Usuwanie pozostałości eScan i Avast

[AAAA]

Witam

Bardzo proszę o pomoc w usunięciu pozostałości po eScan i Avast. Korzystałem z avast! Uninstall Utility, który usunął Avasta, natomiast eScan Removal Tool prosi o jakieś hasło.

Dodam, że w services.msc jest widoczna usługa eScana "eScan Monitor Service".
Zaznaczyłem „Pliki młodsze niz 360 dni”, gdyż nie pamiętam kiedy odinstalowywałem eScana.

otl log.Txt

Extras log.txt

[Anonim8]

Dodam, że w services.msc jest widoczna usługa eScana "eScan Monitor Service".

 

Tak, ale figuruje jako zatrzymana.

 

SRV - [2012-05-31 18:09:04 | 001,445,992 | ---- | M] (MicroWorld Technologies Inc.) [Auto | Stopped] -- C:\ProgramData\MicroWorld\eScanBD\avpmapp.exe -- (eScan Monitor Service)

Uruchom OTL i w okno własne opcje skanowania /skrypt wklej:

 

:OTL

O4 - HKLM..\Run: [] File not found

O9:64bit: - Extra Button: Wirtualna Klawiatura - {54848076-14D0-45E7-851E-CAF7EF0125F1} - C:\PROGRA~2\eScan\VKBoard.exe File not found

O9:64bit: - Extra 'Tools' menuitem : Wirtualna Klawiatura - {54848076-14D0-45E7-851E-CAF7EF0125F1} - C:\PROGRA~2\eScan\VKBoard.exe File not found

O9 - Extra Button: Wirtualna Klawiatura - {54848076-14D0-45E7-851E-CAF7EF0125F1} - C:\PROGRA~2\eScan\VKBoard.exe File not found

O9 - Extra 'Tools' menuitem : Wirtualna Klawiatura - {54848076-14D0-45E7-851E-CAF7EF0125F1} - C:\PROGRA~2\eScan\VKBoard.exe File not found

 

:Services

eScan Monitor Service

 

:Commands

[emptytemp]

 

Kliknij w wykonaj skrypt.

 

 

Jeśli chodzi o avasta nie zauważyłem pozostałości.

 

Zrób nowy skan OTL po restarcie i przedstaw raport.

[AAAA]

Jeśli chodzi o avasta nie zauważyłem pozostałości.

 

W logu nacisnąłem CTRL + F, wpisałem Avast i znalazłem to:

 

[2013-02-26 20:58:50 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software

i

CHR - Extension: avast! Online Security = C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki\8.0.6_0\

Mam usunąć te katalogi?

OTL.Txt

Extras.Txt

06192013_201836.txt

[Anonim8]

Mam usunąć te katalogi?

 

Nie korzystam z goole chrome więc nie wiem. Analize robiłem pod kątem aktywnych sterowników avasta w systemie. A takich nie ma. Poza tym OTL wykonuje skan tylko pewnych rejestrów systemu. Akurat w sprawie sterów avasta jest na tyle dokładny że pokazałby pozostałości. uważam że możesz usunąć ten folder. Niestety nie wiem czy nie bedzie miało to wpływu na zachowanie przeglądarki GCH. Jest to foder rozszerzeń o aplikację avasta. Skoro go nie ma (został odinstalowany to raczej spokojnie możesz wykonać usuwanie).

 

Odpal OTL i kliknij Sprzatanie. usługa eScan Monitor Service, została usunięta i chyba nie ma tu nic więcej do roboty.

[AAAA]

Dzięki za pomoc, usunąłem te katalogi, skorzystałem z tej instrukcji, gdyż miałem wyłączonego eScana w Centrum Akcji, i klknąłem Sprzątanie w OTL

[picasso]

AAAA

1. Od eScan jest jeszcze sterownik i cały folder w Roaming:

DRV:64bit: - [2011-08-01 19:48:34 | 000,030,216 | ---- | M] (MicroWorld Technologies Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\econceal.sys -- (econceal)

[2012-02-22 20:53:43 | 000,000,000 | ---D | M] -- C:\Users\Krzysztof\AppData\Roaming\MicroWorld

Nie był też usuwany folder C:\ProgramData\MicroWorld, z którego startowała usługa usuwana skryptem OTL. Doczyść to plus szczątki po BitDefender / McAfee / Ad-aware. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
DRV:64bit: - [2011-08-01 19:48:34 | 000,030,216 | ---- | M] (MicroWorld Technologies Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\econceal.sys -- (econceal)
DRV:64bit: - [2011-03-24 16:36:24 | 000,431,176 | ---- | M] (BitDefender) [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bdfsfltr.sys -- (bdfsfltr)

:Files
C:\Users\Krzysztof\AppData\Roaming\MicroWorld
C:\ProgramData\MicroWorld
C:\ProgramData\McAfee
C:\Windows\SysWow64\rp_stats.dat
C:\Windows\SysWow64\rp_rules.dat

Klik w Wykonaj skrypt.

2. Rozszerzenie w Google Chrome należało w pierwszej kolejności odinstalować z poziomu opcji Google Chrome. Usuwanie folderu rozszerzenia ad hoc nie jest prawidłową metodą (zostawia to śmieci w rejestrze i pliku Preferences Google Chrome). Folder usuwa się tylko wtedy, gdy w opcjach rozszerzenia już nie widać.


.

[AAAA]

Katalogi C:\ProgramData\MicroWorld i C:\ProgramData\McAfee znalazłem i usunąłem wcześniej. Skrypt nie chciał się wykonać w całości. Wkleiłem cały, ale wykonała się tylko część ":OTL". Potem wkleiłem tylko ":Files".

 

Co do rozszerzenia w Chrome - po usunięciu tego katalogu włączyłem Chrome i usunąłem rozszerzenie przez "chrome://extensions/".

 

w Extras jest taki błąd dot. eScana

Description = Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez
Usługi kryptograficzne nie powiodło się. Details: AddWin32ServiceFiles: Unable to
back up image of service eScan Server-Updater since QueryServiceConfig API failed

06202013_184815.txt

06202013_184917.txt

OTL.Txt

Extras log.Txt

[picasso]

Nie zauważyłam drobnostki, to nie zeszło:

 

O9:64bit: - Extra Button: Wirtualna Klawiatura - {54848076-14D0-45E7-851E-CAF7EF0125F1} - C:\PROGRA~2\eScan\VKBoard.exe File not found

O9:64bit: - Extra 'Tools' menuitem : Wirtualna Klawiatura - {54848076-14D0-45E7-851E-CAF7EF0125F1} - C:\PROGRA~2\eScan\VKBoard.exe File not found

 

To niby było planowane pierwszym skryptem OTL, a nie przetworzone być może z tych powodów:

- W skrypcie było załączone formatowanie forum (wklejone tagi BBCode od bold) nie występujące w rejestrze.

- Nie jestem też pewna czy nie bruździ tu sam OTL (niestety to program 32-bit i dostęp do natywnych wpisów x64 jest robiony przez sztuczne obejścia).

Ręcznie usuniemy tę klasę. Na wszelki wypadek podaj mi jednak szukanie w rejestrze na jej wystąpienia pobrane narzędziem natywnie 64-bitowym. Uruchom SystemLook x64 i w oknie wklej:

 

:regfind
{54848076-14D0-45E7-851E-CAF7EF0125F1}
eScan
MicroWorld

 

Klik w Look.

 

 

w Extras jest taki błąd dot. eScana

Tak, wiem o tym, widziałam to wcześniej. Błędy się jednak kończą na wczoraj (19 czerwca). Wczoraj była usuwana usługa eScan Monitor Service. Jeżeli dziś nie zostały nagrane żadne błędy tego typu, nie ma czym się zajmować w tym zakresie.

 

 

 

.

[AAAA]

Z ciekawości wpisałem

:regfind 
Avast 

do System Look i znalazło kilkadziesiąt wpisów

SystemLook.txt

SystemLook2.txt

[picasso]

Nie wszystkie wyniki pochodzą od eScan, ale to limitacja wyszukiwania wg słów kluczowych. Wyniki są też zdublowane (linki symboliczne w rejestrze). A znaleziska relatywne do Avast to błahostki.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\LanmanServer\Parameters]
"NullSessionShares"=-
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\LanmanServer\Parameters]
"NullSessionShares"=-
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\LanmanServer\Shares]
"escanavx$"=-
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\LanmanServer\Shares]
"escanavx$"=-
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ProcObsrvesx]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\ProcObsrvesx]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\bdfsfltr]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\econceal]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\eScanShellExt]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\eScanShellExt]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\eScanShellExt]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\eut]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{54848076-14D0-45E7-851E-CAF7EF0125F1}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\Skanuj w poszukiwaniu wirusów przy użyciu programu eScan]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\Skanuj w poszukiwaniu wirusów przy użyciu programu eScan]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\AvastEmUpdate_RASAPI32]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\AvastEmUpdate_RASMANCS]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\AvastSvc_RASAPI32]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\AvastSvc_RASMANCS]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\AvastUI_RASAPI32]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\AvastUI_RASMANCS]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{66B1FB35-3BDD-45A3-9035-E178E6D8CED9}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{66B1FB35-3BDD-45A3-9035-E178E6D8CED9}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Killer"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"b"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths]
"url1"=-
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliPoint\AppSpecific\AvastUI.exe]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliPoint\AppSpecific\avast_free_antivirus_setup.exe]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliPoint\AppSpecific\DOWNLOAD.EXE]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliPoint\AppSpecific\eFlash.EXE]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliPoint\AppSpecific\escanmon.exe]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliPoint\AppSpecific\escanpro.exe]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliPoint\AppSpecific\FRIGHTS.EXE]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliPoint\AppSpecific\LICENSE.EXE]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliPoint\AppSpecific\TRAYICOS.EXE]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliType Pro\AppSpecific\AvastUI.exe]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliType Pro\AppSpecific\avast_free_antivirus_setup.exe]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliType Pro\AppSpecific\DOWNLOAD.EXE]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliType Pro\AppSpecific\eFlash.EXE]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliType Pro\AppSpecific\escanmon.exe]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliType Pro\AppSpecific\escanpro.exe]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliType Pro\AppSpecific\FRIGHTS.EXE]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliType Pro\AppSpecific\LICENSE.EXE]
 
[-HKEY_CURRENT_USER\Software\Microsoft\IntelliType Pro\AppSpecific\TRAYICOS.EXE]
 
[-HKEY_USERS\S-1-5-18\Software\Avast Software]
 
[-HKEY_USERS\S-1-5-18\Software\MicroWorld]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Kluczy LEGACY oraz Harmonogramu zadań nie da się skasować od ręki (zablokowane przez uprawnienia). Uruchom regedit na uprawnieniu konta SYSTEM (KLIK) i ręcznie dokasuj:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot / Logon or Plain *\{73AA9C0E-C321-42D2-B89E-59C3C4AA9A48}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{73AA9C0E-C321-42D2-B89E-59C3C4AA9A48}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\eScan Updater

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ECONCEAL

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ECONCEAL

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASWTDI

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ASWTDI

 

* nie jestem pewna jaki to typ zadania.

 

3. Odrębna sprawa to ten wpis filtra sieciowego eScan:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{E2272475-3128-40DE-B567-AC79362DBC4B}]

"LocDescription"="@oem26.inf,%econceal_desc%;eScan Firewall LightWeight Filter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{E2272475-3128-40DE-B567-AC79362DBC4B}]

"Description"="eScan Firewall LightWeight Filter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{E2272475-3128-40DE-B567-AC79362DBC4B}\Ndi]

"HelpText"="eScan Firewall NDIS LightWeight Filter"

 

- Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie sprawdź jakie komponenty są używane przez połączenie. Jeśli znajdziesz eScan, odinstaluj i zresetuj komputer.

- Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > z menu Widok włącz pokazywanie ukrytych urządzeń > rozwiń gałęzie Karty sieciowe + Sterowniki niezgodne z Plug and Play i popatrz czy są jakieś urządzenia od eScan. Jeśli tak, odinstaluj + restart.

 

 

 

.

[AAAA]

Zrobione. Nie musiałem zmieniać uprawnień kluczy Harmonogramu Zadań.

Co do 3, w Panelu Sterowania, ani menedżerze urządzeń niestety nie znalazłem niczego od eScan.

PS. Dlaczego gdy korzystam z opcji Dodawania plików na forum nie są widoczne rozszerzenia, mimo, że nie mam zaznaczonej opcji "Ukryj rozszerzenia znanych typów plików"? W Eksploratorze rozszerzenia plików są.

[picasso]

Logów z OTL nie ma co dręczyć. Usuwam. One tylko jeden wpis (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{54848076-14D0-45E7-851E-CAF7EF0125F1}) mogą wykazać jako usunięty, reszta operacji w rejestrze nie będzie mieć potwierdzenia (OTL nie widzi tych danych).

 

 

Zrobione. Nie musiałem zmieniać uprawnień kluczy Harmonogramu Zadań.

Jeśli uruchomiłeś regedit na uprawnieniu konta SYSTEM, to oczywiście nie. Kontekst uprawnień był już zemulowany.

 

 

Co do 3, w Panelu Sterowania, ani menedżerze urządzeń niestety nie znalazłem niczego od eScan.

1. Zrób ręcznie punkt Przywracania systemu, by w razie wpadki odkręcić stan.

 

2. Skasuj klucze:

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{E2272475-3128-40DE-B567-AC79362DBC4B}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{E2272475-3128-40DE-B567-AC79362DBC4B}

 

3. Zresetuj system, sprawdź czy połączenie sieciowe jest sprawne.

 

 

 

PS. Dlaczego gdy korzystam z opcji Dodawania plików na forum nie są widoczne rozszerzenia, mimo, że nie mam zaznaczonej opcji "Ukryj rozszerzenia znanych typów plików"? W Eksploratorze rozszerzenia plików są.

Nie wiem dlaczego, ale w dialogach Otwórz/Zapisz zdarzają się niezgodności z widokiem tego samego w pełnym eksploratorze. Spróbuj ponownie ustawić widok, robiąc to jednak przy otwartym dialogu, czyli: wywołaj ten dialog i w nim klik w Organizuj > Opcje folderów i wyszukiwania > Widok > przestaw opcję i zatwierdź, przestaw ponownie i zatwierdź.

 

 

 

.

[AAAA]

Jeśli uruchomiłeś regedit na uprawnieniu konta SYSTEM, to oczywiście nie. Kontekst uprawnień był już zemulowany.

 

Pomyliłem instrukcje. Użyłem pierwszej metody "przez zmianę uprawnień kasowanych kluczy:", a nie uruchamiałem regedit na uprawnieniu konta SYSTEM. 

 

Skasowałem klucze, internet działa.

 

Opcja "Opcje folderów i wyszukiwania" w dialogu jest nieaktywna.