System zwolnił. wirusy: win32:bprotect, win32:adware i inne

[Daman]

Witam ,
mam problem z systemem Windows 7 64-bit . Mianowicie od jakiegoś tygodnia zaczął bardzo długo się uruchamiać.
Przeskanowałem go Avastem. Znalazł wirusy: Win64:Adware-B, Win32:BProtect-G, Win32:BProtect-H, JS:BProtect-C, JS:BProtect-A, Win32:Adware-BRS, Win32:BProtect-D. Puściłem jeszcze skana podczas rozruchu systemu, i wykrył kolejnych intruzów: Win32:PUP_gen, Win32:Installer_AG, Win32:Downloader-TQO.
Nic się nie dało z nimi zrobić poza zignorowaniem ich. Większość tych wirusów została zlokalizowana w plikach z katalogu: C:\Users\Mariusz\AppData\Local\Temp
i jego podkatalogach. Komputer działa w miarę normalnie, ale jest nietypowo wolny.

Proszę o pomoc. Z góry dzięki.
Dołączam logi.

[ordynat]

1) Odinstaluj:
"MyPC Backup" = MyPC Backup
"hola Chrome Toolbar" = hola Chrome Toolbar
"holasearch" = holasearch toolbar
"MiPony" = MiPony 2.0.2
"DigitalSite" = Update for Mipony Download Accelerator
"StartNow Toolbar" = StartNow Toolbar

2) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Daj z tego raport C:\AdwCleaner\AdwCleaner[S].txt.

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
MOD - [2013-08-22 12:02:09 | 000,187,888 | ---- | M] () -- C:\Users\Mariusz\AppData\Roaming\BabSolution\Shared\enhancedNT.dll
SRV - [2012-06-22 15:55:48 | 000,265,952 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\StartNow Toolbar\ToolbarUpdaterService.exe -- (Updater Service for StartNow Toolbar)
IE - HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.holasearch.com/?babsrc=HP_ss&mntrId=14308A1132EE2D92&affID=121962&tsp=4964
IE - HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\..\SearchScopes,bProtectorDefaultScope = {B224AA02-F7C8-3A2B-859F-560B80767E4A}
IE - HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.holasearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=14308A1132EE2D92&affID=121962&tsp=4964
IE - HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\..\SearchScopes\{B224AA02-F7C8-3A2B-859F-560B80767E4A}: "URL" = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130414&user_guid=7ABE897285A5479B8AB0C6B9B1D242BC&machine_id=71bbedf5a861559a046c1f4406e5b003&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}
O2 - BHO: (StartNow Toolbar Helper) - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files (x86)\StartNow Toolbar\Toolbar32.dll ()
O2 - BHO: (holasearch Helper Object) - {DFF9B2DA-EF99-4B26-83CB-7058299999D8} - C:\Program Files (x86)\holasearch\holasearch\1.8.16.16\bh\holasearch.dll (holasearch.com)
O3:64bit: - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (avast! EasyPass Toolbar) - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform-x64.dll (AVAST Software)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (StartNow Toolbar) - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files (x86)\StartNow Toolbar\Toolbar32.dll ()
O3 - HKLM\..\Toolbar: (Holasearch Toolbar) - {C510DFFB-0AFE-484C-BA40-CED5B74C4EEF} - C:\Program Files (x86)\holasearch\holasearch\1.8.16.16\holasearchTlbr.dll (holasearch.com)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-1647462393-2480976863-1240803015-1000..\Run: [NTRedirect] C:\Users\Mariusz\AppData\Roaming\BabSolution\Shared\enhancedNT.dll ()
O4 - Startup: C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk = C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe (MyPCBackup.com)
O20:64bit: - AppInit_DLLs: (c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll) - File not found
[2014-09-14 10:56:39 | 000,000,000 | ---D | C] -- C:\Users\Mariusz\AppData\Roaming\Mipony
[2013-08-04 12:38:21 | 000,000,000 | ---D | M] -- C:\Users\Mariusz\AppData\Roaming\BabSolution
[2013-08-04 12:37:57 | 000,000,000 | ---D | M] -- C:\Users\Mariusz\AppData\Roaming\Babylon
[2013-11-09 11:23:48 | 000,000,000 | ---D | M] -- C:\Users\Mariusz\AppData\Roaming\DigitalSite
[2014-02-13 08:24:11 | 000,000,000 | ---D | M] -- C:\Users\Mariusz\AppData\Roaming\DigitalSites
[2013-08-04 12:38:32 | 000,000,000 | ---D | M] -- C:\Users\Mariusz\AppData\Roaming\holasearch
[2014-09-14 10:56:55 | 000,000,000 | ---D | M] -- C:\Users\Mariusz\AppData\Roaming\Mipony
[2013-04-14 18:30:58 | 000,000,000 | ---D | M] -- C:\Users\Mariusz\AppData\Roaming\StartNow Toolbar

:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
.

[Daman]

Wykonałem wszystko. Nie było problemów.
Poniżej logi.

[ordynat]

CHR - Extension: No name found = C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki\9.0.2022.121_0\
CHR - Extension: No name found = C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\7.3.16540.9015_0\
CHR - Extension: No name found = C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda\0.0.6.1_0\

Znasz te rozszerzenia w Chrome?

Jeśli nie znasz, to zrobisz to:
Uruchomisz OTL i w oknie Własne opcje skanowania/Skrypt wkleisz to:

:OTL
O8:64bit: - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found
O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found

:Files
C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki
C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl
C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda

:Commands
[emptytemp]

Klikniesz w Wykonaj Skrypt.

[Daman]

Sprawdziłem w opcjach przeglądarki Chrome i dwa rozszerzenia mają ten sam numer wersji co podane przez Ciebie
ścieżki.

CHR - Extension: No name found = C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki\9.0.2022.121_0\

W rozszerzeniach taki sam numer ma avast! Online Security.
Druga ścieżka

CHR - Extension: No name found = C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\7.3.16540.9015_0\

Rozszerzenie Skype Click to Call ma taki sam numer wersji.

CHR - Extension: No name found = C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda\0.0.6.1_0\

Co do trzeciej scieżki to wersja się nie zgadza.
Trzecim rozszerzeniem jest avast! EasyPass

Co radzisz? Zostawić w skrypcie tylko ostatnią ścieżkę? Czy nie ruszać skryptu i odpalić go tak jak podałeś?

[ordynat]

W ogóle nie wykonuj tego Skryptu.
.

[Daman]

Czyli co?
Sprzątanie zakończone?

[ordynat]

Tak.

Autor postu otrzymał pochwałę

[Daman]

Komputer śmiga. Dzięki serdeczne za pomoc.
Można zamknąć temat.