Diagnostyka starego ACERa

[Michal1989]

Witam,

 

Jako, że mój "codzienny" lapek poszedł do całkowitej naprawy prosiłbym Mistrzynie aby sprawdziła co można by usprawnić na "złomku" - jest to również ACER, posiada Windowsa XP ( 32-bit ). Jest w sumie nie sprawdzany i nie czyszczony od bardzo dawna... Jeżeli ktoś będzie w stanie wskrzesić w nim życie to chyba tylko Nasza Mistrzyni

 

EDIT: Zaktualizowałem Jave i Flash'a

OTL.Txt

Extras.Txt

[picasso]

Bez próśb o "sprawdzenie logów" w tytułach. Zasady działu wyjaśniają dlaczego... Skoro system 32-bit, to obowiązkowym logiem jest także GMER. Widzę go u Ciebie na Pulpicie, a milczysz na temat ewentualnej próby uruchomienia. W ogóle nie przygotowałeś systemu do prawidłowej pracy GMER (KLIK), działają emulatory napędów wirtualnych:

 

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aaiqvlqx)

DRV - [2009-11-12 13:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)

DRV - [2009-01-27 14:57:12 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

Co my tu mamy: różne infekcje lub ich ślady (m.in. niepożądane trojany w starcie, plik HOSTS zmodyfikowany przez robaka Brontok, ślady infekcji z nośników USB) i adware.

 

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Fast Browser Search (My Web Tattoo), Free_Lunch_Design Toolbar. Od razu pozbądź się też zbędnego Akamai NetSession Interface oraz potwornie starych kodeków i archiwizerów K-Lite Mega Codec Pack 1.45, WinRAR, WinZip.

 

2. Działa w tle stary Avast, ale jakoś nie widzę deinstalatora na liście... Przejdź w Tryb awaryjny Windows i zastosuj Avast Uninstall Utility.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\ConduitEngine
C:\Program Files\SGPSA
C:\Program Files\Windows Service
C:\Documents and Settings\Goga\Menu Start\Programy\Autostart\rundlll.exe
C:\Documents and Settings\Goga\Menu Start\Programy\Autostart\WinSvc.exe
C:\Documents and Settings\Goga\Dane aplikacji\AD ON Multimedia
C:\Documents and Settings\Goga\Dane aplikacji\OpenCandy
C:\Documents and Settings\Goga\Dane aplikacji\PriceGong
C:\Documents and Settings\Goga\Dane aplikacji\Mozilla\Firefox\Profiles\lzx7qzz3.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
C:\Documents and Settings\Goga\Dane aplikacji\Mozilla\Firefox\Profiles\lzx7qzz3.default\extensions\engine@conduit.com
C:\Documents and Settings\Goga\Ustawienia lokalne\Dane aplikacji\Softonic-Eng7
@C:\Documents and Settings\Goga\Pulpit:Å?_ì
C:\WINDOWS\tasks\SLOW-PCfighter-Goga-Startup.job
C:\WINDOWS\tasks\iMeshNAG.job
C:\autorun.inf
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):"autocheck autochk *"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=CDS&o=16205&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=QR&apn_dtid=&apn_uid=EED60B3D-5B34-445A-AFF7-B06AE315E3E6&apn_sauid=0B484834-3D23-438A-9817-EA62EA15DB78"
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\SearchScopes\{63B30D0E-2136-4FA8-B99A-1D1998E348C0}: "URL" = "http://www.fastbrowsersearch.com/results/results.aspx?q={searchTerms}&c=web&s=DSP&v=19&tid={A988FFB5-EA06-4d11-A5AB-F372595BD7C9}"
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280"
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_im2_test
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\URLSearchHook: {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - No CLSID value found
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - No CLSID value found
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found
IE - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Search Assistant) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll (MTWB)
O2 - BHO: (no name) - {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - No CLSID value found.
O2 - BHO: (no name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found.
O2 - BHO: (no name) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - No CLSID value found.
O2 - BHO: (no name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found.
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - No CLSID value found.
O3 - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - No CLSID value found.
O4 - HKLM..\Run: [iPlusManager] C:\Program Files\Plus Internet\iPlusChecker.exe File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKU\S-1-5-21-1757981266-854245398-725345543-1003..\Run: [EXPLORER.EXE] C:\WINDOWS\explorer.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1757981266-854245398-725345543-1003..\Run: [wsctf.exe] wsctf.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Main present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-21-1757981266-854245398-725345543-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1757981266-854245398-725345543-1003\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-21-1757981266-854245398-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-1757981266-854245398-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewOnDrive = 0
O7 - HKU\S-1-5-21-1757981266-854245398-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 0
O7 - HKU\S-1-5-21-1757981266-854245398-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-1757981266-854245398-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
SRV - File not found [Auto | Stopped] -- -- (msav)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\snp325.sys -- (SNP325)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NSNDIS5.SYS -- (NSNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Goga\USTAWI~1\Temp\idrmkl.sys -- (idrmkl)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Uruchom Junkware Removal Tool. Na Pulpicie powstanie log.

 

6. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

7. W Firefoxie zmień stronę startową z tej propocyjnej.

 

8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz logi utworzone przez AdwCleaner i JRT.

 

 

 

.

[Michal1989]

Ok, a więc:

 

1. Odinstalowałem wszelkie wymienione aplikacje / programy.

2. W trybie awaryjnym włączyłem deinstalora Avast ( chyba wszystko wyczyścił ).

3. Skrypt - wykonany ( wynik w załączniku ).

4. AdwCleaner - zgodnie z zaleceniem ( wynik w załączniku ).

5. Junkware Removal Tool - tak samo ( wynik w załączniku ).

6. Chyba udało się resetować - ale nie jestem pewny.

7. Strona zmieniona na startową Google.

8. Nowy log z OTL'a w załączniku.

 

Dodatkowo:

* Po instalacji Kaspersky Anti-Virus2013 + aktualizacji programu i bazy wirusów program wykrył i pousuwał:

- Trojan.Win32.AutoRun.gen

- Trojan-Downloader.Win32.Brontok.c

- Trojan-Downloader.Win32.Murlo.hgj

- Trojan-GameThief.Win32.Batist.bts

- 9 razy -> Email-Worm.Win32.Brontok.tb

 

Czekam na dalsze wytyczne i dziękuję za zainteresowanie oraz pomoc ( GMER zapisany w formie .txt po działaniach, w innej formie nie chciał się załadować ).

12082012_005739 - wynik z OTL po skrypcie.txt

AdwCleanerS1.txt

JRT.txt

GMER DyskC.txt

OTL.Txt

[picasso]

Nie ma sensu dzielić GMER na skan dysków C+D, to nie działa tak jak sugerujesz, a różnica między logami jest tylko dlatego, że zainstalowałeś Kasperskiego (są więc notowane jego modyfikacje). W instrukcji było powiedziane: tylko dysk systemowy C. Zbędny log dysku D usuwam. Poza tym, log robiłeś w złym środowisku, już mówiłam o tym, nie usunąłeś sterownika SPTD (KLIK):

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (anh3ubwp)
DRV - [2009-01-27 14:57:12 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

6. Chyba udało się resetować - ale nie jestem pewny.

 

Niestety nie wykonało się to dobrze, aktualnie w ogóle brak pliku HOSTS:

 

Hosts file not found

 

 

Dodatkowo:

* Po instalacji Kaspersky Anti-Virus2013 + aktualizacji programu i bazy wirusów program wykrył i pousuwał

 

Po pierwsze: nie podałeś w czym i nie mogę tego ocenić. Po drugie: ze skanem należało się wstrzymać do ukończenia czyszczenia ręcznego.

 

 

---

Kolejne działania do przeprowadzenia:

 

1. Odbuduj brakujący plik HOSTS. Uprewnij się, że masz wyłączoną opcję: Mój komputer > Narzędzia > Opcje folderów > Widok > Ukrywaj rozszerzenia znanych typów plików. Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\WINDOWS\system32\drivers\etc.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Documents and Settings\Goga\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.183.39\npGoogleOneClick8.dll File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1757981266-854245398-725345543-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab" (Reg Error: Value error.)
[2012-12-06 20:50:59 | 000,000,009 | ---- | C] () -- C:\END
[2012-12-06 21:28:55 | 000,012,314 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.old
[2012-12-06 21:08:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
[2010-02-03 20:15:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Fighters
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso