Proszę o sprawdzenie logów

[Devorious88]

Witam. Tak jak w temacie, proszę o sprawdzenie logów i ewentualną pomoc w zwalczeniu infekcji.

OTL:
OTL.Txt - http://wklej.org/id/773794/
Extras.Txt - http://wklej.org/id/773795/

GMER:
http://wklej.org/id/773811/

Pozdrawiam i dziękuje za pomoc;)

[mateo8898]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000 File not found
O33 - MountPoints2\{5d85769e-009d-11e1-9172-001a4d274b1f}\Shell\AutoRun\command - "" = K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
O33 - MountPoints2\{5d85769e-009d-11e1-9172-001a4d274b1f}\Shell\open\command - "" = K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"=-
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[Devorious88]

Log z usuwania:
http://wklej.org/id/773847/

Nowe logi z OTL:
Extras.txt - http://wklej.org/id/773855/
OTl.txt - http://wklej.org/id/773856/

Można wiedzieć czy to był jakiś syf, czy po prostu resztki po jakichś programach/nic nie znaczącego?
Dziękuje.

[mateo8898]

Puste wpisy i ślad po tym, że była podpinana zainfekowana pamięć przenośna.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Zainstaluj jakiegoś antywira.

[Devorious88]

Log z usuwania zainfekowanych plików z programu Malwarebytes:
http://wklej.org/id/773926/

[mateo8898]

OK, opróżnij kwarantannę i wykonaj pozostałe kroki.

[Devorious88]

Ok, zrobione. Dziękuje za pomoc.

[Szosti]

Podłączam się pod temat, proszę o sprawdzenie:
http://www.wklej.eu/index.php?id=d487ce50b2
http://www.wklej.eu/index.php?id=f2cd03d508

Dziękuje

[kominekl]

Odinstaluj Ad-Aware Antivirus (masz Avira`e) i SpyBot (staroć).

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default Download Directory = D:\
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 10.4.1)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 10.4.1)
O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - Reg Error: Key error. File not found
O28:64bit: - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
@Alternate Data Stream - 105 bytes C:\ProgramData\TEMP:5C321E34

:Files
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\ComboFix
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
C:\Users\ALF\Desktop\spybotsd162.exe
C:\Users\ALF\AppData\Local\adaware
C:\ProgramData\Ad-Aware Browsing Protection
C:\Program Files (x86)\Ad-Aware Antivirus
C:\Users\ALF\AppData\Roaming\Ad-Aware Antivirus
C:\ProgramData\TEMP
C:\Windows\tasks\*.job
C:\Windows\SysNative\drivers\lvuvc.hs
C:\Users\ALF\Application Data\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk
C:\Users\ALF\Desktop\ProcessMonitor.zip

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 + log z Autoruns otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589 + log z Combofix`a widzę, że był tu użyty - nie uruchamiaj Go tylko podaj log z wtedy, gdy Go użyłeś).

[Szosti]

OTL:
http://wklej.org/id/774224/
http://wklej.org/id/774225/

TDS
http://wklej.org/id/774228/

Autostarts
http://www18.zippyshare.com/v/15570509/file.html

Oczywiście jak sie pewnie domyślasz zlapałem jakiegos syfa, który ustawil mi na strone startową w FF webalta.ru i nie idzie się tego pozbyc poki co, apróbowałem juz wielu sposobow. Mam nadzieję, że gdzies tutaj się gnieździ i uda się go wylapac i wywalic.

[kominekl]

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy RtHDVCpl, AMD AVT, ApnUpdater, ArcSoft Connection Service, ATICustomerCare , StartCCC, Microsoft Windows, Microsoft Windows, DAEMON Tools Lite, Windows Live ID Sign-in Helper, Adobe PDF Link Helper, Ask Toolbar, Java(tm) Plug-In 2 SSV Helper, Java(tm) Plug-In SSV Helper, Skype Browser Helper, Windows Live ID Sign-in Helper, Ask Toolbar, Task Scheduler, AdobeARMservice, SkypeUpdate, WinDefend, catchme, Lavasoft Kernexplorer, MEMSWEEP2, SAVRKBootTasks, Synth3dVsc, tsusbhub, ULCDRHlp, usbbus, UsbDiag, USBModem, VGPU i Epson Inbox Language.

Następnie odinstaluj Ask Toolbar.

Następnie pobierz Combofix (nie uruchamiaj Go) na pulpit http://download.instalki.pl/programy/Wi ... mboFix.exe. Następnie wejdź w START URUCHOM i wklej tam "C:\Users\Public\Desktop\Combofix.exe" /uninstall .

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Webalta Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..keyword.URL: "http://webalta.ru/search?from=FF&q="

:Files
C:\Users\ALF\Desktop\tdsskiller.exe
C:\Windows\temp
$RECYCLE.BIN /alldrives
C:\ProgramData\HitmanPro
C:\Users\ALF\Desktop\HitmanPro36_x64.exe
C:\Program Files (x86)\Ask.com
C:\Users\ALF\Desktop\Autoruns.zip
C:\Program Files (x86)\uik.dat
C:\Program Files (x86)\is.dat

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Szosti]

http://wklej.org/id/774260/
http://wklej.org/id/774356/
http://wklej.org/id/774357/

Jak wpisuje ten adres "C:\Users\Public\Desktop\Combofix.exe" /uninstall To nie znajduje nic takiego. Jak wpisuje swoje nazwy, wtedy normalnie uruchamia OTL, tak ma byc?

[kominekl]

Wklej tam zamiast "C:\Users\Public\Desktop\Combofix.exe" /uninstall to "C:\Users\ALF\Desktop\ComboFix.exe" /uninstall . Następnie podaj nowe logi z OTL.

[Szosti]

http://wklej.org/id/774415/
http://wklej.org/id/774416/

[kominekl]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Files
C:\Windows\TEMP
C:\Users\ALF\Desktop\Autoruns
C:\Users\ALF\Desktop\AutoRuns.arn
$RECYCLE.BIN /alldrives

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"=-

:Commands
[resethosts]
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.