Laptop mojej dziewczyny, prośba o spr logow

[mateuszKM]

Cześć, wczoraj na laptopie u mojej dziewczyny wpakowała się dziwna wyszukiwarka "delta". Niby ją usunąłem, ale jeśli mógł byś rzucić okiem na logi i dać znać co i jak to był bym wdzięczny:) przeskanowane tddskiller i Malwarebytes. Ten drugi nic nie znalazł a tdds znalazł dwa pliki, które usunął.

Extras: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

tdds znalazł dwa pliki, które usunął.

Jakie?

"Akamai" = Akamai NetSession Interface Service
"McAfee Security Scan" = McAfee Security Scan Plus

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT1098640
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={B1027A51-C99C-4F0A-A65D-A78C27089146}
IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=119370&babsrc=SP_ss&mntrId=b886a0de000000000000701a047ddd8d
IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT1098640
IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={B1027A51-C99C-4F0A-A65D-A78C27089146}
IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF - prefs.js..browser.search.selectedEngine: "Delta Search"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_149.dll File not found
[2013-02-22 10:19:57 | 000,001,294 | ---- | M] () -- C:\Users\Ewelina\AppData\Roaming\mozilla\firefox\profiles\qy4icddn.default\searchplugins\delta.xml
[2013-02-22 10:19:46 | 000,006,484 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1456_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.15.10_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1456_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.15.10_0\
CHR - Extension: No name found = C:\Users\Ewelina\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
O2 - BHO: (no name) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found.
O3 - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O3 - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
[2013-02-24 21:20:29 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins
[2013-02-24 21:20:29 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions
[2013-02-24 21:20:17 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2012-04-12 16:14:38 | 000,000,000 | -H-D | M] -- C:\Users\Ewelina\AppData\Roaming\{D94BA408-F110-488B-A65E-3AE7945F79E6}
[2012-11-28 22:30:46 | 000,000,000 | ---D | M] -- C:\Users\Ewelina\AppData\Roaming\OpenCandy

:Files
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.

[mateuszKM]

Ok oto logi, z tdss też mam.
usuwanie OTL: Dostępne tylko dla zarejestrowanych użytkowników
usuwanie ADW: Dostępne tylko dla zarejestrowanych użytkowników

pierwszy z tdss: Dostępne tylko dla zarejestrowanych użytkowników
i drugi- ten zrobiłem profilatycznie, czy rzeczywiście nić już nie ma. :http://www.wklejto.pl/150757

Nowe logi:
Extras: Dostępne tylko dla zarejestrowanych użytkowników
OTL:http://www.wklejto.pl/150759

[kominekl]

TDSSKiller.

Usunąłeś poprawne rzeczy. Pierwsze usunięte olejemy (i tak to odinstalowaliśmy). Natomiast to drugie to sterownik emulacji napędów. Reinstaluj sobie Go.

ADWCleaner.

Odinstaluj.

OTL.

Nie odinstalowałeś wszystkiego, o co prosiłem (widzę wciąż Akamai).

[mateuszKM]

Z tym Akmai były dwa progr, więc odinstalowałem service jak napisałeś.
Odinstalowałem ADW i resztki akmai.

Dać nowe logi z OTL?

[kominekl]

Z tym Akmai były dwa progr, więc odinstalowałem service jak napisałeś.
Odinstalowałem ADW i resztki akmai.

Dać nowe logi z OTL?

Tak.

[mateuszKM]

Ok, to logi. Z comodo doinstalował się chyba yahoo, więc jak coś to powiedz jak go wyrzucić.

OTL:http://www.wklejto.pl/151079
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\..\SearchScopes\{8EEAC88A-079B-4b2c-80C1-7836F79EB40A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&fr=chr-comodo
IE - HKU\S-1-5-21-192140796-3110088465-2893811763-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-comodo"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-comodo"
FF - prefs.js..browser.search.selectedEngine: "Yahoo"
FF - prefs.js..keyword.URL: "http://pl.search.yahoo.com/search?fr=ytff-comodo&p="

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[mateuszKM]

Logi będą jutro po południu, bo nie mam teraz dostępu do tego laptopa.

Mam tez takie pyt. Czy na tym laptopie, z tych logów co Ci już wysłałem dopatrzyłeś się jakiegoś oprogramowania, które mogło by przechwytywac hasła?
Przyszedł mi mail z pytaniem z allegro o macbooka, którego nie wystawiałem, wszedłem na allegro i miałem zablokowane konto. Napisałem do niech i odpisali mi, że blokadę założyli w związku z nieautoryzowanym wejściem na konto. A ostatnio właśnie u niej wchodziłem na allegro żeby kupić jej jakąś bluzkę i wtedy wszystkop było ok.

[kominekl]

Logi będą jutro po południu, bo nie mam teraz dostępu do tego laptopa.

OK. Czekamy.

Przyszedł mi mail z pytaniem z allegro o macbooka, którego nie wystawiałem, wszedłem na allegro i miałem zablokowane konto. Napisałem do niech i odpisali mi, że blokadę założyli w związku z nieautoryzowanym wejściem na konto. A ostatnio właśnie u niej wchodziłem na allegro żeby kupić jej jakąś bluzkę i wtedy wszystkop było ok.

Nie widać tu niczego takiego.

[mateuszKM]

To najwyżej przeskanuje cały dysk comodo, może gdzies jakieś pliki się czają.

[kominekl]

To najwyżej przeskanuje cały dysk comodo, może gdzies jakieś pliki się czają.

Nie trzeba. My tu jeszcze nie skończyliśmy. Jeszcze zapuścimy tu takie coś .

[mateuszKM]

Małe, ale istnieje też prawdopodobieństwo, że hasło mogło wylecieć z allegro.. przynajmniej czytałem, że wcale dobrze ich nie zabezpieczają.

[kominekl]

Małe, ale istnieje też prawdopodobieństwo, że hasło mogło wylecieć z allegro.. przynajmniej czytałem, że wcale dobrze ich nie zabezpieczają.

To fakt .

[mateuszKM]

ok, a więc:
log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
autoruns:

Kod: Zaznacz cały

http://speedy.sh/xqzQF/AutoRuns.rar