IE8 niekontrolowane uruchamianie

[rychu24]

Witam,
od jakiegos czasu zauważyłem znacznie spowolnienie systemu w czasie normalnej pracy. Odkryłem, że w historii IE8 pojawiają się te same odwiedzane zagraniczne strony na których nigdy nie byłem. Dodatkowo co jakiś czas pojawia się okno IE8 z prośbą o wybranie "kontynuować przerwaną sesje" lub "przejdź do strony startowej" pomimo tego że sam nie uruchamiałem przeglądarki. Podsumowując, mam wrażenie że złośliwy robak wchodzi na wybrane strony bez mojej wiedzy mocno spowalniając przez to system.
Skanowałem system Avastem, Malwarebytes Anti-Malware oraz Spyware Doctor. Tylko ten ostatni znajduje 2 niegoźnie infekcje. Usuwa je, ale po restarcie systemu znajduje ponownie.
Plik OTL.txt:
Dostępne tylko dla zarejestrowanych użytkowników
Plik Extras.Txt:
Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuję za wszelką pomoc.

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
MOD - [2012-06-03 22:51:33 | 000,060,416 | ---- | M] () -- C:\Documents and Settings\Rysiu\Ustawienia lokalne\Temp\3.tmp
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O33 - MountPoints2\{20c7490c-12a8-11e1-9093-000b6a8b480c}\Shell\AutoRun\command - "" = I:\PMBP_Win.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found

:Files
C:\Documents and Settings\Rysiu\Ustawienia lokalne\Temp\*.tmp

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Do deinstalacji zbędny Toolbar: DAEMON Tools Toolbar + uTorrentControl2 Toolbar

3. Użyj Dostępne tylko dla zarejestrowanych użytkowników z opcji Delete. Pokaż raport który się wyświetli w notatniku po restarcie albo znajdziesz go: C:\Clean.txt

4. Pokaż log z Dostępne tylko dla zarejestrowanych użytkowników. Rozpakuj, uruchom go, wciśnij Start Scan i czekaj, aż zakończy się skanowanie. Raport znajdziesz na partycji C:\

5. Wygeneruj nowy log z OTL opcją Skanuj (Extras już niepotrzebne po raz drugi). Dołącz log z wynikami usuwania z punktu 1 , 3 , 4 oraz 5.

[rychu24]

Dzięki za szybką odpowiedź.

Wszystkie kroki wykonane zgodnie z instrukcją.

Log z AdwCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

Log z TDSSKiller:
Dostępne tylko dla zarejestrowanych użytkowników

Log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

23:52:56.0078 3284 c:\usr/MYSQL/bin/mysqld.exe - copied to quarantine
23:52:57.0000 3284 HKLM\SYSTEM\ControlSet001\services\MySql - will be deleted on reboot
23:52:57.0015 3284 HKLM\SYSTEM\ControlSet003\services\MySql - will be deleted on reboot
23:52:57.0078 3284 c:\usr/MYSQL/bin/mysqld.exe - will be deleted on reboot
23:52:57.0078 3284 MySql ( HiddenFile.Multi.Generic ) - User select action: Delete
23:52:57.0468 3284 C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine
23:52:57.0718 3284 HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted on reboot
23:52:57.0734 3284 HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted on reboot
23:52:57.0734 3284 HKLM\SYSTEM\ControlSet003\services\sptd - will be deleted on reboot
23:52:57.0734 3284 C:\WINDOWS\system32\Drivers\sptd.sys - will be deleted on reboot
23:52:57.0734 3284 sptd ( LockedFile.Multi.Generic ) - User select action: Delete

Ktoś Ci kazał to usuwać? Raczej nie. Obydwie usługi są prawidłowe.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O33 - MountPoints2\{20c7490c-12a8-11e1-9093-000b6a8b480c}\Shell\AutoRun\command - "" = I:\PMBP_Win.exe
O3 - HKU\S-1-5-21-1659004503-1417001333-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

:Files
C:\TDSSKiller_Quarantine

Klik w Wykonaj Skrypt.

2.

Kod: Zaznacz cały

O3 - HKLM\..\Toolbar: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.)


Dalej nie został odinstalowany uTorrentControl2 Toolbar. Chyba coś prosiłem?

3. Wygeneruj nowy log z OTL opcją Skanuj (Extras już niepotrzebne po raz drugi). Dołącz log z wynikami usuwania z punktu 1.

[rychu24]

uTorrentControl2 Toolbar usunięty - miałem problem z plikiem deinstalacyjnym (pomogło ponowne zaistalowanie dodatku).
Generalnie widać znaczną poprawę w działaniu systemu. Również w historii przeglądarki nie pojawiają sie nieznane ikony. Zauważyłem tylko, że IE8 nie pobiera części plików graficznych z witryn (zastępuje prostokątami z krzyrzykiem). Czy zostało to celowo wyłączone z myślą o oszczędzaniu zasobów?

Poniżej wynik usuwania z pkt. 1:
Dostępne tylko dla zarejestrowanych użytkowników

Plik OTL.txt:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

Kod: Zaznacz cały

:OTL
FF - user.js - File not found
IE - HKU\S-1-5-21-1659004503-1417001333-1801674531-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
[2012-06-19 02:00:01 | 000,000,342 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-A-F4393947CE194-Rysiu.job


Klik w Wykonaj Skrypt.

2. Uruchom AdwCleaner i wciśnij UNINSTALL.

3. Uruchom OTL i wciśnij Sprzątanie.

4. Zalecam ponowne PEŁNE SKANOWANIE SYSTEMU za pomocą MalwareBytes Anti-Malware . Przed skanowaniem zaaktualizuj ręcznie bazę wirusów. Usuń to co znajdzie i wklej raport końcowy po czyszczeniu.

[rychu24]

Zamieszczam raport po czyszczeniu z MalwareBytes Anti-Malware:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Zamieszczam raport po czyszczeniu z MalwareBytes Anti-Malware:

Do podawania logów używaj -> Dostępne tylko dla zarejestrowanych użytkowników.

C:\System Volume Information\_restore{51C2EF8E-A2CE-4471-985D-19F664E38F96}\RP431\A0172379.exe (PUP.ToolbarDownloader) -> Nie wykonano akcji.

Mam nadzieje, że to usunąłeś. Jeśli nie to to usuń. Jeśli tak to opróżnij jeszcze kwarantannę Malwarebytes`a (Usuń Wszystko).