Wolny start systemu + niemoc usuwania programów

[Gaston]

Laptop koleżanki, win7 x64, "coś kliknęła", co spowodowało wyłączenie się Avasta, usługi sieci bezprzewodowej, usunęło się także G.Chrome, którego nie można odinstalować przez menadżera, jak i inne programy, które są w Program Files, jak np. paseczek przeglądarkowy Babyloon.

Sieć uruchomiłem bez problemu, jednakowoż z Chrome jest problem, zainstalować także się nie da. Avast wynalazł jedynie w koszu .exe które świadczyło o infekcji z pendrive, ale wolę się upewnić.

 

Skany OTL w załączniku + Sec.Check:

Results of screen317's Security Check version 0.99.31

Windows 7 x64 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

avast! Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Adobe Reader X 10.0.1 Adobe Reader out of Date!

Mozilla Firefox (4.0.)

````````````````````````````````

Process Check:

objlist.exe by Laurent

AVAST Software Avast AvastSvc.exe

AVAST Software Avast AvastUI.exe

``````````End of Log````````````

 

 

proszę o pomoc

OTL.Txt

Extras.Txt

[picasso]

usunęło się także G.Chrome, którego nie można odinstalować przez menadżera, jak i inne programy, które są w Program Files, jak np. paseczek przeglądarkowy Babyloon

 

Opisz dokładniej problem, jakie błędy.

 

1. Hmmm, ja tu ze śladów para-infekcyjnych widzę tylko polisę ukrywającą ikonę Centrum:

 

O7 - HKU\S-1-5-21-2862801150-2561825180-1864955066-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1

 

Polisę tę usunę w późniejszej fazie. Przy jej obecności można przypuszczać, że jest także skasowana z rejestru usługa Centrum. Dodaj log z Farbar Service Scanner.

 

2. Są tu jakieś okropne stare szczątki Pandy generujące błędy w Dzienniku:

 

SRV - [2005-07-25 08:02:22 | 000,032,768 | ---- | M] (Panda Software) [Auto | Stopped] -- C:\Program Files (x86)\Common Files\Panda Software\PavShld\pavprsrv.exe -- (PavPrSrv)
DRV - [2006-04-25 16:02:48 | 000,165,120 | ---- | M] (Panda Software) [Kernel | Auto | Stopped] -- C:\Windows\SysWOW64\drivers\PavProc.sys -- (PavProc)
DRV - [2005-08-29 13:23:30 | 000,026,752 | ---- | M] (Panda Software) [Kernel | System | Stopped] -- C:\Windows\SysWow64\drivers\ShldDrv.sys -- (ShldDrv)

 

[ System Events ]
Error - 2012-03-13 16:24:37 | Computer Name = Majka-Komputer | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Panda Process Protection Driver z powodu
 następującego błędu:   %%1275
 
Error - 2012-03-13 16:25:06 | Computer Name = Majka-Komputer | Source = Service Control Manager | ID = 7023
Description = Usługa Panda Process Protection Service zakończyła działanie; wystąpił
 następujący błąd:   %%31
 
Error - 2012-03-13 16:25:24 | Computer Name = Majka-Komputer | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   ShldDrv
 
Error - 2012-03-14 13:17:19 | Computer Name = Majka-Komputer | Source = Application Popup | ID = 1060
Description = Ładowanie sterownika \SystemRoot\SysWow64\Drivers\ShldDrv.SYS zostało
 zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania
 w celu uzyskania zgodnej wersji sterownika.
 
Error - 2012-03-14 13:19:57 | Computer Name = Majka-Komputer | Source = Application Popup | ID = 1060
Description = Ładowanie sterownika \??\C:\Windows\SysWow64\DRIVERS\PavProc.sys zostało
 zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania
 w celu uzyskania zgodnej wersji sterownika.

 

Ten twór nie może nawet działać poprawnie na 64-bitowym Windows. Wypróbuj czy coś zdziała automat awaryjny: KLIK. Teoretycznie automat uwzględnia kompatybilność od wersji 2008 w górę (tutejsze szczątki starsze), ale sprawdźmy czy da radę.

 

3. No i mamy też te sponsoringi (RewardsArcade + FoxTab FLV Player klasyfikowany przez skanery jako nośnik adware + Babylon). Dwa pierwsze są na liście zainstalowanych i spróbuj je tradycyjnie usunąć. Babylon jednak rzeczywiście nie widać jako wpisu w zainstalowanych, tu spożyj AdwCleaner z opcji Delete i przedstaw wynikowy log.

 

Po punktach 2+3 wyprodukuj nowy log z OTL z opcji Skanuj.

 

 

 

.

[Gaston]

Babyloon zniknął listy programów w Panel Sterownia/Odinstaluj Program, ten FLVplayera usunięto tradycyjnie.

 

Chrome podczas odinstalowania pokazuje okienko, że "Missing file error - Unable to find locale data files. Please reinstall."

 

Podczas reinstalacji Chrome ściąga instalkę po czym nic się nie dzieje, znika okienko ściągania instalki.

 

Log z Farbara:

 

Farbar Service Scanner Version: 01-03-2012

Ran by Majka (administrator) on 15-03-2012 at 16:14:51

Running from "C:\Users\Majka\Downloads"

Microsoft Windows 7 Home Premium Service Pack 1 (X64)

Boot Mode: Normal

****************************************************************

 

Internet Services:

============

 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Google IP is accessible.

Yahoo IP is accessible.

 

 

Windows Firewall:

=============

 

Firewall Disabled Policy:

==================

 

 

System Restore:

============

 

System Restore Disabled Policy:

========================

 

 

Action Center:

============

wscsvc Service is not running. Checking service configuration:

Checking Start type: Attention! Unable to retrieve start type of wscsvc. The value does not exist.

Checking ImagePath: Attention! Unable to retrieve ImagePath of wscsvc. The value does not exist.

Unable to retrieve ServiceDll of wscsvc. The value does not exist.

 

 

Windows Update:

============

 

Windows Defender:

==============

WinDefend Service is not running. Checking service configuration:

Checking Start type: Attention! Unable to retrieve start type of WinDefend. The value does not exist.

Checking ImagePath: Attention! Unable to retrieve ImagePath of WinDefend. The value does not exist.

Unable to retrieve ServiceDll of WinDefend. The value does not exist.

 

 

Windows Defender Disabled Policy:

==========================

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]

"DisableAntiSpyware"=DWORD:1

 

 

File Check:

========

C:\Windows\System32\nsisvc.dll => MD5 is legit

C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit

C:\Windows\System32\dhcpcore.dll => MD5 is legit

C:\Windows\System32\drivers\afd.sys => MD5 is legit

C:\Windows\System32\drivers\tdx.sys => MD5 is legit

C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit

C:\Windows\System32\dnsrslvr.dll => MD5 is legit

C:\Windows\System32\mpssvc.dll => MD5 is legit

C:\Windows\System32\bfe.dll => MD5 is legit

C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit

C:\Windows\System32\SDRSVC.dll => MD5 is legit

C:\Windows\System32\vssvc.exe => MD5 is legit

C:\Windows\System32\wscsvc.dll => MD5 is legit

C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\System32\wuaueng.dll => MD5 is legit

C:\Windows\System32\qmgr.dll => MD5 is legit

C:\Windows\System32\es.dll => MD5 is legit

C:\Windows\System32\cryptsvc.dll => MD5 is legit

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\rpcss.dll => MD5 is legit

 

 

**** End of log ****

 

Co do szczątków po Pandzie dziwne jest to, że laptop został kupiony jako oryginał rok temu i nie miał Pandy na swoim komputerze...

 

Babyloon usunięty, logi z AdwCleanera i OTL w załącznikach.

Pozdrawiam

OTL3.Txt

Extras2.Txt

AdwCleanerS1.txt

[picasso]

AdwCleaner dokończył usuwanie śmieci, ale OTL Extras nadal pokazuje wpisy RewardsArcade. Usuwacz awaryjny Pandy załatwił te odpadki. Wg Farbar Service Scanner usługi Centrum i Windows Defender nie wyglądają na kompletne.

 

 

1. Rekonstrukcja usług, usunięcie blokady ikony Centrum oraz wyrzucenie z rejestru kluczy Google i RewardsArcade. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\RewardsArcade]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome]
 
[-HKEY_CURRENT_USER\Software\MozillaPlugins\@tools.google.com/Google Update;version=3]
 
[-HKEY_CURRENT_USER\Software\MozillaPlugins\@tools.google.com/Google Update;version=9]
 
[-HKEY_CURRENT_USER\Software\Google]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"crossriderapp498@crossrider.com"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"HideSCAHealth"=-
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]
"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\
  72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\
  4d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="NT AUTHORITY\\LocalService"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
  00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
  00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
  00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
  7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
  00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

 

 

2. Brutalne usunięcie plików aktualnego Google Chrome. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Users\Majka\AppData\Local\Google
C:\Windows\tasks\Google*.job
 
:Services
gupdate
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

 

3. Ponów próbę instalacji Google Chrome.

 

 

 

 

.

[Gaston]

wykonane, chrome zainstalony.

Czy to wszystko?

jeśli tak to dziękuję bardzo za pomoc.

Zamknięcie tematu będzie dla mnie oznaczać by usunąć OTL z kompa.

Pozdrawiam

[picasso]

Tak, finiszujemy:

 

1. Porządki po narzędziach: Sprzątanie w OTL oraz Uninstall w AdwCleaner. Resztę użytków dokasuj ręcznie.

 

2. Nstępnie czyszczenie Przywracania systemu: KLIK.

 

3. Drobne aktualizacje: KLIK. Tu na liście zainstalowanych widać:

 

]========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416025FF}" = Java™ 6 Update 25 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)
"{FFB768E4-E427-4553-BC36-A11F5E62A94D}" = Adobe Flash Player 10 ActiveX
"Mozilla Firefox 4.0 (x86 pl)" = Mozilla Firefox 4.0 (x86 pl)

 

I temat zamykam.

 

 

.