Wirusy, nie da się włączyć programów

[Brawo]

Witam.

U siostry na laptopie nie da się włączyć żadnego programu, co chwila pojawiają się informacje, że komputer jest zagrożony i trzeba kupić płatne antywirusy. System to Vista 32. Zrobiłem skany w trybie awaryjnym. Bardzo proszę o sprawdzenie logów i o pomoc.

[wojtas]

odinstaluj : Bigpoint Games PL Toolbar oraz Conduit Engine

log z Gmera robiony w nieodpowiednich warunkach :

[Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

poczytaj i zastosuj się do tego, i daj nowego loga z Gmera w następnym poście.


Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before Last Install)
DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before First Install)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\radpms.sys -- (radpms)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\BitDefender\BitDefender Threat Scanner\profos.sys -- (Profos)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\kwflower.sys -- (kwflower)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | Disabled | Unknown] -- C:\Windows\System32\drivers\dwshd.sys -- (dwshd)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\BitDefender\BitDefender 2009\BDVEDISK.sys -- (BDVEDISK)
IE - HKLM\..\URLSearchHook: {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - C:\Program Files\Bigpoint_Games_PL\prxtbBigp.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2843462
IE - HKU\S-1-5-21-3257549069-324118968-3102388323-1000\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found
IE - HKU\S-1-5-21-3257549069-324118968-3102388323-1000\..\URLSearchHook: {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - C:\Program Files\Bigpoint_Games_PL\prxtbBigp.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3257549069-324118968-3102388323-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2843462
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Bezpieczne wyszukiwanie"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}:5.9
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}:6.0.29
FF - prefs.js..extensions.enabledItems: {4ED1F68A-5463-4931-9384-8FFF5ED91D92}:3.4.1
FF - prefs.js..extensions.enabledItems: {3ED591BC-7CC7-495B-A526-B2431356EDC1}:2.0
FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.6.0.8442
[2011-10-17 09:39:34 | 000,002,569 | ---- | M] () -- C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\xiq64aun.default\searchplugins\askcom.xml
O4 - HKU\S-1-5-21-3257549069-324118968-3102388323-1000..\RunOnce: [036DFF980000ED8D0047ABAD2F3B707C] C:\ProgramData\036DFF980000ED8D0047ABAD2F3B707C\036DFF980000ED8D0047ABAD2F3B707C.exe ()
O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=27GUBL4Z2676RFI4823N&id=menu_ie_frame File not found
O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=27GUBL4Z2676RFI4823N&id=menu_ie_image File not found
O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=27GUBL4Z2676RFI4823N&id=menu_ie_link File not found
O8 - Extra context menu item: Cac&hed Snapshot of Page - C:\Program Files\Google\googletoolbar.dll (Google Inc.)
O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=27GUBL4Z2676RFI4823N&id=menu_ie_exclude File not found
O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=27GUBL4Z2676RFI4823N&id=menu_ie_report File not found
[2012-07-15 08:05:26 | 000,000,000 | ---D | C] -- C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
[2010-03-09 19:48:38 | 000,000,004 | ---- | C] () -- C:\Users\Ewa\AppData\Roaming\43j1tnhrehhhoj24f8sg9v0
@Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:7CA7BED1
@Alternate Data Stream - 95 bytes -> C:\ProgramData\TEMP:5C6EBC69
@Alternate Data Stream - 179 bytes -> C:\ProgramData\TEMP:ED2998F5
@Alternate Data Stream - 141 bytes -> C:\ProgramData\TEMP:700B9342
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:1DA424AA
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:102394C6
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:870649A4
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:6FE17A89

:Files
C:\ProgramData\036DFF980000ED8D0047ABAD2F3B707C

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

Autor postu otrzymał pochwałę

[Brawo]

Bardzo dziękuję za odpowiedź, jest ogromna poprawa. Wrzucam logi.
Niestety Bigpoint Games PL Toolbar nie daje się odinstalować.

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O3 - HKLM\..\Toolbar: (no name) - {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - No CLSID value found.
O3 - HKU\S-1-5-21-3257549069-324118968-3102388323-1000\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll File not found
O2 - BHO: (no name) - {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - No CLSID value found.
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2012-07-15 10:53:26 | 016,409,960 | ---- | C] (Safer Networking Limited ) -- C:\Users\Ewa\Desktop\spybotsd162.exe

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator)

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, gdy coś znajdzie pokaż raport, i usuń wszystko za pomocą tego programu )
* Skasuj stan przywracania systemu

napisz jak sytuacja z komputerem

[Brawo]

Wojtas, jesteś super! Wszystko śmiga aż miło! Dzięki!!!