Sprawdzenie logów OTL, FRST, GMER

Post15 lut 2015, 13:39

Cześć, potrzebuję waszej pomocy! Ostatnio wdarł mi się chyba jakiś syf! Nie mogę uruchomić centrum zabezpieczeń systemu

Oto logi:

OTL:

Kod: Zaznacz cały

http://pastebin.com/YJbsBTvx

Extras:

Kod: Zaznacz cały

http://pastebin.com/r2bfR1bY

FRST:

Kod: Zaznacz cały

http://pastebin.com/mCV4wQzE

Addition:

Kod: Zaznacz cały

http://pastebin.com/TK4JS5UR

Shortcut:

Kod: Zaznacz cały

http://pastebin.com/ztb0kmmG

GMER:
Takie coś mam po odpaleniu GMER'a.
Obrazek

Post15 lut 2015, 14:10

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Plik umieść na Pulpicie, w żadnym innym miejscu, w przeciwnym wypadku zadanie importu w punkcie 2 się nie wykona.

2. Otwórz notatnik i wklej:

CloseProcesses:
CMD: reg import C:\Users\xx\Desktop\FIX.REG
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 MSICDSetup; \??\G:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]
U4 WMCoreService; No ImagePath
S2 SlIEPortectzhslFxL; C:\Users\xx\Desktop\Nowy folder\SuLangDesk\zhpro.exe [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-4051460109-3290736574-2692732830-1001\...\Winlogon: [Shell] C:\Windows\Explorer.exe [2501368 2014-10-29] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) <==== ATTENTION
Task: {048528D4-CE9F-4475-8F22-2A5C6139B68D} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {13639CE1-7E1F-434A-8AAB-02E7222CC781} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe [2014-01-23] (Microsoft Corporation)
Task: {28261B86-99B2-4FD7-B571-1EE1C429DB39} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-12-12] (Piriform Ltd)
Task: {4E5D0A03-CE1D-46AA-A14D-E9F1733687E7} - System32\Tasks\{83DBECCF-B27E-41BE-B06A-A69E4E736C5A} => pcalua.exe -a "C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\EAUninstall.exe"
Task: {7CA10BFB-B0E9-48A6-88F2-E97B69E0A5F8} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2015-02-07] (Microsoft Corporation)
Task: {8064A16E-12D8-4C13-9244-C74C6D01B19A} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {D17E72B7-D538-4C1B-87D6-070B8579A820} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-02-06] (Adobe Systems Incorporated)
Task: {E9B4EF93-AD23-441D-A528-4878DFABDF27} - System32\Tasks\GenericSettingsHandler\Windows-Credentials\RetrySyncTask_for_S-1-5-21-4051460109-3290736574-2692732830-1001
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\UnsignedThemes => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\UnsignedThemes => ""="Service"
AlternateDataStreams: C:\Users\xx\OneDrive:ms-properties
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4.Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition, by ten log powstał) + FSS => Dostępne tylko dla zarejestrowanych użytkowników (zahaczykuj wszystkie pola w programie i Scan).
Dołącz też plik fixlog.txt.

Post15 lut 2015, 18:22

Wg. kolejności:
1. Fix wykonany.
2. Fixlist wykonany. Log tutaj:

Kod: Zaznacz cały

http://pastebin.com/bsGGyBG2

3. AdwCleanerem czyszczę co jakiś czas, profilaktycznie. Log tutaj:

Kod: Zaznacz cały

http://pastebin.com/wzHGDAAd

4. Nowe logi z FRST:

- FRST:

Kod: Zaznacz cały

http://pastebin.com/RP4etLbP

- Addition:

Kod: Zaznacz cały

http://pastebin.com/aPpWj8eY

- Shortcut:

Kod: Zaznacz cały

http://pastebin.com/5L7K3xb8

FSS:

Kod: Zaznacz cały

http://pastebin.com/CTXDVsXB

Dzięki za zainteresowanie @djarta

Post15 lut 2015, 18:52

Centrum zabezpieczeń naprawione, logi czyste. Kończymy.

Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

Post15 lut 2015, 20:33

DelFix:

Kod: Zaznacz cały

http://pastebin.com/0MCxhnwq

MBAM:

Kod: Zaznacz cały

http://pastebin.com/q6vxQFiG

Wszystko wykonane w kolejności wg. poradnika.

Podczas skanu MBAM-em miałem taki komunikat od antywirusa:
Obrazek

Post15 lut 2015, 20:40

To raczej nic podejrzanego ale usunąć możesz.

Post17 lut 2015, 19:18

Sorki za małą nieobecność. Czyli to wszystko już, naprawione i wirusów też nie mam?

Post17 lut 2015, 20:26

Tak jest.