Zaśmiecony laptop - brak oznak infekcji

[Rucek]

Witam,

 

stary laptop kumpla, wyczyściłem ponad 1GB śmieci, proszę o rutynową kontrolę.

Używałem: AdwCleaner, TFC, CCleaner, oraz tdsskiller (nic nie znalazł).

Poniżej logi, czy jeszcze cos zostało (oprócz aktualizacji oprogramowania), czy nic złego nie siedzi w systemie.

[picasso]

Wykonaj jeszcze poprawki:

 

1. Odinstaluj zbędny McAfee Security Scan Plus. Prawdopodobnie instalaja sponsorowana.

 

2. Jest tu odpadkowy sterownik Avast filtrujący klawiaturę:

 

R1 aswKbd; C:\Windows\system32\Drivers\aswKbd.sys [20624 2012-10-30] (AVAST Software)

 

Zastartuj do Trybu awaryjnego. Start > w polu szukania wpisz regedit > wejdź do klucza klasy klawiatur:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}

 

Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, nie ruszaj systemowego kbdclass. Przejdź w Tryb normalny, w powyższym kluczu potwierdź, że wpis nie wrócił, a wtedy możesz zlikwidować z dysku plik C:\Windows\system32\Drivers\aswKbd.sys.

 

3. W preferencjach Firefox było stanowczo zbyt dużo śmieci, a że AdwCleaner jest ograniczony, na wszelki wypadek wygeneruj nowiutkie preferencje: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Używane rozszerzenia trzeba będzie przeinstalować.

 

4. Nie ma tu śladów, by Google Chrome było zainstalowane, więc usunięcie jego odpadków oraz pozostałe poprawki. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [X]
C:\Users\viva\AppData\Local\Google\Chrome
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[Rucek]

Wszystko zrobione. dołączam log. Czy coś jeszcze?

[picasso]

Tam jeszcze w raporcie dodatkowym stała adnotacja i nie jestem pewna czy jest to adekwatne do stanu rzeczywistego:

 

==================== Restore Points =========================
 

Could not list Restore Points. Check "winmgmt" service or repair WMI.

 

Skrypt wykonany, więc możesz zająć się znajomą sekwencją końcową (usunięcie narzędzi, czyszczenie folderów Przywracania systemu, aktualizacje): KLIK. W razie problemów z dostępem do interfejsu Przywracania systemu zgłoś się tu.

 

 

.

[Rucek]

ok, wielkie dzięki Picasso, miłego popołudnia!

[picasso]

O ile jest nadal dostęp do tego "starego laptopa kumpla":

 

Jeśli chodzi o ten błąd WMI i jeśli nadal jest on w nowym raporcie FRST Addition, to przeprowadź te działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Zresetuj system. Przedstaw nowy log FRST Addition.

 

 

 

 

.