trpcp Opublikowano 7 Września 2011 Zgłoś Udostępnij Opublikowano 7 Września 2011 Witam Laptop nie otwierał stron internetowych i infekował peny, wykazywał też inne formy modyfikacji UI, i nadal wykazuje (o czym później). Zrobilem to i owo i teraz system wygląda tak: (oj.. widze ze tu godzina zła jest...) OTL.Txt Extras.Txt gmer.txt 09072011_155234.txt 09072011_172158.txt Log OTL pochodzi z momentu zakonczenia działań (nie wliczając skanu ESEt'em) Extras pochodzi z początku procedur naprawczych - dużo ze smieci tam widocznych zostało odinstalowane przez dodaj&usuń, albo jakos inaczej. Np. nie moglem zlokalizować instalki powiązanej z Ask.com. Gmer - jakoś ze środka... Przysięgam że SPTD nie bylo aktywne ;p Potem mamy logi z usuwania. 'not found'y' polegaja na tym ze najpierw przeszedłem sie po rejestrze i dysku na piechotę, a potem puściłem skrypt (bardzo źle? moglem cos popsuć?) eset.txt troche efektem skanowania ESETa byłem zaskoczony - że tyle jeszcze tego zostało. Z rzeczy które jeszcze nie wyglądają tak jak powinny to mamy brak mozliwości modyfikacji widoku katalogów: w narzędziach mam tylko zabawy z dyskami sieciowymi i synchronizacjie. Ale ogólnie to jest dużo lepiej Więc prosze o konsultacjie, czy cos pominąłem, ewentualnie cos popsułem. Pozdrawiam ok, opcje folderów juz są, zreszta problem było widać od początku: O7 - HKU\S-1-5-21-57989841-484763869-1547161642-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 Mam pytanie w związku z tym. Jak powinna wyglądać linijka skryptu modyfikująca to? HKU\S-1-5-21-57989841-484763869-1547161642-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 0 tak jak wyżej? czy moze mozna o usunąc i winda przywróci domyslną? Odnośnik do komentarza
picasso Opublikowano 7 Września 2011 Zgłoś Udostępnij Opublikowano 7 Września 2011 1. Oceniając końcowy OTL, to jeszcze poprawkę załaduj: :OTL FF - prefs.js..extensions.enabledItems: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}:3.2.5.2 [2011-04-10 20:47:56 | 000,002,047 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrch.xml O7 - HKU\S-1-5-21-57989841-484763869-1547161642-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 [2011-04-10 22:30:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Vantur\Dane aplikacji\facemoods.com [2011-09-07 13:28:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Vantur\Dane aplikacji\PriceGong :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] 2. W związku z licznymi paskami adware dorzuć log z AD-Remover z opcji Scan. Extras pochodzi z początku procedur naprawczych - dużo ze smieci tam widocznych zostało odinstalowane przez dodaj&usuń, albo jakos inaczej. Np. nie moglem zlokalizować instalki powiązanej z Ask.com. Następnym razem podasz logi finałowe po wszystkich zadaniach. A tak to muszę zgadywać co wykonane ... Ask Toolbar jest w rejestrze na liście deinstalacyjnej (widocznie wpis jest ukryty / zablokowany i należało go odblokować w rejestrze, lub podciągnąć z rejestru frazę deinstalacyjną i wkleić w Uruchom). Ten wpis wyżej załączyłam na usuwanie, skoro Ask już pociąłeś. Mniemam, że pozostałe tu zakreślone pozycje odinstalowane? ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar"conduitEngine" = Conduit Engine "DAEMON Tools Toolbar" = DAEMON Tools Toolbar"facemoods" = Facemoods Toolbar"Softonic-Polska Toolbar" = Softonic-Polska Toolbar Twój skrypt też sugeruje, że nie przeprowadziłeś deinstalacji pasków w drugim miejscu = w menedżerze rozszerzeń Firefox. Procedura kompletniejsza niż brutalnie przez skrypt. Potem mamy logi z usuwania. 'not found'y' polegaja na tym ze najpierw przeszedłem sie po rejestrze i dysku na piechotę, a potem puściłem skrypt (bardzo źle? moglem cos popsuć?) 1. Skoro zadajesz komendę [emptytemp] (automatycznie zabija wszystkie procesy i wymusza restart), nie ma sensu dodawać komendy :Processes. W takim przypadku żaden z załączonych do indywidualnego zabicia procesów nie zostanie znaleziony, bo już został zakończony .... 2. Błędy: Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully. Tego wpisu się nie usuwa! "Not found" nie jest rzeczywistym brakiem. Ten wpis zawsze na każdym systemie tak wygląda i jest w 100% poprawny. Rekonstruuj ubytek. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\ 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nltide_2 deleted successfully.Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nltide_2 not found.Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nltide_2 deleted successfully.Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nltide_2 deleted successfully. Te wpisy także były prawidłowe. Są one na modyfikowanych Windows robionych przez nLite, a odpowiadają za portowanie tweaków na każde nowo zakładane konto. Wpisy te pozornie jawią się jako puste. C:\AUTOEXEC.BAT moved successfully.C:\AutoMapaSetupLog.txt moved successfully. Prawidłowe pliki. Przywracaj z kwarantanny C:\_OTL. ok, opcje folderów juz są, zreszta problem było widać od początku:O7 - HKU\S-1-5-21-57989841-484763869-1547161642-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 Mam pytanie w związku z tym. Jak powinna wyglądać linijka skryptu modyfikująca to? HKU\S-1-5-21-57989841-484763869-1547161642-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 0 tak jak wyżej? czy moze mozna o usunąc i winda przywróci domyslną? Domyślnie NoFolderOptions nie istnieje. Wystarczy skasować tę wartość, a to można zrobić na różne sposoby (ręcznie, przez import rejestru, przez OTL). Jeśli przez OTL, albo: :OTL O7 - HKU\S-1-5-21-57989841-484763869-1547161642-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 albo: :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"=- Gmer - jakoś ze środka... Przysięgam że SPTD nie bylo aktywne ;p Oczywiście, nie było aktywne. Ty się chyba sugerujesz sekcją "Registry" pokazującą zablokowane klucze SPTD. Ten wynik jest zupełnie innym rodzajem niż ten, o który nam chodzi, a jest zwracany nawet po prawidłowej deinstalacji SPTD (deinstalacja nie potrafi dokończyć tego z rejestru poprzez reset uprawnień i kasację). To tylko statyczny odczyt z rejestru pokazujący, że do kluczy nie ma uprawnień żadne konto systemowe. Czynny SPTD wygląda w logu inaczej (hooki). . Odnośnik do komentarza
trpcp Opublikowano 8 Września 2011 Autor Zgłoś Udostępnij Opublikowano 8 Września 2011 Sam nie wiem co mnie podkusiło zeby kasować log AutoMapy ;p. Co do :processes to nie byłem pewny jak to OTL przeprowadzi, ale jak mi explorer wycieło zaraz po kliknięciu 'wykonaj skrypt' to stalo sie jasne ze wpis był nadmiarowy Linijki zawierające znacznik droczenia się ( ;p ) mozesz zostawiać bez komentarza... szkoda czasu ;p Przyznam sie też do ignoranckej postawy wobec przeglądarek konkurencyjnych do IE, przez co nawet nie wiem gdzie tam jest jakas funkcja deinstalacji pasków, wtyczek.. wiem zato jak je zupełnie odinstalować. Postawa niezbyt mądra; pracuje nad tym, wiec może będzie lepiej. Eh... przepraszam, ale wlasciwie temat do zamknięcia jest. Lapek był potrzebny i mi go zabrano. Dzięki za pomoc OTL.Txt Ad-Report-SCAN1.txt OTL_czyszczenie.txt Odnośnik do komentarza
picasso Opublikowano 8 Września 2011 Zgłoś Udostępnij Opublikowano 8 Września 2011 Należało jeszcze wykonać poprawkę na okoliczność tego co zwrócił w wynikach AD-Remover (opcja Clean czyszcząca znaleziska oraz drobny import do rejestru usuwający wpis Facemoods w kluczu SearchScopes). Nie wiem też czy posprzątałeś po usuwaniu (usunięcie kwarantanny OTL + czyszczenie folderów Przywracania systemu). Ale skoro już lapek odjechał, to temat zamykamy. Odnośnik do komentarza
Rekomendowane odpowiedzi