania stron w FF (pierwsze uruchomienie przeglądarki też zajmuje sporo czasu). Laptop ma już swoje lata, dużo pomogło mu dołożenie RAMu (było 256MB+128MBwbudowane, a teraz jest raptem 1GB+128MB minus coś tam na pamięć grafiki), ale procesor to 1,2GHz Intel Centrino. Ogólnie akumulator chyba też padł albo złapał zwarcie, bo nie dość, że nie trzyma, to zaczął się znacznie nagrzewać, co mogło też znacząco wpływać na pracę procesora (obecnie bateria jest w trakcie wymiany ogniw i komputer nie grzeje się tak mocno)

Nowszych sterowników do sprzętu raczej nie będzie bo to stary komputer, a co było nowszego to już ściągałem i instalowałem

Defragmentacja to chyba będzie niezły pomysł biorąc pod uwagę (tylko muszę więcej miejsca zwolnić bo ponoć 3% to ciut mało )

Fragmentacja woluminu

Fragmentacja całkowita = 48 %

Fragmentacja plików = 79 %

Fragmentacja wolnego miejsca = 18 %

 

edit: systemowy defragmentator nie za bardzo daje sobie radę. Większości plików nie mógł zdefragmentować i jeszcze sporo zostało:

Fragmentacja woluminu

Fragmentacja całkowita = 22 %

Fragmentacja plików = 42 %

Fragmentacja wolnego miejsca = 3 %

Są może jakieś lepsze narzędzia do defragmentacji?

 

W drugim faktycznie dużo zaległości jeśli chodzi o aktualizacje (że ja tez nie ma tam SP3 o.0), ale nie pracuję na nim w domu to i mi to jakoś umknęło - trzeba to będzie nadrobić.