kontrola logu - pomalé otváranie aplikacii a spomalený pc

[Márty84]

No pokud otevreni cehokoliv trva 20 minut...

Muzete jeste zkusit dat Uplnou kontrolu MBAM, tedy v tom nouzovem rezimu. Ale to asi taky bude na dlouho, takze spis az zitra. Mozna ze rychlejsi by fakt byla ta preinstalace

[AndreaP]

No do tej si netrufam, lebo nemám instalacne cd win. Tak sa musím uveriť do rúk odborníkom. A to som sa vcera tešila že uz mi to ide dobre

[Márty84]

Tak pokud mate jeste silu a cas bojovat, muzem to zkouset Ale je treba pracovat jen v nozovem rezimu. A pro zacatek to chce udelat tu kontrolu s MBAM. Ale opravdu tu uplnou. A jeste predtim vymazat a zakazat body obnovy, pac je mozne, ze se to vraci z nich.
Postuo na vymazani bodu obnovy je zde http://forum.viry.cz/viewtopic.php?f=46&t=47040
Akorat je risk, ze kdyz se neco zvrtne, nebude zadny zachranny bod

Takze si to rozmyslete a dejte vedet.

[AndreaP]

Po pravde si myslím, že uz som stratila všetky nádeje. Idem sa na to vyslať a uvidíme co bude zajtra. Ďakujem veľmi pekne za ochotu a pomoc. Dobru noc

[Márty84]

Dobre, rano moudrejsi vecera Dobrou

[AndreaP]

neviem co tomu môjmu pc je, dnes vyzerá že je v celku v pohode. Spravim ešte úplnu kontrolu cez MBM a pošlem log?

[Márty84]

Mozna se jen unavil. Urcite udelejte tu uplnou kontrolu MBAM, uvidime co najde.

Pak tam jeste pustime AVPTool http://forum.viry.cz/viewtopic.php?f=29&t=58179

[AndreaP]

Malwarebytes Anti-Malware (Skúšobná verzia) 1.62.0.1300
www.malwarebytes.org

Verzia databázy: v2012.08.16.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andrea :: AP-80NVCGATWOLV [administrátor]

Ochrana: Zapnuté

16.8.2012 13:34:17
mbam-log-2012-08-16 (18-07-38).txt - dnes

Typ kontroly: Úplná kontrola (C:\|)
Možnosti kontroly zapnuté: Pamäť | Po spustení | Registre | Systémové súbory | Heuristika/Extra | Heuristika/Shuriken | PUP | PUM
Možnosti kontroly vypnuté: P2P
Objektov kontrolovaných: 283906
Uplynutý čas: 1 hod, 18 min, 4 sek

Detegované služby pamäte: 0
(Škodlivé položky neboli zistené)

Detegované moduly pamäte: 0
(Škodlivé položky neboli zistené)

Detegované registračné kľúče: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GotClip (PUP.Adware.Gotclip.ScamLotto) -> Žiadna úloha nevykonaná.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Savings Sidekick (Adware.GamePlayLabs) -> Žiadna úloha nevykonaná.

Detegované registračné hodnoty: 0
(Škodlivé položky neboli zistené)

Detegované položky registračných dát: 0
(Škodlivé položky neboli zistené)

Detegované priečinky: 0
(Škodlivé položky neboli zistené)

Detegované súbory: 6
C:\Program Files\GotClip\Uninstall.exe (PUP.Adware.Gotclip.ScamLotto) -> Žiadna úloha nevykonaná.
C:\Program Files\Savings Sidekick\Savings Sidekick.exe (Adware.GamePlayLabs) -> Žiadna úloha nevykonaná.
C:\Program Files\Savings Sidekick\Savings SidekickGui.exe (Adware.GamePlayLabs) -> Žiadna úloha nevykonaná.
C:\Program Files\Savings Sidekick\Uninstall.exe (Adware.GamePlayLabs) -> Žiadna úloha nevykonaná.
C:\Program Files\smartdl\vfd.exe (Adware.Dropper) -> Žiadna úloha nevykonaná.
C:\System Volume Information\_restore{87DB6471-6BF2-4D37-BB35-5F66CB830CD8}\RP995\A0227598.exe (PUP.OfferBundler.ST) -> Žiadna úloha nevykonaná.

(koniec)

[AndreaP]

po odstraneni mi napísal tento log
Malwarebytes Anti-Malware (Skúšobná verzia) 1.62.0.1300
www.malwarebytes.org

Verzia databázy: v2012.08.16.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andrea :: AP-80NVCGATWOLV [administrátor]

Ochrana: Zapnuté

16.8.2012 13:34:17
mbam-log-2012-08-16 (13-34-17).txt

Typ kontroly: Úplná kontrola (C:\|)
Možnosti kontroly zapnuté: Pamäť | Po spustení | Registre | Systémové súbory | Heuristika/Extra | Heuristika/Shuriken | PUP | PUM
Možnosti kontroly vypnuté: P2P
Objektov kontrolovaných: 283906
Uplynutý čas: 1 hod, 18 min, 4 sek

Detegované služby pamäte: 0
(Škodlivé položky neboli zistené)

Detegované moduly pamäte: 0
(Škodlivé položky neboli zistené)

Detegované registračné kľúče: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GotClip (PUP.Adware.Gotclip.ScamLotto) -> Pridanie do karantény a zmazanie úspešné.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Savings Sidekick (Adware.GamePlayLabs) -> Pridanie do karantény a zmazanie úspešné.

Detegované registračné hodnoty: 0
(Škodlivé položky neboli zistené)

Detegované položky registračných dát: 0
(Škodlivé položky neboli zistené)

Detegované priečinky: 0
(Škodlivé položky neboli zistené)

Detegované súbory: 6
C:\Program Files\GotClip\Uninstall.exe (PUP.Adware.Gotclip.ScamLotto) -> Pridanie do karantény a zmazanie úspešné.
C:\Program Files\Savings Sidekick\Savings Sidekick.exe (Adware.GamePlayLabs) -> Pridanie do karantény a zmazanie úspešné.
C:\Program Files\Savings Sidekick\Savings SidekickGui.exe (Adware.GamePlayLabs) -> Pridanie do karantény a zmazanie úspešné.
C:\Program Files\Savings Sidekick\Uninstall.exe (Adware.GamePlayLabs) -> Pridanie do karantény a zmazanie úspešné.
C:\Program Files\smartdl\vfd.exe (Adware.Dropper) -> Pridanie do karantény a zmazanie úspešné.
C:\System Volume Information\_restore{87DB6471-6BF2-4D37-BB35-5F66CB830CD8}\RP995\A0227598.exe (PUP.OfferBundler.ST) -> Pridanie do karantény a zmazanie úspešné.

(koniec)

[AndreaP]

Nechala som predbehnúť ccleaner, zrušila obnovenie systému, stiahla kasperskeho a pošlem vysledky

[Márty84]

No jde vam to skvele MBAM zase odinstalujte, zbytecne pak zere pamet, ktere mate hodne malo.

Tak vzhuru na Kasparka

[AndreaP]

No uz som ho spustila, takze uz neodinstalujem MBM, nevedela som či ho nebudeme ešte potrebovať. Zatial kasper beží, ale prehliadač len 2 %

[Márty84]

Jasne, staci to odinstalovat az pak. Ale pokud se dostanete ted do jeho nastaveni, zkuste aspon vypnout jeho rezidentni ochranu. Pokud by chtel ale restart, tak uz to nechte tak.

Kasperak je hodne pomaly, ale zase hodne dusledny.

[AndreaP]

Znie to neuveriteľne, ale kasper žiadne hrozby nenašiel. Dala som ho uz odinstalovat, ale neviem či treba znovu zaskrtnut aj obnovovanie systému.

[Márty84]

To je dobra zprava

Obnovu tedy zapnete.



Znovu spustte OTL
Do spodniho okna vlozte nasledujici text (vcetne te dvojtecky pred slovem commands)

Kód: Vybrat vše

:commands
[EMPTYTEMP]
[EMPTYFLASH]
[Purity]

:services
MpKsldb491116

:files
%windir%\system32\*.tmp.dll /s
%windir%\system32\SET*.tmp /s
%windir%\*.tmp

:otl
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-746137067-1292428093-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?affID=114022 ... 19d13f899c
IE - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\URLSearchHook: - No CLSID value found
IE - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?clien ... src=crm&q={searchTerms}&locale=en_EU&apn_ptnrs=S3&apn_dtid=YYYYYYYYSK&apn_uid=63dc9641-301f-4c6a-8c6e-7ec6a202faa7&apn_sauid=151CD65D-4212-4D27-AB39-0F8B7EA02B88
IE - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=f80e481a0000000000000019d13f899c&tlver=1.4.19.19&ss=1&affID=17981
IE - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948
IE - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaultthis.engineName: "PHPNukeEN Customized Web Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2086743&SearchSource=13"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2086743&SearchSource=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2086743&SearchSource=13"
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
[2012.07.25 14:17:12 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Documents and Settings\Andrea\Application Data\Mozilla\Firefox\Profiles\97t7ufki.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
CHR - homepage: http://home.sweetim.com/?crg=3.1010000&st=12&barid={F6433E2A-7B63-11E1-A64E-0019D13F899C}
CHR - default_search_provider: SweetIM Search (Enabled)
CHR - default_search_provider: search_url = http://search.sweetim.com/search.asp?sr ... 0&st=12&q={searchTerms}&barid={F6433E2A-7B63-11E1-A64E-0019D13F899C}
CHR - homepage: http://home.sweetim.com/?crg=3.1010000&st=12&barid={F6433E2A-7B63-11E1-A64E-0019D13F899C}
CHR - plugin: Babylon ToolBar (Enabled) = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\BabylonChromeToolBar.dll
CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gclijllifhfpomppedeljakfegbcpojn\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll
CHR - Extension: Babylon Toolbar = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\
CHR - Extension: NCH EN = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gclijllifhfpomppedeljakfegbcpojn\2.3.15.10_0\
CHR - Extension: SweetIM for Facebook = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: Babylon Toolbar = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\
CHR - Extension: NCH EN = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gclijllifhfpomppedeljakfegbcpojn\2.3.15.10_0\
CHR - Extension: SweetIM for Facebook = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Documents and Settings\Andrea\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O15 - HKU\S-1-5-21-746137067-1292428093-725345543-1003\..Trusted Domains: ([]msn in My Computer)
[2012.07.29 16:01:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Andrea\Application Data\BabylonToolbar
[2007.06.09 20:17:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Andrea\Application Data\ICQ Toolbar
[19 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\*.tmp files -> C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\*.tmp -> ]
[25 C:\WINDOWS\Installer\*.tmp files -> C:\WINDOWS\Installer\*.tmp -> ]
[1 C:\WINDOWS\SoftwareDistribution\Download\0222400fcf7c78fcaf38fd057cc8f073\*.tmp files -> C:\WINDOWS\SoftwareDistribution\Download\0222400fcf7c78fcaf38fd057cc8f073\*.tmp -> ]
[1 C:\WINDOWS\twain_32\*.tmp files -> C:\WINDOWS\twain_32\*.tmp -> ]
[2009.09.18 12:56:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\McAfee
@Alternate Data Stream - 6144 bytes -> C:\WINDOWS\Cursors\arrow_n.cur:NEDTA.DAT

Kliknete na Opravit a nechte program pracovat. Pri otazce na restart souhlaste.
Po restartu se objevi novy log, ten sem dejte.