Usunięcie keyloggera

[Uma]

Prosze o pomoc z usunięciem keyloggera.

Malwarebytes Anti-Malware http://wklej.org/id/778618/ usunąłem to wszystko ale nie wiem czy to pomogło
Więc zwracam się z prośbą o pomoc
Logi
OLT.Txt http://wklej.org/id/778609/
Extras.Txt http://wklej.org/id/778610/

Gmer: http://wklej.org/id/778619/

Olt przeskanował mi tylko jeden dysk jak zrobić żeby ze skanował 2 ?

Pozdrawiam

[mateo8898]

Nie wykonano akcji

Myślę, że usunąłeś to co znalazł. Opróżnij także kwarantannę.

Odinstaluj: Babylon toolbar, Browsers Protector, facemoods, Softonic toolbar, McAfee Security Scan, Spybot - Search & Destroy (staroć). Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Unknown] -- E:\Users\MIOSZ~1\AppData\Local\Temp\ugrdrpow.sys -- (ugrdrpow)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Users\MIOSZ~1\AppData\Local\Temp\catchme.sys -- (catchme)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKU\S-1-5-21-1849104110-1515495091-584539829-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=925b3c50-7840-11e1-b305-001e8c1fbd90
IE - HKU\S-1-5-21-1849104110-1515495091-584539829-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=925b3c50-7840-11e1-b305-001e8c1fbd90&q={searchTerms}
IE - HKU\S-1-5-21-1849104110-1515495091-584539829-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKU\S-1-5-21-1849104110-1515495091-584539829-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112042&tt=100512_2_&babsrc=SP_ss_cr&mntrId=58736df8000000000000001e8c1fbd90
IE - HKU\S-1-5-21-1849104110-1515495091-584539829-1001\..\SearchScopes\{68D12D31-28A1-4C49-8F46-E0AE05F6D800}: "URL" = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=
IE - HKU\S-1-5-21-1849104110-1515495091-584539829-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={080CBF61-032A-4AAE-88A6-C03571A369EC}&mid=adf5650184ac47d0bf5dd157cafb5463-04c4ddf8cbe4e70caea594b9780a4e9a48ae1421&lang=pl&ds=gm011&pr=sa&d=2012-04-30 09:24:31&v=11.0.0.9&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1849104110-1515495091-584539829-1003\..\SearchScopes\{68D12D31-28A1-4C49-8F46-E0AE05F6D800}: "URL" = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=925b3c50-7840-11e1-b305-001e8c1fbd90&q="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2012-06-15 21:50:22 | 000,000,000 | ---D | M] (Facemoods) -- E:\Users\Miłosz\AppData\Roaming\mozilla\Firefox\Profiles\ouhlmnvg.default\extensions\[email protected]
[2012-03-27 23:50:57 | 000,000,000 | ---D | M] (Softonic Toolbar) -- E:\Users\Miłosz\AppData\Roaming\mozilla\Firefox\Profiles\ouhlmnvg.default\extensions\[email protected]
[2012-04-30 09:24:29 | 000,003,749 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-05-17 18:35:27 | 000,002,352 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
O2 - BHO: (no name) - {1185823F-F22F-4027-80E5-4F68ACD5DE5E} - No CLSID value found.
O2 - BHO: (no name) - {cd25552a-c498-0ec5-07bd-850bb05a9636} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-1849104110-1515495091-584539829-1003..\RunOnce: [FlashPlayerUpdate] E:\Windows\system32\Macromed\Flash\FlashUtil11c_Plugin.exe -update plugin File not found

:Files
E:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2YourFace_Updater.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"=-
"JMB36X IDE Setup"=-
"NeroFilterCheck"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Facebook Update"=-
"EA Core"=-
"Twoje TVN24"=-
"EA Core"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[Uma]

log z usuwania
http://wklej.org/id/778777/
nowe logi z OTL.txt
http://wklej.org/id/778790/
Extras.Txt
http://wklej.org/id/778791/

[Uma]

mam pytanie ty blokujesz te pliki czy usuwasz keyloggera ? Bo włączyłem Ventrilo i jakby się od nowa zainstalowało ..

[mateo8898]

Usuwam tylko puste i zbędne wpisy (śmieciarskie strony startowe itp), infekcja została usunięta przez Malwarebytes. A jeśli chodzi o Ventrilo to nic z nim związane nie zostało ruszone.

W OTL wklej:

:OTL
O3 - HKU\S-1-5-21-1849104110-1515495091-584539829-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKU\S-1-5-21-1849104110-1515495091-584539829-1001..\Run: [SpybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe File not found

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... rer_9.html

Odinstaluj stare wersje Javy:

Java(TM) 6 Update 29
Java(TM) 7 Update 4

i zainstaluj najnowszą Javę