Sprawdzenie logów

[Bohater123]

witam, dostalem w prezencie stary komputer i chcialem abyscie sprawdzili czy nie ma na nim zadnego dziadostwa

 

frst nie moglem odpalic, panda uniemozliwia mi odpalenie tego programu

 

 

OTL.Txt

Extras.Txt

[muzyk75]

Zobacz w trybie awaryjnym czy FRST się uruchomi.

[Bohater123]

udało mi się jednak uruchomic frst, dodaje raporty

 

edit: gmer się robi, jak będzie to wrzuce

 

edit2: jest i gmer

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Bohater123, proszę staraj się dobierać inne tytuły dla tematów, "sprawdzenie logów" to nie jest meritum, to jest tylko narzędzie poboru danych. Zasady działu o tym mówią.

 

W kwestii systemu: tylko odpadki adware i programów widzialne, będę także usuwać szczątki Firefox (nie wygląda na zainstalowany). Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

AV: AVG Internet Security 2012 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
R2 vToolbarUpdater14.0.1; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe [945328 2013-01-21] ()
S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.0.285\McCHSvc.exe" [X]
S2 WsysSvc; C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe [X]
S1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [31576 2013-01-21] ()
HKLM\...\Policies\Explorer: [NoCDBurning] 0
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1383625876&from=cor&uid=SAMSUNGXHD161HJ_S0V3J9CQ630488
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383625878&from=cor&uid=SAMSUNGXHD161HJ_S0V3J9CQ630488&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383625878&from=cor&uid=SAMSUNGXHD161HJ_S0V3J9CQ630488&q={searchTerms}
SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B092001FD004D7AF&affID=119357&tt=250613_gr1&tsp=4927
SearchScopes: HKCU - {41721142-E1B3-4112-85B0-2AF542988E63} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=821CDAD1-6756-4487-BA7D-A9DA0748DE0B&apn_sauid=619F7A3B-9E8D-43B5-ADB8-1048E05E31D3
SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://isearch.avg.com/search?cid={200A5BC3-E9C3-41F0-9D4D-70420FA62F6E}&mid=e9798024f59847d09494d15696e03e5c-e158fd0ce3601e2df8f84997c6c2b58173f3f795&lang=pl&ds=AVG&pr=fr&d=2012-07-01 16:34:01&v=12.2.5.32&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}
BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.21.5\bh\delta.dll (Delta-search.com)
Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.21.5\deltaTlbr.dll (Delta-search.com)
Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
CHR HKLM\...\Chrome\Extension: [cekcjpgehmohobmdiikfnopibipmgnml] - C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ [2014-02-03]
CHR HKLM\...\Chrome\Extension: [cmaiofennmphjldldcpphcechfnnohja] - C:\Program Files\AdTrustMedia\PrivDog\PrivDog_chrome.crx [2013-11-05]
CHR HKLM\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Documents and Settings\Właściciel\Dane aplikacji\BabSolution\CR\Delta.crx [2013-06-28]
CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\ChromeExt\14.0.2.14\avg.crx [2013-06-28]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
C:\Documents and Settings\All Users\Dane aplikacji\cis*.exe
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\AVG2012
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Właściciel\Dane aplikacji\AVG2012
C:\Documents and Settings\Właściciel\Dane aplikacji\BabSolution
C:\Documents and Settings\Właściciel\Dane aplikacji\Babylon
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla
C:\Program Files\Common Files\AVG Secure Search
C:\Program Files\mozilla firefox
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\drivers\sfi.dat
C:\WINDOWS\System32\drivers\aswVmm.sys.sum
C:\WINDOWS\System32\drivers\aswSP.sys.sum
C:\WINDOWS\System32\drivers\aswSnx.sys.sum
C:\WINDOWS\system32\drivers\avgtpx86.sys
CMD: netsh firewall reset
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj Delta Chrome Toolbar, Delta toolbar, PrivDog, Wsys Control 10.2.1.2652.

 

3. Następnie w Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Bohater123]

wszystko wykonane, dołączam logi

AdwCleanerS0.txt

FRST_12-03-2014_17-31-54.txt

Fixlog_12-03-2014_17-11-39.txt

[picasso]

Po nazwie plików FRST wnioskuję, że wyciągasz je z folderu C:\FRST. Tam są logi natury archiwalnej i nie ma potrzeby się nimi zajmować. Bieżący log jest zawsze w folderze z którego uruchamiano FRST.

 

Jeden wpis nie został przetworzony, czyli derejestracja szczątka AVG z Centrum zabezpieczeń. Być może obecność Panda Cloud Antivirus blokuje ten obszar. Ten wpis nie jest zbyt istotny (po prostu w Centrum będzie zgłoszenie o obecności AVG), więc go już pomijam.

 

AV: AVG Internet Security 2012 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF} => The item is protected. Make sure the software is uninstalled and its services are removed.

 

Druga sprawa to obecny wygląd Google Chrome. Przeglądarka została uszkodzona. Przetworzenie tego wpisu zaowocowało omyłkowym wywaleniem wszystkich rozszerzeń:

 

CHR HKLM\...\Chrome\Extension: [cekcjpgehmohobmdiikfnopibipmgnml] - C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ [2014-02-03]

 

1. W związku z powyższym proponuję nadinstalować Google Chrome.

 

2. Mini poprawka. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
S4 sptd; System32\Drivers\sptd.sys [X]
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz plik fixlog.txt.

 

 

.

[Bohater123]

wykonane

Fixlog_14-03-2014_09-39-16.txt

FRST_14-03-2014_09-41-09.txt

[picasso]

Mówiłam Ci, byś logów nie wyciągał z katalogu C:\FRST\Logs (archiwum, posiadające też owszem i ostatnie logi z serii). Skrypt owszem wykonany, ale czy Google Chrome zostało przeinstalowane? W logu z FRST brak oznak, by to działanie miało miejsce. Przeglądarka miała być przeinstalowana przed stworzeniem nowego skanu, bo ten miał udowodnić uzupełnienie brakujących elementów Google Chrome.

 

 

 

.