Sprawdzenie komputera - Logi OTL

[Maniek13]

Witam mógłby ktoś sprawdzić czy nie mam żadnych infekcji na komputerze ??

Oto logi :

OTL.txt :
Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt :
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"Dll-Files.com Fixer_is1" = Dll-Files.com Fixer

To zbędne oprogramowanie. Odinstaluj je.

Optymalizacja.

Jeśli pragniesz optymalizacji podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)

Wejdź w Start -> Uruchom -> regedit i w kluczu -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters -> dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na -> C:\Windows\System32\wuauserv.dll .

SRV - File not found [Auto | Stopped] -- %SYSTEMROOT%\system32\wscsvc.dll -- (wscsvc)

W Notatniku wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]
"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\
72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\
4d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="NT AUTHORITY\\LocalService"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
00,00,00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
00,00,00

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG -> Uruchom powstały plik -> zaakceptuj dodanie wpisu -> restart.

Combofix.

Pobierz Combofix (nie uruchamiaj Go) na pulpit -> Dostępne tylko dla zarejestrowanych użytkowników. Następnie wejdź w START -> URUCHOM -> i wklej tam -> "C:\Documents and Settings\Admin\Pulpit\Combofix" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Admin\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-1606980848-1275210071-1547161642-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1606980848-1275210071-1547161642-1005\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A}
IE - HKU\S-1-5-21-1606980848-1275210071-1547161642-1005\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
[2012-05-07 11:25:41 | 000,000,000 | ---D | M] (Facemoods) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\q2l59uhq.default\extensions\ffxtlbr@Facemoods.com
[2012-05-07 11:25:43 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml

:Files
C:\Documents and Settings\Admin\Dane aplikacji\dll-files.com
C:\DOCUME~1\Admin\USTAWI~1\Temp
C:\Program Files\Dll-Files.com Fixer
C:\WINDOWS\tasks\*.*

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]
"Start"=dword:00000004
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

[Maniek13]

Wejdź w Start -> Uruchom -> regedit i w kluczu -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters -> dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na -> C:\Windows\System32\wuauserv.dll .

Już tak miałem.

Log z autoruns :
Dostępne tylko dla zarejestrowanych użytkowników

Log z usuwania :
Dostępne tylko dla zarejestrowanych użytkowników

Log z OTL :
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Log z TDSSKiller :
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)
SRV - File not found [Auto | Stopped] -- %SYSTEMROOT%\system32\wscsvc.dll -- (wscsvc)
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)
SRV - File not found [On_Demand | Stopped] -- -- (CiSvc)

Uruchom Konsolę Odzyskiwania -> Dostępne tylko dla zarejestrowanych użytkowników i wprowadź w Niej polecenie -> CHKDSK /R.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy -> NvCplDaemon, 0, Java(tm) Plug-In 2 SSV Helper, wszystko z zakłądki -> Task Scheduler, ERSvc, SkypeUpdate, wscsvc, wuauserv, catchme, Changer, EagleNT, EagleXNt, i2omgmt, lbrtfdc , PCIDump, PDCOMP, PDFRAME, PDRELI, PDRFRAME, WDICA i msacm.vorbis.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

Nic się nie wykonało. Powtórz wykonywanie skryptu.

[Maniek13]

Task Scheduler, ERSvc, SkypeUpdate, wscsvc, wuauserv, catchme, Changer, EagleNT, EagleXNt, i2omgmt, lbrtfdc , PCIDump, PDCOMP, PDFRAME, PDRELI, PDRFRAME, WDICA i msacm.vorbis.

Nie mogę znaleźć zakładki Task Scheduler.

Oto log z usuwania :
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Nie mogę znaleźć zakładki Task Scheduler.

Możesz to pominąć.

Oto log z usuwania :

OK. Czas na nowe logi.