Pomoc w oczyszczeniu Visty

[lfans]

Witam chciałbym prosić o analizę logów właśnie wykonanych programem FRST i pomoc w oczyszczeniu z syfu mojej Visty.

Dziennik zdarzeń Visty pokazuje mi jakieś niespodziewane błędy aplikacji na 99% jestem przekonany że jakieś cholerstwo się zagnieździło bądź w rejestrze albo nie wiem już w czym.

 

log FRST -> http://wklej.to/uJ2Ii/text

 

log z Addition -> http://wklej.to/fsnE8/text

[picasso]

Brakuje trzeciego obowiązkowego raportu FRST Shortcut oraz GMER. Temat przenoszę do działu Vista, nie ma żadnych oznak czynnej infekcji. Określ o co Ci w ogóle chodzi z owym "syfem" (jakim i gdzie) oraz do których błędów z Dziennika zdarzeń zmierzasz? W ostatnim zestawie błędów podanych w FRST Addition nie ma nic szczególnego, część błędów ma nikłe znaczenie (jest wynikiem niekompletnej deinstalacji MBAM, próbują się uruchamiać wybrakowane usługi), a żaden z nich nie ma powiązań z infekcją.

 

 

PS. Usuń starocie oraz doczyść wpisy puste / szczątkowe. W spoilerze:

 

 

 

1. Odinstaluj stare wersje Adobe Flash Player 16 ActiveX, Adobe Reader X (10.1.13), EXPERTool 7.4, Gadu-Gadu 10, OpenOffice.org 3.1 i zbędniki BOINC, HP Customer Participation Program 8.0, MyFreeCodec.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [136408 2015-03-07] (Malwarebytes Corporation)
S3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [X]
S2 MBAMScheduler; "C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe" [X]
S2 MBAMService; "C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe" [X]
S3 MBAMWebAccessControl; \??\C:\Windows\system32\drivers\mwac.sys [X]
HKLM-x32\...\Run: [NPSStartup] => [X]
HKU\S-1-5-21-41258321-3548974165-1848201876-1000\...\RunOnce: [Adobe Speed Launcher] => 1426875828
HKU\S-1-5-21-41258321-3548974165-1848201876-1000\...\Run: [WMPNSCFG] => C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
HKU\S-1-5-18\...\Run: [DevconDefaultDB] => C:\Windows\system32\READREG /SILENT /FAIL=1
BootExecute: autocheck autochk /p \??\C:autocheck autochk /p \??\G:autocheck autochk /p \??\J:autocheck autochk /p \??\N:autocheck autochk *
SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1066435
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1066435
CustomCLSID: HKU\S-1-5-21-41258321-3548974165-1848201876-1000_Classes\CLSID\{02172B7A-11D6-42b6-9550-41B281804714}\localserver32 -> C:\PROGRA~2\GLOBAL~1\CUTEFT~1\ftpte.exe No File
FF Plugin HKU\S-1-5-21-41258321-3548974165-1848201876-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
FF HKLM-x32\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Users\CRS\AppData\Local\*.html
C:\Users\CRS\AppData\Local\*.txt
C:\Users\CRS\AppData\Roaming\win
C:\Users\CRS\AppData\Roaming\UserTile.png
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\system32\drivers\MBAMSwissArmy.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Seamonkey /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.