Proszę o przeanalizowanie logów z HiJackThis i OTL.

Witam,

Niedawno (1-2 tydzień przed świętami) miałem formatowanie dysku. Niestety całkowicie zapomniałem o pewnym folderze z ważnymi plikami i przepadł. Pogrzebałem po necie i znalazłem parę programów do odzysku utraconych plików. Niestety nie odzyskałem tych plików na których mi zależało najbardziej a ponad 1 GB innych śmieci typu zdjęcia, emotikony z gg itd. były zarażone jakimiś trojanami etc. i mój NOD wykrył te rzeczy (jak się domyślacie była tego MASA), niestety dziś włączył mi się proces ekrn.exe co znając życie nie oznacza nic dobrego (przynajmniej w przypadku mojego PCeta). Oczywiście usunąłem wszystkie śmieci, które udało się "odzyskać", zeskanowałem cały dysk (wszystkie partycje) NODem i Malwarebytes' Anti-Malware na (nie)szczęście nic nie wykryły, jednak proces ekrn.exe dalej muli mi PCeta (zazwyczaj przeglądarkę) i wkurwia mnie nieziemsko.
Posiadam WindowsaXP SP2, ESET NOD32 4.2.64.12, Malwarebytes' Anti-Malware 1.50.1.1100 (jeżeli to za mało proszę o wskazówkę co jeszcze powinienem dopisać).

Logi z HiJackThis:

Z racji tego, że program OTL po skanowaniu zapisał dwa pliki tekstowe (i kompletnie nie wiem który mam wrzucić na forum) w notatniku z czego jeden na prawdę długi to dodam je jako załacznik (.rar). Na wszelki wypadek proszę zeskanować przed rozpakowaniem.

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Cytat:

:OTL

O4 - Startup: C:\Documents and Settings\Kuba\Menu Start\Programy\Autostart\BD71E1.lnk = C:\WINDOWS\System32\E876E6\BD71E1.EXE File not found
O4 - Startup: C:\Documents and Settings\Kuba\Menu Start\Programy\Autostart\Shrink Pic.lnk = D:\Shrink Pic\shrink_pic.exe File not found

:Commands
[emptytemp]

Witam!
ekrn.exe to jest proces NOD'a. Na czas sprzątania poprawnie odinstaluj go.

1.
W OTL w pole własne opcje skanowania wklej:

Cytat:

:OTL
O4 - Startup: C:\Documents and Settings\Kuba\Menu Start\Programy\Autostart\BD71E1.lnk = C:\WINDOWS\System32\E876E6\BD71E1.EXE File not found
O4 - Startup: C:\Documents and Settings\Kuba\Menu Start\Programy\Autostart\Shrink Pic.lnk = D:\Shrink Pic\shrink_pic.exe File not found
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\PartyPoker\RunApp.exe ()
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\PartyPoker\RunApp.exe ()
:Commands
[emptyflash]
[emptytemp]

A więc tak:

dla kolegi Acorus 20:

Raport:

All processes killed

========== OTL ==========

File move failed. C:\Documents and Settings\Kuba\Menu Start\Programy\Autostart\BD71E1.lnk scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Kuba\Menu Start\Programy\Autostart\Shrink Pic.lnk scheduled to be moved on reboot.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Kuba

->Temp folder emptied: 787 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->FireFox cache emptied: 16360983 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 16,00 mb

 

 

OTL by OldTimer - Version 3.2.20.1 log created on 01052011_190118



Files\Folders moved on Reboot...

File\Folder C:\Documents and Settings\Kuba\Menu Start\Programy\Autostart\BD71E1.lnk not found!

File\Folder C:\Documents and Settings\Kuba\Menu Start\Programy\Autostart\Shrink Pic.lnk not found!



Registry entries deleted on Reboot...

All processes killed

Error: Unable to interpret <O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\PartyPoker\RunApp.exe ()> in the current context!

Error: Unable to interpret <O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\PartyPoker\RunApp.exe ()> in the current context!

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Default User

 

User: Kuba

->Flash cache emptied: 0 bytes

 

User: LocalService

 



										
										


User: NetworkService

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Kuba

->Temp folder emptied: 787 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->FireFox cache emptied: 16475207 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 16,00 mb

 

 

OTL by OldTimer - Version 3.2.20.1 log created on 01052011_191055



Files\Folders moved on Reboot...



Registry entries deleted on Reboot...

Service pack 3 poprawia krytyczne błędy, backdoory, usprawnia pracę systemu, rozwiązuje niektóre konflikty sprzętowe i softwarowe. I przede wszystkim zapewnia o wiele większe bezpieczeństwo.

Tak samo Internet Explorer 8 powinien być zainstalowany, bez względu, czy w ogóle go włączysz. Jest ważnym komponentem systemowym z którego korzysta system operacyjny, bez Twojej ingerencji.

Wszystkie poprawki i aktualizacje poprawiają komfort pracy i zwiększają bezpieczeństwo. Co ma kluczowe znaczenie dla użytkownika, bo przecież nie chciałbyś stać się ofiarą jakiegoś szkodliwego oprogramowania.

Log wygląda dobrze. W OTL użyj opcji sprzątanie.

W porządku.W OTL użyj opcji Sprzątanie.Aktualizacje obowiązkowe.Service Pack 3 to w tej chwili konieczość.

A jeszcze mam pytanie. Dałem to Sprzątanie w OTLu i kazało mi zresetować PCeta, zrobiłem to, po czym nic się nie włączyło po wejściu do Windowsa. Tak miało być ?

Tak. Sprzątanie w OTL usuwa go i czyści jego kwarantannę. Czyli odinstalowuje go.
Pozdrawiam!

Komenda Sprzątanie usuwa OTL-a i jego kwarantannę.

W hijackThis usuń:

O4 - Startup: Shrink Pic.lnk = D:\Shrink Pic\shrink_pic.exe

Pozdrawiam
Józef

A jak to mogę zrobić ?

Co masz jeszcze do zrobienia? To wszystko.