Zasyfiony komputer

Post26 lip 2015, 20:02

Witajcie, mam problem z komputerem, tzn przy instalacji pewnego programu, zainstalowało się pare "dodatków" do przeglądarek. Avast większość z nich wyrzucił, lecz został jeden którego nie mogę usunąć

. Przy otwieraniu IE uruchamia się strona oursurfing.com - mimo że na stronę startową jest ustawiony całkiem inny portal. Niżej zamieszczam logi OTL, proszę o analizę i pomoc.
Pozdrawiam

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post26 lip 2015, 20:24

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:processes
killallprocesses

:OTL
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKLM..\Run: [mbot_pl_014010041] File not found
O2 - BHO: (no name) - {1F91A9A1-01BA-4c81-863D-3BA0751E1419} - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
IE - HKU\S-1-5-21-256131477-2700794831-2836968081-1000\..\SearchScopes,DefaultScope = {16154FFD-FED5-4655-BCDA-ADF9B6AFEC69}
IE - HKU\S-1-5-21-256131477-2700794831-2836968081-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IESR02
IE - HKU\S-1-5-21-256131477-2700794831-2836968081-1000\..\SearchScopes\{16154FFD-FED5-4655-BCDA-ADF9B6AFEC69}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-256131477-2700794831-2836968081-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-256131477-2700794831-2836968081-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:Tabs
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
[2015-07-26 17:19:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\predm
[2015-07-26 17:18:04 | 000,000,000 | ---D | C] -- C:\ProgramData\IHProtectUpDate
[2015-07-26 17:17:39 | 000,000,000 | ---- | C] () -- C:\Windows\prleth.sys
[2015-07-26 17:17:39 | 000,000,000 | ---- | C] () -- C:\Windows\hgfs.sys
[2015-03-04 19:52:56 | 000,707,744 | ---- | C] () -- C:\Users\SZEF\AppData\Local\unins000.exe
[2015-03-04 19:52:56 | 000,011,761 | ---- | C] () -- C:\Users\SZEF\AppData\Local\unins000.msg
[2015-03-04 19:52:56 | 000,003,183 | ---- | C] () -- C:\Users\SZEF\AppData\Local\unins000.dat
[2015-06-28 20:45:15 | 000,000,000 | ---- | C] () -- C:\Users\SZEF\AppData\Local\{F4069BCC-6EF2-440F-8D7A-EB2386B2A50C}

:Commands
[emptyflash]
[purity]
[emptyjava]
[CLEARALLRESTOREPOINTS]
[emptytemp]

Klik w Wykonaj Skrypt. Zatwierdź restart komputera.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej logi z FRST: bezpieczenstwo/korzystanie-z-frst-t28530.html

Post26 lip 2015, 22:09

1. Zrobione
2. Zrobione, raport: Dostępne tylko dla zarejestrowanych użytkowników
3. Zrobione, raport: Dostępne tylko dla zarejestrowanych użytkowników
4. Zrobione, raporty:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Dziękuje serdecznie za pomoc

Post27 lip 2015, 10:16

Czysto!

1. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz pełny skan MalwareBytes.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

Post28 lip 2015, 00:40

1. Wszystko zrobione, raporty:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
2.Dostępne tylko dla zarejestrowanych użytkowników

Dziękuje za pomoc

Post28 lip 2015, 09:39

Te dwa pliki w HitMan Pro do usunięcia.

Wsio, zamykam.