htw Opublikowano 14 Stycznia 2014 Zgłoś Udostępnij Opublikowano 14 Stycznia 2014 Witam ponownie, sytuacja na froncie wstępnie jak mi sie skromnie wydaje opanowana. System złapał świeżości. Podaje logi: Malwarebytes (jako pierwsze skaner) ponad 500 odszukanych elementów, na pokładzie był Nod (od nowości) co prawda nie aktualny i stara wersja. http://wklej.org/id/1235947/ poźniej odpaliłem FRST - wywaliłem tylko to co uznałemza 100% - reszta podejrzanych rzeczy zostawiona: http://wklej.org/id/1235977/ mam nadzieję, że nic nie sknocilem ..eh i na koniec pełny obraz aktualnej sytuacji: FRST http://wklej.org/id/1235982/ ADD http://wklej.org/id/1235985/ OTL http://wklej.org/id/1235988/ EX http://wklej.org/id/1235989/ GMER - tylko jeden wpis, więc podaje na żywca: .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF5A00000, 0x1C5D58, 0xE8000020] Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2014 Zgłoś Udostępnij Opublikowano 14 Stycznia 2014 htw, najpierw się robi poprawne deinstalacje, a potem skanery, skrypty i podobne. Wyników w MBAM ogromna ilość, bo wszystko wskazuje na to, że program adware MoviesToolBar był w pełni zainstalowany. Należało rozpocząć od jego poprawnej deinstalacji, to log MBAM pewnie by pokazał zaledwie kilka pozycji. Wpis deinstalacyjny był: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ilividmoviestoolbarhaIE (PUP.Optional.MoviesToolBar.A) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. Co do skryptu: załączyłeś do usuwania ogromną ilość protokołów Logitech, a to powinno samo zniknąć po poprawnej deinstalacji Logitech Desktop Messenger i to w lepszy sposób niż skrypt (bo jeszcze derejestracja modułów). Niemniej skrypt i tak nie znalazł tych wpisów, obecny log ich nie pokazuje, więc nie wiadomo co stało się w międzyczasie. Poza tym, naruszyłeś wpis Microsoftu: Toolbar: HKCU - &Adres - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation) ... generując dalsze usterki: O3 - HKU\S-1-5-21-371767368-182364471-792558390-1006\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found. 1. Otwórz Notatnik i wklej w nim: C:\Program Files\Movies Toolbar C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users\Dane aplikacji\DriverGenius C:\Documents and Settings\All Users\Dane aplikacji\Wincert C:\Documents and Settings\Magdalena\Dane aplikacji\searchresultstb C:\Program Files\Common Files\Symantec Shared AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Wincert\WIN32C~1.DLL [ ] () SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=429&systemid=406&v=a10781-183&apn_uid=0302422408034502&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} HKLM\...\Policies\Explorer: [NoCDBurning] 0 S4 s24trans; system32\DRIVERS\s24trans.sys [x] S3 SYMIDSCO; \??\C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20050901.036\symidsco.sys [x] S3 USBAAPL; System32\Drivers\usbaapl.sys [x] Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C4069E3A-68F1-403E-B40E-20066696354B} /f Reg: reg delete HKLM\Software\MozillaPlugins /f CMD: netsh firewall reset CMD: regsvr32 /s C:\Windows\system32\browseui.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Poprawna deinstalacja Logitech Desktop Messenger. 3. Zastosuj AdwCleaner. 4. Zastosuj Norton Removal Tool. 5. Zastosuj TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner. . Odnośnik do komentarza
htw Opublikowano 14 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2014 Niestety, kolejność nieprawidłowa - wiem. Było póżno chciałem puścić Malwarebytes bo wieziałem, że 2-3 będzie sie miotał. Po skanerze i wyrzuceniu wstepnym zabrałem sie za naturalną dezinstalację - Logitech mi umknął .. notabene wpisów - tych indeksów na końcu : [x] () możesz powiedzieć fochowo coś wicej jak to interpretować .. ? dodatkowo może spiepszyłem ten jeden wpis, ale uczę sie na obronę powiem, że po wszystkich zabiegach Adwara i Farbara lapek mocno zwolnił - jakoś dziwacznie, procesy nic nie pokazywały i wtedy zapalił mi sie edison - tryb PIO ( oczywiście osoba, która ma wiedzieć o czym piszę napewno wie) dlatego nauka nie idzie na marne logi: FRST: http://wklej.org/id/1236439/ ADWCleaner: http://wklej.org/id/1236497/ Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2014 Zgłoś Udostępnij Opublikowano 15 Stycznia 2014 Nie podałeś pliku fixlog.txt. Prawie wszystko zrobione, ale ten wpis browseui.dll nie odtworzył się po rejestracji biblioteki. 1. Poprawki. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{01E04581-4EEE-11D0-BFE9-00AA005B4383}"=hex:81,45,e0,01,ee,4e,d0,11,bf,e9,00,\ aa,00,5b,43,83,10,00,00,00,00,00,00,00,01,e0,32,f4,01,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01E04581-4EEE-11d0-BFE9-00AA005B4383}] @="&Adres" "MenuTextPUI"="@browselc.dll,-13137" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01E04581-4EEE-11d0-BFE9-00AA005B4383}\Implemented Categories] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01E04581-4EEE-11d0-BFE9-00AA005B4383}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01E04581-4EEE-11d0-BFE9-00AA005B4383}\InProcServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,62,00,72,00,\ 6f,00,77,00,73,00,65,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Dalsze kroki są Ci znajome, jesteś tu często i procedury znasz. notabene wpisów - tych indeksów na końcu : [x] () możesz powiedzieć fochowo coś wicej jak to interpretować .. ? htw, w związku z tym że się mierzysz na skrypty, musisz rozumieć co widzisz / przetwarzasz i myśleć kreatywnie, więc nie otrzymasz odpowiedzi wprost. Zastanów się porządnie: gdzie jeszcze w logu są nawiasy () i cóż to może oznaczać, że między nimi nic nie ma (są dwie możliwości interpretacji), jaki typ obiektu ma znaczek iks (i tu trzeba uważać, bo jak zawsze taki odczyt niekoniecznie jest zgodny z prawdą i należy brać pod uwagę cały log). Nie miałam żadnych instrukcji do FRST biorąc go pierwszy raz w ręce i wymyśliłam wszystko samodzielnie, więc się da to wykoncypować. Jak też tu zawsze powtarzam, nie należy się uczyć "pod narzędzie", bo nogi to ma krótkie. Każde narzędzie ma inny system oznaczania, to są wtórne wymysły autorów. . Odnośnik do komentarza
htw Opublikowano 15 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2014 na początku zapomniany fixlog: FIXLOG: http://wklej.org/id/1236950/ + FRST (aktualna sytuacja po wykonaniu wszystkich czynności) http://wklej.org/id/1236952/ a propos znaczenia (), (x) imHo: (producent) - wiadomo, chodciaż nie zawsze bo przecież sam wyrzuciłem bibliotekę od M$ () - brak autora co nie onacza od razu, że musi to być coś be i zazwyczaj wcale nie jst (x) - wpis, który odnosi sie do pliku którego nie ma - wpis szczątkowy (tylko jak ma sie do tego file missing) ale zawsze istnieje szansa, że program wcale nie jest niechciany dlatego jesli w całym logu nie odszuamy powiązania dopiero wtedy może to sugerować brak jego uzasadnienia ? że tak powiem, tak sobie to tułmaczę ale nie wiem czy dobrze myśle, dlatego pytam. Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2014 Zgłoś Udostępnij Opublikowano 15 Stycznia 2014 Wpis browseui.dll wrócił pomyślnie na miejsce: Toolbar: HKCU - &Adres - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation) W skrócie: () = brak producenta, w niektórych wpisach jest to też pośredni znak braku pliku. [x] = plik nie został znaleziony, a powodów dla tego może być multum (prawdziwy brak pliku, jak i niezdolność jego znalezienia, mimo obecności, np. z powodu niemożności odczytania przez narzędzie ścieżki) W FRST są jeszcze dwa inne oznaczenia dla "braku", ale fraza "file missing" nie występuje. I nie chodziło mi tu o status szkodliwości wpisu. Miałam na myśli inną rzecz: wszelkie wpisy sugerujące "brak", niezależnie od zastosowanego oznaczenia, muszą by weryfikowane czy są rzeczywistym brakiem czy tylko niemożnością pobrania danych przez narzędzie. Tu przypominam chorobę o nazwie "not found w OTL", czyli bezrozumne usuwanie przez "analizujących" wszystkich wpisów tego typu jak leci bez zastanowienia się czy przypadkiem narzędzie nie przedstawia fałszywego obrazu sytuacji. . Odnośnik do komentarza
htw Opublikowano 24 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2014 Rozumiem. Tak przypuszczałem patrząc się na niektóre wpisy ze czasami sofcik nie poprawnie klasyfikowal informacje. Dziękuję za wytłumaczenie ;-) Odnośnik do komentarza
Rekomendowane odpowiedzi