Niby wszystko w porządku ale...

[okolemon]

Witam serdecznie.
Jakiś czas temu złapałem infekcje "policja" i "sweet page", po przeczytaniu kilku tematów udało mi się pozbyć tych infekcji.
Ale wydaj mi się że złapałem coś, może nie tyle uciążliwego jak ww. Mam wrażenie że coś się "wgryzło" i siedzi jak na razie cichutko ...
Albo to moja paranoja albo coś jest nażeczy.
Prosił bym o sprawdzenie log'a z OTL.


http://wklej.to/8csic

 

[picasso]

Dostosuj się do zasad działu: KLIK. Podałeś tylko log z przestarzałego OTL (i to tylko jeden, dodatkowy Extras, a nie główny). Dostarcz obowiązkowe logi z FRST i GMER. Logi proszę umieść w formie załączników forum, a nie na serwisach wklejkowych.

[okolemon]

Witam, w takim razie proszę o usunięcie tematu. Nie przychodzi mi nic do głowy by lepiej opisać mój "problem" - paranoja. Przepraszam za zamieszanie. Pozdrawiam Panią serdecznie i moje uszanowanie.

Ps. Jest Pani wielka

[picasso]

okolemon, ale my się nie rozumiemy... Nie prosiłam o "słowny lepszy opis problemu". Dałeś mi tylko jeden plik OTL Extras (plik poboczny). Masz uzupełnić wymagane logi, tzn. dostarczyć logi z narzędzi FRST i GMER.

[okolemon]

Witam
Załączam logi z OTL, FRST i GMER.
Plik OTL.txt jest za duży [2,85mb], mam go podzielić?


Ma Pani rację, miałem źle skonfigurowanego OTL.
Nowe skany o nazwach Extras nowy skan.Txt  , OTL nowy skan.Txt w załączniku.

Ps. czytając instrukcję do GMER dopatrzyłem się nie tyle co błędu a luki wynikającej z nowej opcji  "3rd party", której nie ma na zrzucie, ani w opisie.
Funkcja ta odhacza opcje: System, sekcje, IAT/EAT, Urządzenia, Trace I/0, Wątki, Pliki. A zaznacza opcje "pokaż wszystko"
 

FRST.txt

Addition.txt

Shortcut.txt

Gmer.txt

OTL nowy skan.Txt

Extras nowy skan.Txt

[picasso]

Plik OTL.txt jest za duży [2,85mb], mam go podzielić?

 

Wątpię, że jest skonfigurowany poprawnie wg zaleceń w przyklejonym: KLIK. Tak duży plik sugeruje jedno z dwóch:

- Wszystkie opcje ustawiłeś na Wszystko zamiast Użyj filtrowania.

- Pliki utworzone / zmodyfikowane w przeciągu zostały ustawione na Wszystkie a nie Młodsze niż.

Już plik Extras pokazuje, że jest zła konfiguracja, wybrane opcje Wszystko, a nie Użyj filtrowania. Oba logi z OTL masz zrobić od początku.

 

 

EDIT: Logi uzupełnione. Problemy są widoczne: szczątki adware (w tym czynny sterownik {be5bf058-a067-4076-8c2e-22b9345a0260}Gw64.sys, który może powodować problemy z szybkością) oraz uszkodzony łańcuch Winsock (niepoprawna metoda usuwania Bonjour + coś jakby ślady pobytu infecji ZeroAccess). Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {be5bf058-a067-4076-8c2e-22b9345a0260}Gw64; C:\Windows\System32\drivers\{be5bf058-a067-4076-8c2e-22b9345a0260}Gw64.sys [48784 2014-10-06] (StdLib)
S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed]
S4 Bonjour Service; "C:\Program Files (x86)\Bonjour\mDNSResponder.exe" [X]
S3 MSICDSetup; \??\H:\CDriver64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 07 C:\Program Files (x86)\Bonjour\mdnsNSP.dll File Not found ()
Winsock: Catalog5-x64 01 %SystemRoot%\System32\mswsock.dll [327168] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Task: {5976D8FB-32EA-42BC-A4DC-BB1EEC49403D} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe 
CustomCLSID: HKU\S-1-5-21-357157574-974508199-1160413659-1000_Classes\CLSID\{CB58FF31-2539-11D0-BDEE-0020AFE14B84}\localserver32 -> G:\PROGRA~2\WEBDES~1\WEBDES~1\WEBDES~1.EXE No File
CustomCLSID: HKU\S-1-5-21-357157574-974508199-1160413659-1000_Classes\CLSID\{CB58FF32-2539-11D0-BDEE-0020AFE14B84}\localserver32 -> G:\PROGRA~2\WEBDES~1\WEBDES~1\WEBDES~1.EXE No File
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-357157574-974508199-1160413659-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 - DefaultScope value is missing.
SearchScopes: HKCU - URL http://search.conduit.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=ISID_ID&SearchSource=58&CUI=&UM=5&UP=SP84B78B04-3701-44A0-ADCF-83E85FECEEF9&q={searchTerms}&SSPV=
SearchScopes: HKCU - SuggestionsURL_JSON http://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms}
C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml
C:\ProgramData\TEMP
C:\Users\xxxxx\AppData\Roaming\AVG
C:\Users\xxxxx\AppData\Roaming\OpenCandy
C:\Windows\System32\drivers\{be5bf058-a067-4076-8c2e-22b9345a0260}Gw64.sys
C:\Windows\SysWow64\Drivers\StarOpen.sys
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f
Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f
Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, DownloadHelper, Wiktionary and Google Translate) trzeba będzie przeinstalować.

 

3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt i wypowiedz się czy są pozytywne zmiany.

 

Odpisujesz mi już w nowym poście, nie edytuj poprzednich.

 

 

.

[okolemon]

Zamieszczam logi z FRST, FSS.

Ciężko powiedzieć na tą chwilę czy jest lepiej. Ale wydaje mi się że system startuje szybciej i jakoś tak jakby szybciej programy się otwierały.
A poza tym mi jakoś tak lżej, świeżej Jak po spowiedzi

Hmmm FireFox chce się aktualizować po każdym uruchumieniu. A ja chce zostać przy werji obecnej czyli 28. 

Ok, juz sobie poradziłem

Fixlog.txt

FRST.txt

FSS.txt

[picasso]

"Spowiedź" pomyślna, Fix przetworzył co należy. Skan FSS pokazuje dodatkowe drobne uszkodzenie (jednak kiedyś był ZeroAccess), tzn. brakuje ikony Centrum Akcji. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f
RemoveDirectory: C:\Users\xxxxx\Desktop\Stare dane programu Firefox
DeleteQuarantine:
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt.

 

 

 

 

.

[okolemon]

Witam
Log Fix w załączniku.

Fixlog.txt

[picasso]

Wszystko zrobione. Kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i zastąp instalacje Adobe najnowszymi wersjami: KLIK.

[okolemon]

Witam.

 

Dziękuje Pani raz jeszcze

Pozdrawiam.