Prośba o sprawdzenie logów

[batumi]

Proszę o sprawdzenie poniższych logów - ostatnio o mały włos, a "zderzyłbym się" z wirusem policja, a teraz chciałbym się dowiedzieć, czy coś tam po sobie zostawił. Nie wiem, czy Gmer jest dobry, ale robiłem go dwa razy i dwa razy z tym samym wynikiem.

 

PS. Wciąż używam przeglądarki Mozilla 17, bo nowsze wersje działają fatalnie na moim komputerze.

FRST.txt

Addition.txt

Shortcut.txt

Gmer.Txt

OTL.Txt

Extras.Txt

[batumi]

Odświeżam temat, ponieważ widzę, że pojawiła się już na forum ekspertka o artystycznym nicku i żywię nadzieję, że zerknie na moje logi.

[picasso]

ostatnio o mały włos, a "zderzyłbym się" z wirusem policja

W jaki sposób?

 

 

PS. Wciąż używam przeglądarki Mozilla 17, bo nowsze wersje działają fatalnie na moim komputerze.

Opisz na czym polega "fatalne działanie". Ogólnie na razie mogę tylko tyle stwierdzić, że Firefox jest tu dość przeładowany (dużo wtyczek i rozszerzeń zewnętrznych) oraz są jakieś problemy ze strukturą plików na dysku.

 

 

Temat migruję do działu Windows. Nie ma tu żadnych oznak infekcji, rysują się inne zagadnienia. Do usunięcia tylko puste wpisy, odpadkowe katalogi po deinstalacjach i zbędne nieczynne polityki wprowadzone przez jakieś narzędzie "resetujące", ale to tylko kosmetyka. Widzę tu inne rodzaje poważniejszych nieinfekcyjnych problemów. Po pierwsze, wygląda na to, że jest tu defekt struktury plików (może być konsekwencją ogólnych problemów z dyskiem). Jest kilka śladów to punktujących, tzn. są tworzone replikacje katalogów kont (np. All Users, All Users.WINDOWS ...) i programów z suffiksami numerycznymi (np. potrójne wystąpienie Flashblock) oznaczające utratę dostępu do poprzednich wystąpień, a także te same katalogi są listowane w raporcie podwójnie co jest oznaką nieprawidłowości, np.:

 

2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR

2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR

 

Po drugie, Dziennik zdarzeń sypie błędami modułów Foxit i filtra ffdshow, a także sugeruje niespójność Repozytorium WMI:

 

Application errors:

==================

Error: (12/24/2014 11:03:50 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Aplikacja powodująca błąd mpc-hc.exe, wersja 1.7.3.147, moduł powodujący błąd ffdshow.ax, wersja 1.3.4530.0, adres błędu 0x0021be27.

Przetwarzanie zdarzenia określonego nośnika dla [mpc-hc.exe!ws!]
 

Error: (12/23/2014 08:54:14 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Aplikacja powodująca błąd drwtsn32.exe, wersja 5.1.2600.0, moduł powodujący błąd dbghelp.dll, wersja 5.1.2600.5512, adres błędu 0x0001295d.

Przetwarzanie zdarzenia określonego nośnika dla [drwtsn32.exe!ws!]
 

Error: (12/23/2014 08:54:09 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł powodujący błąd foxitpdfinfo.dll, wersja 1.0.0.903, adres błędu 0x0002f7b8.

Przetwarzanie zdarzenia określonego nośnika dla [explorer.exe!ws!]
 

Error: (12/22/2014 07:52:08 PM) (Source: SecurityCenter) (EventID: 1802) (User: )

Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy.

 

 

Wstępnie:

 

1. Wykonaj sprawdzanie dysku:

 

Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku.

 

Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta.

 

2. Następnie odinstaluj starą wersję Adobe Flash Player 11 ActiveX oraz programy tworzące błędy Foxit PDF Editor, K-Lite Codec Pack 10.4.0 Full.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: rundll32 wbemupgd, UpgradeRepository
CMD: netsh firewall reset
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKU\S-1-5-18\Software\Classes /f
Reg: reg delete HKU\S-1-5-19\Software\Classes /f
Reg: reg delete HKU\S-1-5-20\Software\Classes /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt"/f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f
Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies /f
Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies /f
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\.exe: exefile => "%1" %* 
HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\exefile: "%1" %* 
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
FF Keyword.URL: hxxp://www.google.com.my/search?q=
FF DefaultSearchEngine: Google Default
FF SearchPlugin: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\searchplugins\google-default.xml
FF Plugin: @IObit.com/np_Asc_Plugin -> C:\Program Files\IObit\Surfing Protection\BrowerProtect\np_Asc_plugin.dll No File
S4 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X]
R3 ALSysIO; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\ALSysIO.sys [X]
S3 cpuz135; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys [X]
S3 cpuz136; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X]
S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X]
Task: C:\WINDOWS\Tasks\AVG_SYS_TASK.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\{3C5CBD7B-3D1D-411E-96C2-513FFCA84D2D}
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ALLPlayer
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG2014
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ClearCookiesEasy
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\F-Secure
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\HitmanPro
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\IObit
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\MFAData
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\PITy
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Simply Super Software
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\VSO
C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Powertoys for Windows XP\Tweak UI.lnk
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG 0214c Campaign
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG2014
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BinarySense
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BITS
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\ClearCookiesEasy
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\CrystalIdea Software
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGet
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGetBHO
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashgetSetup
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\HD Tune Pro
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\IObit
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\KRyLack Archive Password Recovery
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\OpenOffice.org
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Podatnik.info
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\SolidDocuments
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Thunderbird
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\TuneUp Software
RemoveDirectory: C:\Documents and Settings\All Users
RemoveDirectory: C:\Documents and Settings\All Users.WINDOWS1
RemoveDirectory: C:\Documents and Settings\berger
RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Recent(2)
RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(2)
RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(3)
RemoveDirectory: C:\Documents and Settings\Default User
RemoveDirectory: C:\Documents and Settings\Default User.WINDOWS1
CMD: dir /a "C:\Documents and Settings"
CMD: dir /a "C:\Documents and Settings\berger.XP-75CF98363E2C\Ustawienia lokalne\Dane aplikacji"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Start > Uruchom > eventvwr.msc i z prawokliku na sekcje Aplikacja + System wyczyść oba dzienniki. Zresetuj system.

 

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

[batumi]

1. Wirus: po prostu, przeglądając, wydawałoby się, zaufane witryny, nagle wyskoczyła ta idiotyczna strona "policja", którą natychmiast zamknąłem i uruchomiłem MBAM oraz Pandę. Nic nie wykryły.

2. "Fatalne działanie" nowszych wersji Mozilli polega na tym, że działają "ociężale", "z ociąganiem", sporo przy tym pożerając zasobów, a nieraz i powodując restarty systemowe. Pięć wtyczek Firefoxa, które są włączone, staram się aktualizować regularnie.

3. Zrobiłem wszystko po kolei - oto rezultaty:

winlogon.txt

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt