Totalnie zawirusowany system Windows 7

[Traxter]

Witam

Kumpel dał mi do odwirusowania laptopa, ale to co zastałem to istna masakra. Proszę o fachowe wskazówki aby oczyścić system z wirusów, toolbarów, bo sam na to nie mam sił. Dodatkowo wszystkie ikony skrótów nie działają - na pulpicie mają ikonę Notatnika i w nim się otwierają.

 

Skanowanie Gmer powoduje BSOD, więc loga nie dam.

OTL.Txt

Extras.Txt

[picasso]

Infekcja owszem tu jest plus jak mówisz ogłuszająca ilość adware ...

 

1. Przez Panel sterowania odinstaluj adware i śmieci:

 

Ask Toolbar, Babylon Chrome Toolbar, Babylon toolbar, Browser Manager, Conduit Engine, DAEMON Tools Toolbar, Free_Lunch_Design Toolbar, Funmoods Web Search, GotClip Downloader, gry Toolbar, Incredibar Toolbar on IE, PCSpeedUp Application, Przyspiesz Komputer, PrivitizeVPN, Softonic for Windows, Softonic toolbar on IE, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, Uniblue RegistryBooster, uTorrentBar Toolbar, Vid-Saver, Yontoo 1.10.02

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\nikodem\AppData\Roaming\svchost.exe
C:\Users\nikodem\AppData\Roaming\rundll32.exe
C:\Users\nikodem\AppData\Roaming\csrss.exe
C:\Users\nikodem\AppData\Roaming\OpenCandy
C:\Users\nikodem\Desktop\Search the Web.url
C:\Users\nikodem\AppData\Local\funmoods-speeddial.crx
C:\Users\nikodem\AppData\Local\funmoods.crx
C:\Users\nikodem\AppData\Local\promo.exe
C:\Users\nikodem\AppData\Local\Temp*.html
C:\Program Files\Mozilla Firefox
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Client Server Runtime Process"=-
"Host-process Windows (Rundll32.exe)"=-
"Service Host Process for Windows"=-
"PCSpeedUp"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Backup.Old.Start Page"=-
"bProtector Start Page"=-
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
"bProtectorDefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:OTL
IE - HKLM\..\SearchScopes\{54F15FA6-A681-1ED7-DE30-36976304C056}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0589102E-23CE-4085-A0DD-B5817A36DE29}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutD0CyCtDyByC0F0D0A0EyDyE0E0F0FzztN0D0Tzu0CtByDtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1252023346"
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=311012_niche_4412_7&babsrc=SP_ss&mntrId=0abfeff8000000000000000000000000"
IE - HKCU\..\SearchScopes\{13E2F9C0-6CFA-4A2A-9E6F-DBDEEE1D13C9}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=crm&q={searchTerms}&locale=&apn_ptnrs=T8&apn_dtid=YYYYYYYYPL&apn_uid=3ee537da-987d-48d6-9d0d-9607dd2c5f84&apn_sauid=1BA8052B-272C-44B5-B515-01EE95787105"
IE - HKCU\..\SearchScopes\{4F764938-7D1E-4D2B-A0B0-389634CE4C55}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutD0CyCtDyByC0F0D0A0EyDyE0E0F0FzztN0D0Tzu0CtByDtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1252023346"
IE - HKCU\..\SearchScopes\{54F15FA6-A681-1ED7-DE30-36976304C056}: "URL" = "http://search.softonic.com/MON00005/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=249"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={BE0A2B01-09AF-48A0-99A9-BF8CDD8AE21D}&mid=7363879cfccb2430f19e8302a672d53a-e62c594b2ca7f521abe895cddcdcb5f4dd43973e&lang=pt-br&ds=AVG&pr=fr&d=2011-12-01 14:59:49&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{974CA2CD-D835-4AE0-BC87-A0F6BE6E6C2D}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6PQriDkGQi&i=26"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0589102E-23CE-4085-A0DD-B5817A36DE29}"
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN_pl___PL380"
IE - HKCU\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found
IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O20 - AppInit_DLLs: (c:\progra~2\browse~1\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll) -  File not found
SRV - File not found [Disabled | Stopped] -- C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe -- (Browser Manager)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

3. Uruchom AdwCleaner i zastosuj Delete.

 

4. Zostaje kwestia Google Chrome, którego konfiguracja została nieprecyzyjnie wykryta przez OTL, a na pewno jest brud. Proponuję reinstalację przeglądarki na czysto.

 

5. Skoryguj nie działające skróty. W Unassoc wyszukaj rozszerzenie LNK i zastosuj dlań opcję Remove file association (User).

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

Skanowanie Gmer powoduje BSOD, więc loga nie dam.

 

1. Działa sterownik DAEMON Tools:

 

DRV - [2011/04/18 20:36:14 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01)

 

Poza tym, jest tu też sterownik SPTD, ale nie uruchamia się, niemniej i tak należy go wywalić:

 

DRV - [2010/07/06 20:39:09 | 000,717,296 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

2. Jeśli w/w nie pomoże, to w GMER spróbuj odznaczyć sekcję IAT/EAT.

 

 

.

Edytowane 9 Grudnia 2012 przez picasso
9.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso