Zainfekowany dysk który jest podłączony do laptopa

[dre4merOn]

Objawy zainfekowania:
W zwykłym trybie windows xp krzaczy się i nie działa stabilnie. W trybie awaryjnym komputer działa bez problemowo.
Wykonywane działania:
Dysk skanowałem Esen Internet Security

Logi:
Jeśli chodzi o logi to jak je umieścić? Pytam bo dysk jest podłączony do laptopa przez przejściówkę. Czy mimo to przeskanować cały komputer?

[tachion]

Jeśli nie ma możliwości w normalnym trybie to przeskanuj w awaryjnym,wchodząc przez właściwe konto użytkownika.
Zapodaj logi z FRST.txt + Addition.txt + OTL

Zawsze można skorzystać też z konsoli odzyskiwania Windows XP

[Aby zobaczyć linki, zarejestruj się tutaj]

[dre4merOn]

[Aby zobaczyć linki, zarejestruj się tutaj]

frst

[Aby zobaczyć linki, zarejestruj się tutaj]

addition

[Aby zobaczyć linki, zarejestruj się tutaj]

otl

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

() C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Avg_Update_0614t\AVG-Secure-Search-Update_0614t.exe
(S p i g o t, I n c.) C:\Documents and Settings\PIOTR\Dane aplikacji\Search Protection\SearchProtection.exe
HKU\S-1-5-21-776561741-630328440-842925246-1003\...\Run: [SearchProtection] => C:\Documents and Settings\PIOTR\Dane aplikacji\Search Protection\SearchProtection.EXE [1109352 2014-08-22] (S p i g o t, I n c.)
HKU\S-1-5-21-776561741-630328440-842925246-1003\...\Run: [Browser Extensions] => C:\Documents and Settings\PIOTR\Dane aplikacji\Browser Extensions\CouponsHelper.exe [968040 2014-08-12] (S p i g o t, I n c .)
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140823
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140823
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {0E5A240C-5A74-4BAC-B746-456A5D98D582} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=201117&p={searchTerms}
SearchScopes: HKCU - {0E5A240C-5A74-4BAC-B746-456A5D98D582} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=201117&p={searchTerms}
BHO: Browser Extensions -> {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} -> C:\Documents and Settings\PIOTR\Dane aplikacji\Browser Extensions\Coupons.dll (S p i g o t, I n c .)
FF Keyword.URL: https://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=201117&p=
FF SearchPlugin: C:\Documents and Settings\PIOTR\Dane aplikacji\Mozilla\Firefox\Profiles\g7qqyuwn.default\searchplugins\yahoo_ff.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazon-en-GB.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\chambers-en-GB.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-en-GB.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-en-GB.xml
S2 vToolbarUpdater18.1.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.0\ToolbarUpdater.exe [X]
S3 catchme; \??\C:\DOCUME~1\ADMINI~1.PI~\USTAWI~1\Temp\catchme.sys [X]
S3 GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS [X]
S3 MSICPL; \??\F:\install4\MSICPL.sys [X]
S3 NTACCESS; \??\F:\NTACCESS.sys [X]
S3 SetupNTGLM7X; \??\F:\NTGLM7X.sys [X]
C:\Documents and Settings\PIOTR\Dane aplikacji\Search Protection
C:\Documents and Settings\PIOTR\Dane aplikacji\Browser Extensions
C:\AdwCleaner
C:\rsit
C:\Program Files\trend micro
C:\Qoobox
C:\cmdcons
C:\cmldr
C:\Documents and Settings\Administrator.PIOTREK\Dane aplikacji\TuneUp Software
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Avg_Update_0614t
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Avg_Update_0614t
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_0614t.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Avg_Update_0614t\AVG-Secure-Search-Update_0614t.exe
Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_0614t_DELETE.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Avg_Update_0614t\AVG-Secure-Search-Update_0614t.exe
Task: C:\WINDOWS\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-776561741-630328440-842925246-1003.job => C:\Program Files\RealNetworks\RealDownloader\recordingmanager.exe
Task: C:\WINDOWS\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-776561741-630328440-842925246-1003.job => C:\Program Files\RealNetworks\RealDownloader\realupgrade.exe
Task: C:\WINDOWS\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-776561741-630328440-842925246-1003.job => C:\Program Files\RealNetworks\RealDownloader\realupgrade.exe
Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-776561741-630328440-842925246-1003.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe
Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-776561741-630328440-842925246-1003.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Browser Extensions
Search Protection

Google Chrome
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
Ustawienia > karta Ustawienia > Wyszukiwanie przestaw na Google

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt