Prośba o sprawdzenie logów

[komar1993]

Witam

 

Dawno mnie tutaj na forum nie było, ale miałem ku temu określone powody , a więc do rzeczy.

Proszę o sprawdzenie logów gdyż ostatnio skanując malwarebytes anti-malware wykryło mi 5 wirusów które wprawdzie usunąłem, ale nie mam pewności co do tego czy nie pozostały po nich żadne resztki.

 

Pozdrawiam

OTL.Txt

Extras.Txt

MBAM-log-2013-11-06 (00-00-28).txt

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

 

[2013-11-04 01:34:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Pirrit

Znasz ten program?

Nic więcej podejrzanego w logach nie widzę.

Na pewno będzie jeszcze kosmetyka, ale to chyba dopiero, gdy logi dokładniej przejrzy @Picasso. ((nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

 

W międzyczasie możesz zrobić wymagane tu logi z FRST.

 

jessi

[komar1993]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Rozumiem i przepraszam za kłopot.

 

[2013-11-04 01:34:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Pirrit

Nie wiem co to był za program lub toolbar, ale usunęłem jego resztki za pomocą revo uninstaller pro.

Poniżej zamieściłem wymagane logi z FRST

 

Pozdrawiam

Edytowane 6 Grudnia 2013 przez picasso
Raporty FRST usunięte, Zastępują je nowsze w kolejnym poście. //picasso

[komar1993]

Odświeżam temat

Poniżej dodałem nowe logi na wypadek gdyby tamte były za stare

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

komar1993

 

Proszę bez tytułów typu "Prośba o sprawdzenie logów", przecież wyjaśniam w zasadach dlaczego... Raport z OTL niepoprawnie zrobiony (sekcja "Rejestr" ustawiona na "Wszystko", a ma być "Użyj filtrowania")

 

Pirrit Suggestor to adware i nie został wcale usunięty do końca (w IE nadal siedzi). Ponadto są inne szczątki adware do usuwania.

 

1. Otwórz Notatnik i wklej w nim:

 

S2 PirritUpdater;
Task: {95E21D96-B044-4563-B8E5-E4CDA863CE88} - \Dealply No Task File
Task: {EA66F9D2-4429-44DF-AA00-2BBE2C01AB52} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\Seba\AppData\Local\FilesFrog Update Checker\update_checker.exe
AppInit_DLLs: [ ] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nationzoom.com/web/?type=ds&ts=1386181036&from=smt&uid=ST3500418AS_9VM0N4JMXXXX9VM0N4JM&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nationzoom.com/web/?type=ds&ts=1386181036&from=smt&uid=ST3500418AS_9VM0N4JMXXXX9VM0N4JM&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nationzoom.com/web/?type=ds&ts=1386181036&from=smt&uid=ST3500418AS_9VM0N4JMXXXX9VM0N4JM&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nationzoom.com/web/?type=ds&ts=1386181036&from=smt&uid=ST3500418AS_9VM0N4JMXXXX9VM0N4JM&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.nationzoom.com/web/?type=ds&ts=1386181036&from=smt&uid=ST3500418AS_9VM0N4JMXXXX9VM0N4JM&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM-x32 - URL http://search.certified-toolbar.com?si=66807&st=bs&tid=6724&ver=4.9&ts=1384124400000.000007&tguid=66817-8086-1384172968437-3A9066C2B296CEC4074252CEC0FD23BC&q={searchTerms}
SearchScopes: HKLM-x32 - SuggestionsURL_JSON http://api.widdit.com/suggestions/?format=ffplugin&ua=ie&src=addon&si=66807&gid=66817-8086-1384172968437-3A9066C2B296CEC4074252CEC0FD23BC&dbCode=1&command={searchTerms}
SearchScopes: HKLM-x32 - TopResultURLFallback http://search.certified-toolbar.com?si=66807&st=bs&tid=6724&ver=4.9&ts=1384124400000.000007&tguid=66817-8086-1384172968437-3A9066C2B296CEC4074252CEC0FD23BC&q={searchTerms}
SearchScopes: HKCU - URL http://search.certified-toolbar.com?si=66807&st=bs&tid=6724&ver=4.9&ts=1384124400000.000007&tguid=66817-8086-1384172968437-3A9066C2B296CEC4074252CEC0FD23BC&q={searchTerms}
SearchScopes: HKCU - SuggestionsURL_JSON http://api.widdit.com/suggestions/?format=ffplugin&ua=ie&src=addon&si=66807&gid=66817-8086-1384172968437-3A9066C2B296CEC4074252CEC0FD23BC&dbCode=1&command={searchTerms}
SearchScopes: HKCU - TopResultURLFallback http://search.certified-toolbar.com?si=66807&st=bs&tid=6724&ver=4.9&ts=1384124400000.000007&tguid=66817-8086-1384172968437-3A9066C2B296CEC4074252CEC0FD23BC&q={searchTerms}
SearchScopes: HKCU - {D10A4DAD-5AB0-40EC-ABCA-EDF23AB2BF37} URL = http://search.liftofftoolbar.com/?q={searchTerms}
BHO-x32: IEExtension.Extension - {d40c654d-7c51-4eb3-95b2-1e23905c2a2d} - C:\Windows\\SysWOW64\mscoree.dll (Microsoft Corporation)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
S4 nvvad_WaveExtensible; No ImagePath
S3 Synth3dVsc; No ImagePath
S3 tsusbhub; No ImagePath
S3 VGPU; No ImagePath
C:\Users\Seba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat
C:\Users\Seba\AppData\Local\Google\Chrome
C:\Users\Seba\AppData\Local\cache
C:\Users\Seba\daemonprocess.txt
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. I co to za plik:

 

2013-12-04 21:56 - 2013-12-04 21:56 - 00000236 _____ C:\Users\Seba\Downloads\eq9lkqgm0d178272.js

 

 

 

.

[komar1993]

Proszę bez tytułów typu "Prośba o sprawdzenie logów", przecież wyjaśniam w zasadach dlaczego... Raport z OTL niepoprawnie zrobiony (sekcja "Rejestr" ustawiona na "Wszystko", a ma być "Użyj filtrowania")

 

Czy możesz wyjaśnić czemu ? bo w zasadach działu nic nie znalazłem na ten temat.Jeśli chodzi o OTL to przepraszam za błąd, ale robiłem to na szybko.

Pkt:

1.Zrobiony poniżej zamieszczam logi

2.Wykonany

3.Zrobione logi zostały zamieszczone

Fixlog.txt

FRST.txt

[picasso]

Czy możesz wyjaśnić czemu ? bo w zasadach działu nic nie znalazłem na ten temat

komar1993, w zasadach jeden z pierwszych punktów:

 

https://www.fixitpc.pl/forum-38/announcement-3-ważne-zakładanie-tematu-obowiązkowe-logi/

 

2. Tytuł oddający naturę problemu. Takim tytułem nie jest "proszę o sprawdzenie logów", "kontrolne sprawdzanie logów", "analiza loga", "log", "moje logo", "trojan help", "problem! malware!!!" "pomocy". Te frazesy pasują do każdego zakładanego tematu, bo tu każdy przychodzi z tym samym: logami do oceny + prośbą o pomoc z infekcją lub weryfikacją na jej okoliczność .... Tytuł ma obrazować zagadnienie w sposób charakterystyczny, zwracający uwagę na infekcję / określony defekt w systemie. Np.: podanie nazwy wykrytej infekcji jako tytuł. Warianty bezpłciowe przy dobrym humorze Moderatora i ocenie, że reszta tematu trzyma się kupy, zostaną zedytowane, a jeśli całość niezdatna do niczego, zostaną usunięte bez ostrzeżenia.

Walczę z tymi tytułami od lat, by na forum nie było śmietnika. A są takie miejsca w sieci, gdzie nie baczą na tę straszną manierę, i od góry do dołu jest "Proszę o sprawdzenie logów", tytuł ten sam i bardzo trudno nawet znaleźć własny temat.

Logi to nie problem z którym przychodzisz, to tylko narzędzie poboru danych. To tak jakbyś pisał w tytułach od góry do dołu "proszę o sprawdzenie menedżera zadań".

 

 

---

Nie odpowiedziałeś na pytanie co to za plik eq9lkqgm0d178272.js. Poprawki:

 

1. Załaduj kolejny fixlist.txt o zawartości:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\PirritUpdater /f
Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\nvvad_WaveExtensible /f

 

Przedstaw wynikowy fixlog.txt.

 

2. Nie ma żadnych oznak resetu Firefox: nadal pewne zamieszanie w preferencjach oraz brak folderu "Stare dane Firefox" na Pulpicie. Czy to na pewno logi po resecie?

 

 

 

 

.

[komar1993]

Dziękuję za wyjaśnienie.

1.Co do logów to ile one mają się tworzyć ? bo czekam już 15 minut i dalej jest w FRST informacja:"Fixing in progress.Please wait.."

2.Firefox restartowałem na samym końcu i pewnie dlatego nie ma o tym informacji w logach.

3.Jeśli chodzi o plik eq9lkqgm0d178272.js to nie wiem co to jest za plik, ale można go usunąć.

 

[picasso]

To nie jest normalne, ten fiks powinien przelecieć błyskawicznie (kilka sekund)... Przerwij działanie FRST (zabij proces), sprawdź czy powstał plik fixlog.txt, a jeśli nie, to zrób tylko nowy log z FRST.

[komar1993]

Wprawdzie plik z logiem zrobił się błyskawicznie, ale program cały czas wyświetlał podaną wyżej informację więc wolałem jej nie zamykać.

Gotowe

Log poniżej

Fixlog.txt

[picasso]

A już wiem dlaczego. Omyłkowo urwało mi parametr cichy /f w pierwszej linii. Przeklej ponownie treść z mojego posta i wykonaj, podaj końcowy fixlog.txt. I może dodaj dla pewności nowy skan FRST.

[komar1993]

Skany zrobione:

Fixlog.txt

FRST.txt

[picasso]

Nie musiałeś kopiować bookmarks-2013-12-06.json na Pulpit, reset Firefox nie narusza zakładek. Akcja wykonana. Toteż końcowe kroki:

 

1. Przez SHIFT+DEL skasuj:

 

C:\AdwCleaner

C:\FRST

C:\Users\Seba\Desktop\Stare dane programu Firefox

C:\Users\Seba\Downloads\eq9lkqgm0d178272.js

 

W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[komar1993]

Nie musiałeś kopiować bookmarks-2013-12-06.json na Pulpit, reset Firefox nie narusza zakładek.

Wiem, że nie narusza, ale od czasu do czasu robie sobie kopie zakładek na wypadek gdyby coś się stało z sytemem.

Zrobione

 

Czy coś jeszcze zostało do zrobienia ?

[picasso]

To już koniec akcji. Temat jako ukończony zamykam.

 

 

.