Pomoc w sprawdzeniu logów

[izwa]

Witam, proszę o sprawdzenie:

Dostępne tylko dla zarejestrowanych użytkowników - OTL
Dostępne tylko dla zarejestrowanych użytkowników - extras
Dostępne tylko dla zarejestrowanych użytkowników - gmer

z góry dzięki.

[kominekl]

"{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}" = Babylon Chrome Toolbar
"NSS" = Norton Security Scan
"PunkBusterSvc" = PunkBuster Services

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-534488640-4089387364-3431397431-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-534488640-4089387364-3431397431-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-534488640-4089387364-3431397431-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-534488640-4089387364-3431397431-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=109220&tt=060113_ctrl_0113_2&babsrc=SP_ss&mntrId=72f8729a00000000000000fff900150e
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=109220&tt=060113_ctrl_0113_2&babsrc=HP_ss&mntrId=72f8729a00000000000000fff900150e"
FF - prefs.js..extensions.enabledAddons: ffxtlbr%40babylon.com:1.5.0
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
[2013-01-06 22:40:33 | 000,000,000 | ---D | M] (Babylon Toolbar) -- C:\Users\icebreaker\AppData\Roaming\mozilla\Firefox\Profiles\gxoyvre6.default\extensions\ffxtlbr@babylon.com
[2013-02-12 19:50:54 | 000,000,000 | ---D | M] (No name found) -- C:\Users\icebreaker\AppData\Roaming\mozilla\Sunbird\Profiles\nigkhsed.default\extensions
[2013-01-31 00:04:21 | 000,224,945 | ---- | M] () (No name found) -- C:\Users\icebreaker\AppData\Roaming\mozilla\firefox\profiles\gxoyvre6.default\extensions\gophoto@gophoto.it.xpi
[2013-01-06 22:39:43 | 000,213,444 | ---- | M] () (No name found) -- C:\Users\icebreaker\AppData\Roaming\mozilla\firefox\profiles\gxoyvre6.default\extensions\torntv@torntv.com.xpi
[2013-02-28 23:02:26 | 000,269,007 | ---- | M] () (No name found) -- C:\Users\icebreaker\AppData\Roaming\mozilla\firefox\profiles\gxoyvre6.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi
[2013-01-06 22:40:35 | 000,002,444 | ---- | M] () -- C:\Users\icebreaker\AppData\Roaming\mozilla\firefox\profiles\gxoyvre6.default\searchplugins\babylon1.xml
[2013-01-06 22:40:06 | 000,002,361 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre7\bin\jusched.exe" File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.15.2)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.15.2)
[2013-04-13 12:38:40 | 000,000,000 | ---D | C] -- C:\Program Files\Max Soft
[2013-04-05 11:19:48 | 000,000,000 | ---D | C] -- C:\Users\icebreaker\Doctor Web

:Services
gupdate
gupdatem

:Files
C:\Program Files (x86)\Google\Update
C:\Windows\tasks\*.*
C:\Users\icebreaker\AppData\Roaming\Babylon
C:\Users\icebreaker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PowerReg Scheduler.exe
$Recycle.Bin /alldrives
C:\Config.Msi
C:\MSOCache

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + nowe logi z OTL (na tych ustawieniach - tamte są staromodne i niestandardowe - brane chyba z Peb`a).

[izwa]

Dostępne tylko dla zarejestrowanych użytkowników - skrypt
Dostępne tylko dla zarejestrowanych użytkowników - ADWCleaner
Dostępne tylko dla zarejestrowanych użytkowników - OTL

[kominekl]

ADWCleaner.

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

File not found (No name found) -- C:\USERS\ICEBREAKER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GXOYVRE6.DEFAULT\EXTENSIONS\{E4A8A97B-F2ED-450B-B12D-EE082BA24781}.XPI
File not found (No name found) -- C:\USERS\ICEBREAKER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GXOYVRE6.DEFAULT\EXTENSIONS\FFXTLBR@BABYLON.COM

:Files
C:\USERS\ICEBREAKER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GXOYVRE6.DEFAULT\EXTENSIONS\{E4A8A97B-F2ED-450B-B12D-EE082BA24781}.XPI
C:\USERS\ICEBREAKER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GXOYVRE6.DEFAULT\EXTENSIONS\FFXTLBR@BABYLON.COM
$RECYCLE.BIN /alldrives
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[izwa]

Dostępne tylko dla zarejestrowanych użytkowników - skrypt
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

W Autoruns odznacz, a następnie w trybie awaryjnym usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
Persistence

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Wszystko.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

FLEXnet Licensing Service
FLEXnet Licensing Service 64
Microsoft Office Groove Audit Service
MozillaMaintenance
odserv
ose
WinDefend
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Następnie podajesz nowe logi z OTL.

[izwa]

jak próbuję odznaczyć Task Scheduler to wyskakuje mi odmowa dostępu. Jak dokładnie to mam usunąć? I czy te programy które są zaznaczone i usune przez ten program, to zostaną usunięte z komputera?

[kominekl]

I czy te programy które są zaznaczone i usune przez ten program, to zostaną usunięte z komputera?

Nie. Tylko wpisy autostartowe tych programów.

jak próbuję odznaczyć Task Scheduler to wyskakuje mi odmowa dostępu. Jak dokładnie to mam usunąć?

W trybie awaryjnym zaznaczamy dany wpis i naciskamy Delete.

[izwa]

pousuwałem to co się dało. Jak niektóre chciałem usunąć to było napisane, "brak ścieżki..." a niektórych nie było w trybie awaryjnym, np. Task Scheduler. Przez przypadek usunąłem, hkcmd oraz qgui (ESET), jak mogę to teraz przywrócić? I nastał taki problem, że nie włącza się program graficzny AutoCAD, oraz robot tej samej firmy. Na początku pojawiał się ekran ładowania, po kilku sekundach znikał i nic nie było. Po usunięciu wpisów autostartu pojawia się coś takiego: Nie można zainicjować adlm. Wewnętrzny komunikat o błędzie: ,Usługa nie jest zainstalowana.> Kod błędu: <20>

-- 15 kwi 2013, 14:59 --

a to są nowe logi:
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników Extras

[kominekl]

pousuwałem to co się dało. Jak niektóre chciałem usunąć to było napisane, "brak ścieżki..." a niektórych nie było w trybie awaryjnym, np. Task Scheduler. Przez przypadek usunąłem, hkcmd oraz qgui (ESET), jak mogę to teraz przywrócić? I nastał taki problem, że nie włącza się program graficzny AutoCAD, oraz robot tej samej firmy. Na początku pojawiał się ekran ładowania, po kilku sekundach znikał i nic nie było. Po usunięciu wpisów autostartu pojawia się coś takiego: Nie można zainicjować adlm. Wewnętrzny komunikat o błędzie: ,Usługa nie jest zainstalowana.> Kod błędu: <20>

-- 15 kwi 2013, 14:59 --

a to są nowe logi:
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników Extras

Zastosuj Przywracanie Systemu do czas sprzed działań w Autoruns.

[izwa]

Dostępne tylko dla zarejestrowanych użytkowników to otrzymałem po przywróceniu. Teraz już działa. Gdzie popełniłem błąd? Powtarzać jeszcze raz to samo?
obecne logi OTL Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Dostępne tylko dla zarejestrowanych użytkowników to otrzymałem po przywróceniu. Teraz już działa. Gdzie popełniłem błąd? Powtarzać jeszcze raz to samo?
obecne logi OTL Dostępne tylko dla zarejestrowanych użytkowników

Tak powtórz to, tylko uważnie. Pamiętaj - usuwasz te wpisy, które wcześniej odznaczyłeś, czyli te, które podałem .

[izwa]

sorki że tak późno odpisuję. nie miałem ostatnio czasu się tym zająć. Dzięki wielkie za pomoc. Zapraszam na piwo jak będziesz przejazdem w Krakowie pozdrawiam

[kominekl]

sorki że tak późno odpisuję. nie miałem ostatnio czasu się tym zająć. Dzięki wielkie za pomoc. Zapraszam na piwo jak będziesz przejazdem w Krakowie pozdrawiam

OK. Wykonaj powyższe instrukcje.