Wina wirusów czy programu ?

**Posty:** 7 · przez **maverick911** 07 Mar 2012, 02:17

Witam Wszystkich Forumowiczów

Zacznę od tego że jestem zielony w komputerach, posiadmam dwa i kilka dni temu zaczeło sie z nimi dziać coś dziwnego:
1) zaczeły wolno chodzić, a nie są jeszce takie najgorsze, systemy to Windows 7 Home Premium 64 bit i Windows 7 Ultimate 32 bit
2) internet działa jak chce i kiedy chce między innymi potrafi wczytać inną stronę niż niż sie wybiera
3) programy które dzialaly bez żadnych problemów nagle zaczynają sie sypać wyświetla sie komunikat "PROGRAM PRZESTAŁ DZIAŁAĆ" ( tj. office world, gom player, skype, gg czy real player).
Cała sprawa sprowadza sie do tego że mam też zainstalowany program ADVANCED SYSTEM CARE który służy do optymalizacji podniesienia wydajnośi komputera. Program zawsze uruchamiam z opcją DOGŁĘBNA PIELĘGNACJA. Skanowanie zaczyna się od opcji PEŁNE SKANOWANIE W CELU WYSZUKANIA ZŁOŚLIWEGO OPROGRAMOWANIA.
I w tym momencie zaczyna się mój dylemat gdyż pod skanowaniem są wyświetlane foldery, pliki, katalogi itp. tak jak w programach antywirusowych podczas skanowania, ponieważ wyświetla mi ogromną ilość ( tojanów, backdoor, spyware, win32, mal./gen., rouge, rootkit, psw, itd.). Przeraziło mnie to ponieważ nie wiem czy faktycznie jest tych wirusów aż tyle czy może to jest po częsci wina tego programu, jak wspominałem nie mam pojęcia o zaawansowanej obsłudze komputera i nie wiem w których katalogach, folderach czy tez plikach mógbym znaleźć te wirusy. Wię zwracam się z proźbą o Pomoc.

**Posty:** 18165 · przez **wojtas** 07 Mar 2012, 09:59

więc takich polepszaczy do komputera proszę unikać...

Proszę zastosować się do obowiązkowych zasad w dziale bezpieczeństwo wstawić z obudwu systemów logi
- wstaw wymagane logi zgodnie ze swoim systemem (dla 32 bitowego Gmer z dwoma logami z OTL, dla 64 bit same logi z OTL)
- wrzuć logi na forum w formie załącznika,

**Posty:** 7 · przez **maverick911** 07 Mar 2012, 11:36

Skany z OTL dla wersji 64 bitowej

Dodano Dzisiaj, 11:11:
A to skan z OTL I GMER dla wersji 32 bitowej

Dodano Dzisiaj, 11:14:
gmer

Dodano Dzisiaj, 11:18:
gmer nie chce mi wysłać załącznika komunikat tyczy się tego że jest to Rozszerzony plik

**Posty:** 18165 · przez **wojtas** 07 Mar 2012, 18:42

rozszerzenie pliku musi być txt a nie log.

widzę w systemie ( pierwsze logi w załączniku ) dwa systemy antywirusowe Avast i Kaspersky.. jeden trzeb odinstalować

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Synth3dVsc)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (axriapow)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\.DEFAULT\..\URLSearchHook: {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - No CLSID value found
IE - HKU\.DEFAULT\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\.DEFAULT\..\SearchScopes\{5B3749E6-FBB2-4144-855F-0E6A4B148B01}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=380920&p={searchTerms}
IE - HKU\S-1-5-18\..\URLSearchHook: {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - No CLSID value found
IE - HKU\S-1-5-18\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-18\..\SearchScopes\{5B3749E6-FBB2-4144-855F-0E6A4B148B01}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=380920&p={searchTerms}
IE - HKU\S-1-5-21-417198341-2455098784-1075894233-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-417198341-2455098784-1075894233-1000\..\SearchScopes\{7EF89D73-3B64-49A9-AB73-E4F76D800FED}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=380920&p={searchTerms}
IE - HKU\S-1-5-21-417198341-2455098784-1075894233-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_fs
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar_fs&search="
[2011-12-08 23:17:49 | 000,002,030 | ---- | M] () -- C:\Users\Notandi\AppData\Roaming\Mozilla\Firefox\Profiles\ix10zket.default\searchplugins\MyStart Search.xml
[2012-03-05 20:52:06 | 000,002,517 | ---- | M] () -- C:\Users\Notandi\AppData\Roaming\Mozilla\Firefox\Profiles\ix10zket.default\searchplugins\Search_Results.xml
[2012-03-05 20:52:06 | 000,002,517 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (uruchom z prawokliku "jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

trzeci i 4 log:

odinstaluj Wincore MediaBar

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
[2010-08-28 00:39:09 | 000,001,761 | ---- | M] () -- C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\89khmt46.default\searchplugins\ask.uk.xml
[2010-09-28 22:39:14 | 000,002,333 | ---- | M] () -- C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\89khmt46.default\searchplugins\askcom.xml
[2010-09-02 19:09:01 | 000,002,059 | ---- | M] () -- C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\89khmt46.default\searchplugins\daemon-search.xml
[2011-02-13 23:42:34 | 000,002,153 | ---- | M] () -- C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\89khmt46.default\searchplugins\MyStart Search.xml
[2012-03-05 19:23:58 | 000,002,517
[2011-03-23 19:54:33 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Przemek\AppData\Roaming\mozilla\Firefox\Profiles\89khmt46.default\extensions\engine@conduit.com
[2012-03-05 19:24:05 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Users\Przemek\AppData\Roaming\mozilla\Firefox\Profiles\89khmt46.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0}
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=685749&ilc=12"
IE - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.imesh.net
IE - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD21}
IE - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\SearchScopes\{0B278C6F-EC6B-3477-311E-6342928C69FF}: "URL" = http://flvpx-ares.asksearch.com/s/?q={searchTerms}&iesrc={referrer:source?}&cfg=2-113-0-1JXNv
IE - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=CCS&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=9B079F5C-49DB-41B2-9268-F49D728C6F3D&apn_sauid=851501BB-F413-4A65-9C05-FFCDF8FE21DC
IE - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\SearchScopes\{78E4FF4E-93D4-4D25-B395-8BB2C83F882E}: "URL" = http://www.tangosearch.com/?q={searchTerms}&a=SEARCH
IE - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\SearchScopes\{9E9EA26F-F067-4A32-8270-B533A7A5CB5F}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=685749&p={searchTerms}
IE - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/?search={searchTerms}&loc=search_box
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}
[2012-03-05 19:23:58 | 000,002,517 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.tangosearch.com/?useie5=1&q=
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD21}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{78E4FF4E-93D4-4D25-B395-8BB2C83F882E}: "URL" = http://www.tangosearch.com/?q={searchTerms}&a=SEARCH
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}
[2012-03-05 19:23:58 | 000,002,517 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2762123958-2649286385-231522498-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-2762123958-2649286385-231522498-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (uruchom z prawokliku "jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

**Posty:** 7 · przez **maverick911** 07 Mar 2012, 20:49

brakujący GMER cześć po niżej musiałem usunąć ze względu na rozmiar pliku który ma 690 KB, ale jeśli trzeba to wrzucę cala zawartość z Avasta

Dodano Dzisiaj, 20:04:
A co do systemów antywirusowych to problem był tego typu ze Avant nie wykrył żadnego wirusa i po poradach internetowych zainstalowałem testowa wersie Kaspersky i oczywiście tym samym wyłączyłem ochronę systemu przez Avant wiec jest nie aktywny. Natomiast Kaspersky znalazł dwa wirusy które usunął.

Dodano Dzisiaj, 21:06:
Nowy OTL i raport z AdwCliner

**Posty:** 18165 · przez **wojtas** 07 Mar 2012, 23:00

czy znana jest Ci aplikacja Imesh? jak nie odinstaluj ją

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu

więcej tu nic nie ma

**Posty:** 7 · przez **maverick911** 07 Mar 2012, 23:40

to będzie wszystko co do tego komputera?

**Posty:** 18165 · przez **wojtas** 07 Mar 2012, 23:43

tak, więcej nic nie widać.. daj całego loga z Gmera na www.wklej.org

**Posty:** 7 · przez **maverick911** 07 Mar 2012, 23:55

już idę wrzucić

Dodano Dzisiaj, 23:00:
a powiedz mi czy muszę się rejestrować ?

**Posty:** 18165 · przez **wojtas** 08 Mar 2012, 00:02

nic nie musisz...

**Posty:** 7 · przez **maverick911** 08 Mar 2012, 21:03

raport z AdwCleaner drugi komputer

Dodano Dzisiaj, 20:08:
i już zrobiony skan z OTL

Dodano Dzisiaj, 20:12:
Mam pytanie odnośnie dysków zewnętrznych i pendrive co z nimi czy tam mogą być tez te wirusy?

Dodano Dzisiaj, 20:32:
czy dalej tez robić tak jak dla systemu 64 bitowego ?

**Posty:** 18165 · przez **wojtas** 08 Mar 2012, 21:48

oczywiście że mogą być, ale raczej nie tej rodzaj infekcji...
ten plik/i :

[2012-08-03 02:31:39 | 000,409,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\systemcpl.dll
[2012-08-03 02:31:39 | 000,013,824 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\slwga.dll

przeskanuj tu
http://virusscan.jotti.org/
i tu :
http://www.virustotal.com/

i daj raporty ze skanu w następnym poście

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
[2012-03-05 23:30:03 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Users\Notandi\AppData\Roaming\mozilla\Firefox\Profiles\ix10zket.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0}

daj wykonaj skrypt

na koniec jeśli skanery by nic nie znalazły to: ( jeśli znajdą daj znać i nie rób tego niżej)
*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu

**Posty:** 7 · przez **maverick911** 08 Mar 2012, 22:36

"
[2012-08-03 02:31:39 | 000,013,824 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\slwga.dll

Nazwa pliku: slwga.dll
Stan:
Skanowanie zakończone. 0 z 20 skanerów zgłaszają szkodliwe oprogramowanie.
Skanowanie podjęte w: czw 20 paź 2011 18:42:42 (CET) Link stały

Rozmiar pliku: 13824 bajtów
Typ pliku: PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit
MD5: e61f59694f03806c39e39260b7f17acd
SHA1: c868d9765ad771cbb86bfc99663ac1dba3a819d8

Dodano Dzisiaj, 21:40:
"
[2012-08-03 02:31:39 | 000,409,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\systemcpl.dll

Nazwa pliku: systemcpl.dll
Stan:
Skanowanie zakończone. 0 z 19 skanerów zgłaszają szkodliwe oprogramowanie.
Skanowanie podjęte w: czw 8 mar 2012 21:16:33 (CET) Link stały

Rozmiar pliku: 409088 bajtów
Typ pliku: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit
MD5: 79db82f784b6ab7b5fe4afb61a717ffd
SHA1: a1b5e271bc6eed55f8a991b6484a6e4b56872032

Dodano Dzisiaj, 21:43:
"
[2012-08-03 02:31:39 | 000,013,824 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\slwga.dll

SHA256: 4ea904189a7cc96b204525b412ebd5c9f6c973b2a0f5370c61c89464610d986c
SHA1: c868d9765ad771cbb86bfc99663ac1dba3a819d8
MD5: e61f59694f03806c39e39260b7f17acd
File size: 13.5 KB ( 13824 bytes )
File name: 54D2F49900772F63360E00ED930D6C00C404194F.dll
File type: Win32 DLL
Detection ratio: 0 / 43
Analysis date: 2012-02-28 12:25:25 UTC ( 1 tydzień, 2 dni ago )

Dodano Dzisiaj, 21:45:
"
[2012-08-03 02:31:39 | 000,409,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\systemcpl.dll

SHA256: ed40ead6bde17276e5182b6c2eff47c925e60ca1ebc27adfed8a79e3e86c6522
SHA1: a1b5e271bc6eed55f8a991b6484a6e4b56872032
MD5: 79db82f784b6ab7b5fe4afb61a717ffd
File size: 399.5 KB ( 409088 bytes )
File name: file-3643307_dll
File type: Win32 DLL
Detection ratio: 0 / 43
Analysis date: 2012-03-08 20:20:21 UTC ( 23 minuty ago )

Dodano Dzisiaj, 21:46:
nie wiem czy dokładnie o to Ci chodziło ?

Dodano Dzisiaj, 22:00:
mam jeszcze jedno pytanko na tym 64 bitowym systemie mam zainstalowany Office 2000 Premium w pełnej opcji wszystkich programów tej rodziny i po czyszczeniu w dalszym ciągu Word nie chce się uruchomić, a działał znakomicie czy naprawa officu pomoże, a może lepiej nowa instalacja żeby działało ?

**Posty:** 18165 · przez **wojtas** 08 Mar 2012, 23:16

pliki czyste, proponuje przeinstalować

Kto jest na forum