Zmulony PC

[bladekkk]

Zmulony PC
logi otl:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
log gmer:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aw15ixp4)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\URLSearchHook: - No CLSID value found
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1001\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1001\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2504091
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3 - HKU\S-1-5-21-2581563636-507873617-854543126-1001\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
[2013-06-25 20:31:54 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2013-06-25 20:07:42 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-06-25 19:38:57 | 000,000,000 | ---D | C] -- C:\Users\SEBA\Desktop\ratun PC
[2013-06-16 18:37:33 | 000,000,000 | ---D | C] -- C:\Users\SEBA\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I
[2012-12-01 15:58:21 | 000,047,360 | ---- | C] (VSO Software) -- C:\Users\SEBA\AppData\Roaming\pcouffin.sys
[2012-12-23 22:09:37 | 000,000,000 | ---D | M] -- C:\Users\SEBA\AppData\Roaming\Azureus
[2012-10-01 11:55:05 | 000,000,000 | ---D | M] -- C:\Users\SEBA\AppData\Roaming\DAEMON Tools Lite
[2012-11-28 17:47:30 | 000,000,000 | ---D | M] -- C:\Users\SEBA\AppData\Roaming\Epiphany Games
[2012-10-08 17:18:26 | 000,000,000 | ---D | M] -- C:\Users\SEBA\AppData\Roaming\Might & Magic Heroes VI
[2012-10-04 19:02:13 | 000,000,000 | ---D | M] -- C:\Users\SEBA\AppData\Roaming\NapiProjekt
[2013-03-04 21:05:38 | 000,000,000 | ---D | M] -- C:\Users\SEBA\AppData\Roaming\Raptr
[2012-12-10 20:27:13 | 000,000,000 | ---D | M] -- C:\Users\SEBA\AppData\Roaming\Rovio
[2012-10-28 16:49:12 | 000,000,000 | ---D | M] -- C:\Users\SEBA\AppData\Roaming\TeamViewer
[2013-01-22 00:07:53 | 000,000,000 | ---D | M] -- C:\Users\SEBA\AppData\Roaming\Vso

:Files
$RECYCLE.BIN /alldrives
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + nowe logi z OTL.

[bladekkk]

log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników
log adwcleaner
Dostępne tylko dla zarejestrowanych użytkowników - wczesniej był już czyszczony adwcleanerem
nowe logi OTL
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

ADWCleaner.

Naciśnij w nim przycisk Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aw4vfewi)
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1000\..\URLSearchHook: - No CLSID value found
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2581563636-507873617-854543126-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
[2013-06-29 13:58:29 | 000,000,000 | ---D | C] -- C:\Windows\temp
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Files
$RECYCLE.BIN /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[bladekkk]

log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników
autoruns
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

IgfxTray
Persistence

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
AdobeFlashPlayerUpdateSvc
appdrvrem01
cphs
IAStorDataMgrSvc
Intel(R) Capability Licensing Service Interface
jhi_service
LMS
NBService
NMIndexingService
nvsvc
nvUpdatusService
odserv
ose
UNS
WinDefend
WMPNetworkSvc

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Następnie podajesz nowe logi z OTL.

[bladekkk]

nowy log otl:
Dostępne tylko dla zarejestrowanych użytkowników
aaa w autoruns w "Task Scheduler" ty było pusto

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O20 - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013-07-02 17:39:36 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-07-01 20:27:33 | 000,000,000 | ---D | C] -- C:\Users\SEBA\Desktop\Autoruns
[2013-06-25 21:59:45 | 000,000,000 | ---D | C] -- C:\ProgramData\TEMP
[2013-07-01 20:29:17 | 000,049,200 | ---- | M] () -- C:\Users\SEBA\Desktop\AutoRuns.rar
[2013-07-01 20:28:45 | 002,449,942 | ---- | M] () -- C:\Users\SEBA\Desktop\AutoRuns.arn
[2013-06-27 22:47:17 | 000,004,608 | ---- | M] () -- C:\Users\SEBA\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

:Files
c:\users\seba\appdata\local\temp
$RECYCLE.BIN /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL naciśnij przycisk Sprzątanie.

Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation

Zainstaluj Dostępne tylko dla zarejestrowanych użytkowników.

Internet Explorer (Version = 9.0.8112.16421)

Zaktualizuj IE do Dostępne tylko dla zarejestrowanych użytkowników (nawet, jeśli Go nie używasz).

"{AC76BA86-7AD7-1045-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Polish

Odinstaluj to, bo masz wersję Adobe Reader XI (11.0.03).

Kroki Finalizujące.

Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.
Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.

[bladekkk]

log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

OK. Wykonaj resztę instrukcji.

[bladekkk]

Bardzo dzięki za pomoc komp śmiga jak nowy, kominekl szacun

[kominekl]

Bardzo dzięki za pomoc komp śmiga jak nowy, kominekl szacun

Nie ma sprawy . Czy można zamknąć temat?