Sprzątanie po toolbarach, youtube - 404 Not Found

[Adalbert]

Zacząłem sprzątać zapuszczony komputer w domu, było sporo toolbarów, kilka poinstalowanych antywirusów, ale żaden aktywny no i strony dziwnie działały (przekierowywanie stron google), bądź nie działały (jak np. youtube.com, który po zmienieniu z http na https jednak ruszył). Odinstalowałem co wiedziałem i umiałem, ale na pewno to nie wszystko. W logach widzę dalej pozostałości po odinstalowanych programach (toolbarach), czy modyfikacje (nie moje) pliku host (przekierowania na 94.228.209.236), ale wolę by ktoś profesjonalniej rzucił na to okiem i napisał co i jak.

Dodatkowo mam kilka plików, których nie dam rady usunąć (chyba błędy w nazwach), ale to późniejsza kwestia, najpierw chcę się pozbyć wszelkiego syfu.

Z góry dziękuję za pomoc.

checkup.txt

Extras.Txt

OTL.Txt

[picasso]

Zabrakło obowiązkowego raportu z GMER.

 

1. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

2. Otwórz Firefox i w Dodatkach odinstaluj: DealPly, SFT_Polska_ Community Toolbar, SweetIM Toolbar for Firefox, uTorrentBar Community Toolbar.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..network.proxy.type: 4
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.paxyd.com/"
IE - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.paxyd.com/"
IE - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\URLSearchHook: {8f3c1d75-d467-43c2-9a36-655366b76f5f} - SOFTWARE\Classes\CLSID\{8f3c1d75-d467-43c2-9a36-655366b76f5f}\InprocServer32 File not found
O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {DB9D7A78-A76C-4BF2-97C6-258925EE1542} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {E8DE9422-3B2C-4243-BF6F-235DA84D8EF8} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (SFT_Polska_ Toolbar) - {8F3C1D75-D467-43C2-9A36-655366B76F5F} - C:\Program Files\Softonic-Polska_\prxtbSof0.dll File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O34 - HKLM BootExecute: (aswBoot.exe /A:"*" /L:"Polish")
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\9a0b91
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\ISXLLAMS
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Documents and Settings\Woliccy\Dane aplikacji\Babylon
C:\Documents and Settings\Woliccy\Dane aplikacji\Internet Security Suite
C:\Documents and Settings\Woliccy\Dane aplikacji\PriceGong
C:\Documents and Settings\Woliccy\Dane aplikacji\Thinstall
C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\askcom.xml
C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\conduit.xml
C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\SweetIM Search.xml
C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\sweetim.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\All Users\Dane aplikacji\9a0b91\IS9a0_2121.exe"=-
"C:\Documents and Settings\Woliccy\Moje dokumenty\Pobieranie\facebook-pic00005267.exe"=-
"C:\Documents and Settings\Woliccy\Pulpit\pobrane\facebook-pic00023434023402.exe"=-
"C:\Documents and Settings\Woliccy\Pulpit\pobrane\SweetImSetup.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
"ProxyEnable"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Services
MBAMSwissArmy
cpuz132
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i zaległy GMER. Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

 

.

[Adalbert]

1. wykonane

2. odinstalowane (i trochę porządku w dodatkach zrobiłem)

3. niestety wykonywanie skryptu zaciąło mi (odczekałem kilka minut) się na pozycji:

O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (SFT_Polska_ Toolbar) - {8F3C1D75-D467-43C2-9A36-655366B76F5F} - C:\Program Files\Softonic-Polska_\prxtbSof0.dll File not found

więc ubiłem proces OTL, uruchomiłem ponownie komputer, ponownie wykonałem skrypt (tym razem bez problematycznego wpisu) i wykonywanie znowu zacięło mi się, tym razem na:

O34 - HKLM BootExecute: (aswBoot.exe /A:"*" /L:"Polish")

ponownie ubiłem proces, uruchomiłem ponownie komputer, wkleiłem skrypt od części

:Files

w dół i szczęśliwie zakończył swoje działanie OTL (log z ostatniego usuwania w załączniku 09172012_192626.txt)

4. wykonane

5. wykonałem logi OTL i GMERa

 

Dodam jeszcze, że folder "Moje dokumenty" na pulpicie nazywa się "Moje doku,, menty" oraz nie mogę usunąć 2 plików:

C:\pobrane\Menu weselne rozłogi.doc

C:\pobrane\zakłądki.html

oba pliki mają chyba spację za rozszerzeniem. Analogiczne pliki znajdują się w folderze "Pobieranie" również bezpośrednio na dysku C (sam przerzuciłem tu foldery, by łatwiejsza ścieżka była).

 

Planuję zainstalować SpywareBlaster i przeskanować SUPERAntiSpyware. Warto?

No i przy okazji czyszczenia odinstalowałem paczki kodeków i zastanawiam się jaki sensowny program do odtwarzania multimediów wrzucić, by zbytnio nie ścmiecić. VLC? Media Player Classic HomeCinema?

 

No i jeszcze jedno pytani, w Dodaj/usuń programy mam jeszcze Data Access Objects (DAO) 3.5. Nie wiem co to jest - usunąć?

GMER.txt

09172012_192626.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Log z GMER zrobiłeś w nieodpowiednim środowisku, przy czynnym sterowniku SPTD od emulacji napędów wirtualnych. Zostaw już to jednak.

 

DRV - [2010-04-30 14:51:14 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Tylko poprawki zostały:

 

1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q="
O7 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 1
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem bez restartu.

 

2. Do oceny wystarczy tylko log z wynikami usuwania OTL.

 

 

Dodam jeszcze, że folder "Moje dokumenty" na pulpicie nazywa się "Moje doku,, menty"

 

Czy to na pewno specjalny systemowy folder "Moje dokumenty" czy może jakiś dodatkowy twór w postaci zwyczajnego folderu?

 

 

nie mogę usunąć 2 plików:

C:\pobrane\Menu weselne rozłogi.doc

C:\pobrane\zakłądki.html

oba pliki mają chyba spację za rozszerzeniem. Analogiczne pliki znajdują się w folderze "Pobieranie" również bezpośrednio na dysku C (sam przerzuciłem tu foldery, by łatwiejsza ścieżka była).

 

Spróbuj je skasować programem Delete FXP Files.

 

 

Planuję zainstalować SpywareBlaster i przeskanować SUPERAntiSpyware. Warto?

 

Ten pierwszy jest przestarzałą aplikacją. Tym drugim owszem możesz przeskanować, choć ja preferuję Malwarebytes' Anti-Malware (ale są już znaki jego pobytu na dysku).

 

 

No i jeszcze jedno pytani, w Dodaj/usuń programy mam jeszcze Data Access Objects (DAO) 3.5. Nie wiem co to jest - usunąć?

 

To silnik bazodanowy MS, używany m.in. przez Access (KLIK / KLIK)). Masz zainstalowany pakiet Office 2007.

 

 

.

[Adalbert]

Skrypt wykonany, log w załączniku.

Dla pewności dodaję OTL i Extras.

 

Folder Moje dokumenty (z błędem w nazwie) chyba był tym systemowym (skrótem), bo znikał i pojawiał się przy zaptaszkowywaniu PPM-Właściwości-Pulpit-Dostosuj pulpit...-Moje dokumenty, ale wystarczyło ręcznie zmienić nazwę i tak zostało, nie wiem czy to był przypadek, czy skutek jakiejś wcześniejszej infekcji, na razie jest ok.

 

Pliki udało mi się skasować tym programem, zmieściłem się w 5 plikowym ograniczeniu wersji demo.

 

Dziękuję Ci picasso, byłaś bardzo pomocna.

10022012_182757.txt

[picasso]

Nowe skany OTL nie były mi potrzebne (usuwam) dla potwierdzenia tak nikłych modyfikacji. Akcje wykonane jak w zamiarze i możemy kończyć:

 

1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, Delete FXP Files rzecz jasna możesz odinstalować.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj IE i wtyczkę Adobe Flash w Firefox: KLIK. Wersje aktualnie widziane w logach:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()

 

 

.

[Adalbert]

Sprzątanie i aktualizacje udane, jeszcze raz dziękuję za pomoc, temat można zamknąć.