Proszę o analizę logów z OTL

[g0rthaur]

Witam, proszę o sprawdzenie logów, mam problem z samoistnie wyskakującymi reklamami w IE:
OTL Dostępne tylko dla zarejestrowanych użytkowników
Extras Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"Browser Defender_is1" = Browser Guard 4.0
"InstallShield_{9DDDF20E-9FD1-4434-A43E-E7889DBC9420}" = Acer Backup Manager
"MSC" = McAfee Internet Security Suite
"Spyware Doctor" = PC Tools Spyware Doctor 9.1
"tuto4pc_pl_5_is1" = tuto4pc_pl_5
"Vuze_Remote Toolbar" = Vuze Remote Toolbar

Odinstaluj. Użyj tego -> Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {3E5DB5E6-B497-4448-8896-68AC6C0F9323}
IE:64bit: - HKLM\..\SearchScopes\{3E5DB5E6-B497-4448-8896-68AC6C0F9323}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=IE10TR&src=IE10TR&pc=MAARJS
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {3E5DB5E6-B497-4448-8896-68AC6C0F9323}
IE - HKLM\..\SearchScopes\{3E5DB5E6-B497-4448-8896-68AC6C0F9323}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=IE10TR&src=IE10TR&pc=MAARJS
IE - HKU\S-1-5-21-2322941610-423719692-2977620508-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2322941610-423719692-2977620508-1002\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
IE - HKU\S-1-5-21-2322941610-423719692-2977620508-1002\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
IE - HKU\S-1-5-21-2322941610-423719692-2977620508-1002\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2322941610-423719692-2977620508-1002\..\SearchScopes,DefaultScope = {3E5DB5E6-B497-4448-8896-68AC6C0F9323}
IE - HKU\S-1-5-21-2322941610-423719692-2977620508-1002\..\SearchScopes\{003E93F1-E2CD-46FC-A030-546386BE4ECB}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2504091&CUI=UN23252374662172758
IE - HKU\S-1-5-21-2322941610-423719692-2977620508-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=119370&babsrc=SP_ss&mntrId=38417f8f0000000000001a94235f9097
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_149.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.13.2: C:\Windows\system32\npDeployJava1.dll File not found
FF - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\PROGRA~2\mcafee\msc\NPMCSN~1.DLL ()
FF - HKLM\Software\MozillaPlugins\@mcafee.com/SAFFPlugin: C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{4ED1F68A-5463-4931-9384-8FFF5ED91D92}: C:\Program Files (x86)\McAfee\SiteAdvisor [2013-02-06 21:33:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{cb84136f-9c44-433a-9048-c5cd9df1dc16}: C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\Firefox\ [2013-02-10 21:28:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK [2013-01-24 21:13:10 | 000,000,000 | ---D | M]
CHR - Extension: No name found = C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\
CHR - Extension: No name found = C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.2_0\
CHR - Extension: No name found = C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: No name found = C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1474_0\
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [LManager] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - File not found
[2013-02-10 21:26:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools
[2013-02-10 21:22:32 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-02-10 21:19:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
[2013-02-10 21:18:10 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2013-02-07 17:42:48 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins
[2013-02-07 17:42:48 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions
[2013-01-19 14:43:22 | 000,000,000 | ---D | C] -- C:\Users\Robert\AppData\Local\Temp
@Alternate Data Stream - 253 bytes -> C:\ProgramData\Temp:DFC5A2B2
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:430C6D84

:Files
C:\Program Files (x86)\Google\Update
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

[g0rthaur]

Log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
ADWCleaner: Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

ADWCleaner.

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV:64bit: - [2012-04-20 16:40:58 | 000,196,440 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\HipShieldK.sys -- (HipShieldK)
FF:64bit: - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL File not found
O2:64bit: - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O3 - HKU\S-1-5-21-2322941610-423719692-2977620508-1002\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
[2013-02-15 20:04:44 | 000,000,000 | ---D | C] -- C:\Users\Robert\AppData\Local\Temp

:Files
c:\PROGRA~1\mcafee

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[g0rthaur]

Log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
Log z Autoruns:

Kod: Zaznacz cały

http://speedy.sh/2Sa2a/AutoRuns.rar

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

BtPreLoad
IgfxTray
Persistence
RtHDVBg_Dolby
RtHDVCpl

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Dolby Home Theater v4

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

0010421360950622mcinstcleanup
CCDMonitorService
CTDevice_Srv
DeviceFastLaneService
DsiWMIService
EgisTec Ticket Service
FLEXnet Licensing Service
GamesAppService
gupdate
gupdatem
Intel(R) Capability Licensing Service Interface
McAWFwk
nvsvc
nvUpdatusService
RfButtonDriverService
UNS
WinDefend
WMPNetworkSvc

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

C:\Windows\system32\nvinitx.dll

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

c:\windows\syswow64\nvinit.dll

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.

[g0rthaur]

Nowe logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Nowe logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników

Nie usunąłeś wszystkiego, co odznaczyłeś, a się dało. Popraw to w trybie awaryjnym.

[g0rthaur]

Próbowałem w trybie awaryjnym ale nadal nie mogę tego usunąć, ciągle wyświetla się błąd, że nie można odnaleźć określonego pliku

[kominekl]

Próbowałem w trybie awaryjnym ale nadal nie mogę tego usunąć, ciągle wyświetla się błąd, że nie można odnaleźć określonego pliku

Jeśli już jesteś pewny to dorzuć nowy log z Autoruns (sprawdzę).

[g0rthaur]

Log z autoruns:

Kod: Zaznacz cały

http://speedy.sh/abrJR/AutoRuns.rar

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

DAEMON Tools Lite

HKLM\System\CurrentControlSet\Services

cphs
jhi_service
LMS

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.