Prośba o sprawdzenie logów OTL

[milosz1996]

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników
Jedyna prośba to to żeby zostawić sophos-a. Jest to antivirus (co prawda jak widać dość słaby, no ale, życzenie kolegi).
Wirus, który na pewno jest, to ten który żąda 300zł aby odblokować komputer.

[djarta]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O4 - Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
O4 - HKCU..\Run: [ReadyComm5] File not found
O4 - HKCU..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup File not found
O4 - HKCU..\Run: [KiesAirMessage] C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=LENIE
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2312123
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=LENIE
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2312123
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR)

:Files
C:\windows\tasks\*.job
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\windows\MEMORY.DMP
C:\Users\Michal\AppData\Local\PUTTY.RND
C:\Users\Michal\AppData\Local\promo.exe
C:\Users\Michal\AppData\Roaming\winscp.rnd

:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany.

2. Odinstaluj: Windows Live Toolbar

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników i zastosuj Delete. Na dysku C powstanie log z usuwania.

4. Jeżeli Sophosa trzeba zostawić to wykonaj deinstalację ESETa programem Dostępne tylko dla zarejestrowanych użytkowników

5. Zrób nowy log OTL z opcji Skanuj. Dołącz raport z usuwania OTLem + raport z czyszczenia z AdwCleaner i nowy komplet logów z OTL.

[milosz1996]

AdwCleaner: Dostępne tylko dla zarejestrowanych użytkowników
Raport usuwania (to chyba to): Dostępne tylko dla zarejestrowanych użytkowników
Raport usuwania ESETa: Dostępne tylko dla zarejestrowanych użytkowników
Nowy OTL: Dostępne tylko dla zarejestrowanych użytkowników
W Extrasach nic się nie zmieniło (cały czas taka sama, stara data modyfikacji) więc nie wrzucam.

[djarta]

Czy problem ustąpił ?

[milosz1996]

Tak

[kominekl]

"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"InstallShield_{9B304612-421E-4CC3-84A1-5BAAC1CBE409}" = Onekey Theater
"VeriFace" = VeriFace

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..extensions.enabledAddons: battlefieldheroespatcher@ea.com:5.0.145.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Michal\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Michal\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
[2012-06-30 11:28:26 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Users\Michal\AppData\Roaming\mozilla\Firefox\Profiles\60sga4kj.default\extensions\battlefieldheroespatcher@ea.com
[2012-10-27 15:48:31 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found.
[2012-11-22 22:46:28 | 000,000,000 | ---D | C] -- C:\Users\Michal\AppData\Roaming\ESET
[2012-11-22 22:46:28 | 000,000,000 | ---D | C] -- C:\Users\Michal\AppData\Local\ESET
[2012-06-26 15:02:40 | 000,030,568 | ---- | C] () -- C:\windows\MusiccityDownload.exe
[2011-12-04 13:25:53 | 000,000,000 | ---- | C] () -- C:\Users\Michal\AppData\Local\{BB82DDBA-63E7-44C7-B08A-F7312AE75636}

:Files
C:\Users\Michal\AppData\Local\Google\Update

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.