Proszę o sprawdzenie logów z OTL

[Kaskader92]

Witam.
Ostatnio, mianowicie jakiś tydzień temu, miałem problem z wirusem "Ukash". Niby udało mi się go usunąć, ale zapewne coś tam zostało, bo nagle dziś Avira znalazł znowu jakiegoś trojana (TR/lyposit.B.207), dlatego bardzo bym prosił o przejrzenie logów. Znając życie pewnie znajdzie się dużo śmieci do usunięcia;)
Log z OTL.txt Dostępne tylko dla zarejestrowanych użytkowników
Log z extras.txt Dostępne tylko dla zarejestrowanych użytkowników
Z góry dziękuję za pomoc.

[kominekl]

"Avira AntiVir Desktop" = Avira Free Antivirus
"InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"Lenovo SlideNav2" = Lenovo SlideNav
"Lenovo SplitScreen" = Lenovo SplitScreen
"Super Kulki_is1" = Super Kulki
"VeriFace" = VeriFace
"Akamai" = Akamai NetSession Interface

Odinstaluj. Użyj tego -> Dostępne tylko dla zarejestrowanych użytkowników i tego -> Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = ${SEARCH_URL}{searchTerms}
IE - HKLM\..\SearchScopes\{B0ECEE47-92C2-4D96-BB20-F6CB4B08CECF}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}
IE - HKCU\..\SearchScopes\{A3ABF886-9083-46CD-8BC8-C362542851EB}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=110819&tt=010412_crm&babsrc=SP_ss&mntrId=ecfaaa900000000000000026c77fb75d
IE - HKCU\..\SearchScopes\{B0ECEE47-92C2-4D96-BB20-F6CB4B08CECF}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Kaskader\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Kaskader\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O4 - HKCU..\Run: [] File not found
O4 - HKCU..\Run: [EPSON SX100 Series] C:\windows\system32\spool\DRIVERS\x64\3\E_IATIEDE.EXE /FU "C:\Users\Kaskader\AppData\Local\Temp\E_SF685.tmp" /EF "HKCU" File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
[2013-02-14 00:19:18 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-02-06 00:52:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013-02-06 00:52:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Avira
[2013-02-05 20:22:14 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee

:Files
C:\Users\Kaskader\AppData\Local\Google\Update
$RECYCLE.BIN /alldrives
C:\Users\Kaskader\Documents\*.reg
C:\windows\tasks\*.job
C:\Users\Kaskader\AppData\Roaming\EurekaLog

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

[Kaskader92]

Zrobione. Powiedz mi tylko, czemu miałem pozbyć się Aviry czyli jedynego mojego antywirusa?
Log z usuwania OTL - Dostępne tylko dla zarejestrowanych użytkowników
Log z ADW - Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSS - Dostępne tylko dla zarejestrowanych użytkowników
Nowy log z OTL - Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Zrobione. Powiedz mi tylko, czemu miałem pozbyć się Aviry czyli jedynego mojego antywirusa?

To szajs. Reszta to śmieci i stary antywirus od McAfee (były resztki). Potem zastąpimy czymś innym.

Combofix.

Pobierz Go na Pulpit (nie uruchamiaj) -> Dostępne tylko dla zarejestrowanych użytkowników. Następnie wejdź w START -> URUCHOM -> i wklej tam -> "C:\Users\Kaskader\Desktop\Combofix.exe" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV:64bit: - [2009-07-16 13:32:26 | 000,176,144 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\Mpfp.sys -- (MPFP)
O4 - HKCU..\Run: [Google Update] "C:\Users\Kaskader\AppData\Local\Google\Update\GoogleUpdate.exe" /c File not found
[2013-02-03 15:29:57 | 000,000,000 | ---D | C] -- C:\Users\Kaskader\AppData\Roaming\Lavasoft

:Files
$RECYCLE.BIN /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Kaskader92]

Z tym ComboFixem musiałem dwa razy dać tę komendę w Uruchom, bo za pierwszym razem tak jakby się zainstalowało i dopiero za drugi był komunikat ze ComboFix usunięty i zniknął on z pulpitu i z Dysku C.
Log z usuwania OTL - Dostępne tylko dla zarejestrowanych użytkowników
Kolejny log z OTL - Dostępne tylko dla zarejestrowanych użytkowników
PS. Już widać totalną różnicę w szybkości rozruchu systemu

[kominekl]

PS. Już widać totalną różnicę w szybkości rozruchu systemu

Mam nadzieję, ale poczekaj, bo za chwilę będzie jeszcze lepiej .

Logi.

Dorzuć log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[Kaskader92]

Log z autoruns - Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Log z autoruns - Dostępne tylko dla zarejestrowanych użytkowników

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
OnekeyStudio
Persistence
RtHDVBg
RtHDVCpl
SynBtnAsst

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
Adobe Reader Speed Launcher
APSDaemon
GrooveMonitor
IAStorIcon
MDS_Menu
MuteSync
NSU_agent
QuickTime Task
StartCCC
SunJavaUpdateSched
UCam_Menu
UpdateP2GShortCut

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

AlcoholAutomount
Olympus ib

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AMD External Events Utility
cvhsvc
EPSON_EB_RPCV4_01
EPSON_PM_RPCV4_01
FLEXnet Licensing Service 64
IAStorDataMgrSvc
IGRS
Lenovo ReadyComm AppSvc
Lenovo ReadyComm ConnSvc
LMS
Microsoft Office Groove Audit Service
odserv
ose
osppsvc
PS_MDP
SeaPort
ServiceLayer
sftlist
sftvsa
StarWindServiceAE
UNS
WinDefend
WMPNetworkSvc

HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32

msacm.vorbis

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.

[Kaskader92]

Z tej lokacji
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
nie dało się kilku rzeczy usunąć, nawet w trybie awaryjnym, ale odznaczyło się wszystko.
Z
Task Scheduler
zostały cztery pozycje, które nie chcą się nawet odznaczyć.
Z tej lokacji
HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32
odznaczone jest msacm.vorbis, ale usunać to to się nie chce.
To samo jest w lokacji
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
i
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors.
A o to log z OTL - Dostępne tylko dla zarejestrowanych użytkowników
i tak dla pewności log z Autoruns - Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Kaskader92

Jest doskonale .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O20:64bit: - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013-02-16 21:01:43 | 000,000,000 | ---D | C] -- C:\windows\erdnt

:Files
$RECYCLE.BIN /alldrives
C:\windows\SysWow64\shortcut_ex.dat

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation

Zainstaluj SP1 -> Dostępne tylko dla zarejestrowanych użytkowników.

Internet Explorer (Version = 8.0.7600.16385)

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216038FF}" = Java(TM) 6 Update 39

Odinstaluj i zainstaluj najnowszą wersję-> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.3 - Polish

Odinstaluj i zainstaluj najnowszą wersję-> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[Kaskader92]

Wszystko zrobione. To teraz jaki antywirus polecasz?
Log z OTL - Dostępne tylko dla zarejestrowanych użytkowników
Log z MBAM - Dostępne tylko dla zarejestrowanych użytkowników
Usunąłem te cracki jak coś.

[kominekl]

Wszystko zrobione. To teraz jaki antywirus polecasz?

W tym układzie wystarczy choćby Avast -> Dostępne tylko dla zarejestrowanych użytkowników.

Malwarebytes.

Opróżnij kwarantannę Malwarebytes`a (Usuń Wszystko).

[Kaskader92]

Avast zainstalowany, kwarantannę już po skanowaniu wyczyściłem. Nie chcę być namolny, ale możliwe, że po prostu podczas wykonywania Twoich poleceń w programie Autoruns coś schrzaniłem, bo teraz rozruch systemu jest bardzo długi. Bywa nawet, że między ekranem powitalnym Windowsa przy włączaniu a pulpitem ekran jest na kilkanaście sekund czarny. Podejrzewam, że to właśnie podczas "zabawy" wyżej wymienionym programem coś się stało, bo przed tym system naprawdę zadziwiająco szybko się włączał. Ogólnie to już od samego początku jestem Ci niezmiernie wdzięczny za pomoc w ogarnięciu bałaganu na kompie i nie chcę już bardziej nadwyrężać Twojej dobroci

[kominekl]

Avast zainstalowany, kwarantannę już po skanowaniu wyczyściłem. Nie chcę być namolny, ale możliwe, że po prostu podczas wykonywania Twoich poleceń w programie Autoruns coś schrzaniłem, bo teraz rozruch systemu jest bardzo długi. Bywa nawet, że między ekranem powitalnym Windowsa przy włączaniu a pulpitem ekran jest na kilkanaście sekund czarny. Podejrzewam, że to właśnie podczas "zabawy" wyżej wymienionym programem coś się stało, bo przed tym system naprawdę zadziwiająco szybko się włączał. Ogólnie to już od samego początku jestem Ci niezmiernie wdzięczny za pomoc w ogarnięciu bałaganu na kompie i nie chcę już bardziej nadwyrężać Twojej dobroci

Jaki masz najstarszy punkt przywracania? Masz jakiś sprzed użycia Autoruns?

[Kaskader92]

Najstarszy to instalacja dodatku do Microsoftu 7, więc niestety po użyciu Autoruns.