Logi z Combofix i OTL

[dragonek]

kKilka dni temu jakiś cholerny toolbar usuwałem. Na następny dzień moja myszka bezprzewodowa przestała działać (100% nie wina sprzętu). Prosiłbym bym o sprawdzenie logów.
ComboFix : Dostępne tylko dla zarejestrowanych użytkowników
OTL : Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Combofix.

Nie używa się Go ot tak, bo może on spowodować uszkodzenie systemu, bądź... myszki . Wejdź w START -> URUCHOM -> i wklej tam -> "c:\users\Andrzej\Downloads\ComboFix.exe" / uninstall .

OTL.

Log na ustawieniach jakichś mongolskich . Sprawdzę, ale podam link, jak to wykonać poprawnie na samym końcu. Zastosuj się.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchcust.htm
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchasst.htm
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&AF=110004&babsrc=SP_ss&mntrId=606398cf000000000000485b390c9320
IE - HKCU\..\SearchScopes\{ABA9A4FB-F19A-4100-B1D6-7A52B926398F}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKCU\..\SearchScopes\{C5788BB4-46BD-4093-9A80-302E675A87B9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{F6D30A24-86F1-46E2-B4EE-9EDEE1121D78}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=28EF45D7-4834-47EA-AFE9-361FEA674B51&apn_sauid=0AD44791-9D7F-4BCE-B284-FA63E2FAD648
FF - prefs.js..browser.search.defaultenginename: "Search the web"
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=382950"
FF - prefs.js..browser.search.selectedEngine: "Search the web"
FF - prefs.js..extensions.enabledAddons: IplextoALL%40ALLPlayer.org:0.7.0
FF - prefs.js..extensions.enabledAddons: welcome%40toolmin.com:1.03
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.3.0244
FF - user.js..browser.search.selectedEngine: "Search the web"
FF - user.js..browser.search.order.1: "Search the web"
FF - user.js..browser.search.defaultenginename: "Search the web"
FF - user.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_146.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Andrzej\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
[2012-03-03 11:56:22 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\Andrzej\AppData\Roaming\mozilla\Firefox\Profiles\fckln1pl.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}
[2012-11-07 09:30:45 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Andrzej\AppData\Roaming\mozilla\Firefox\Profiles\fckln1pl.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-04-23 09:05:18 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Andrzej\AppData\Roaming\mozilla\Firefox\Profiles\fckln1pl.default\extensions\DTToolbar@toolbarnet.com
[2011-03-30 10:02:17 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Andrzej\AppData\Roaming\mozilla\Firefox\Profiles\fckln1pl.default\extensions\engine@conduit.com
[2012-10-23 06:56:01 | 000,000,000 | ---D | M] (Iplex to ALLPlayer) -- C:\Users\Andrzej\AppData\Roaming\mozilla\Firefox\Profiles\fckln1pl.default\extensions\IplextoALL@ALLPlayer.org
[2012-02-18 13:51:18 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Andrzej\AppData\Roaming\mozilla\Firefox\Profiles\fckln1pl.default\extensions\welcome@toolmin.com
[2012-12-13 08:38:48 | 002,151,598 | ---- | M] () (No name found) -- C:\Users\Andrzej\AppData\Roaming\mozilla\firefox\profiles\fckln1pl.default\extensions\firebug@software.joehewitt.com.xpi
[2012-08-30 14:22:37 | 000,010,043 | ---- | M] () (No name found) -- C:\Users\Andrzej\AppData\Roaming\mozilla\firefox\profiles\fckln1pl.default\extensions\IplextoALL@ALLPlayer.org.xpi
[2011-11-09 11:29:33 | 000,042,737 | ---- | M] () (No name found) -- C:\Users\Andrzej\AppData\Roaming\mozilla\firefox\profiles\fckln1pl.default\extensions\{aff87fa2-a58e-4edd-b852-0a20203c1e17}.xpi
[2012-11-23 15:25:16 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\Andrzej\AppData\Roaming\mozilla\firefox\profiles\fckln1pl.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012-09-02 22:25:33 | 000,002,299 | ---- | M] () -- C:\Users\Andrzej\AppData\Roaming\mozilla\firefox\profiles\fckln1pl.default\searchplugins\askcom.xml
[2013-01-18 21:46:47 | 000,000,000 | ---D | M] (Default) -- C:\Program Files (x86)\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[2012-03-03 11:55:40 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012-02-18 13:51:18 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src
[2011-08-16 14:11:18 | 000,000,846 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo.xml
CHR - Extension: No name found = C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\
CHR - Extension: No name found = C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR - Extension: No name found = C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\
CHR - Extension: No name found = C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\
CHR - Extension: No name found = C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\.bak
CHR - Extension: No name found = C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm\2.1.2.145_0\
CHR - Extension: No name found = C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojdnkckpgeiemdhidiblkldicbnilipn\1.1.10_1\
CHR - Extension: No name found = C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html ()
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html ()
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.4.0)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.4.0)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.4.1)
[2013-01-27 23:49:19 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-01-27 23:29:34 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013-01-27 23:28:49 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013-01-23 20:13:54 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2011-08-10 22:35:21 | 000,000,000 | ---D | C] -- C:\353c1ee3b55c49d33c684c0944c0
[2011-05-07 16:54:22 | 000,000,000 | ---D | C] -- C:\tmp
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:A724744F
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:BC359956
@Alternate Data Stream - 112 bytes -> C:\ProgramData\Temp:D1B5B4F1
@Alternate Data Stream - 100 bytes -> C:\ProgramData\Temp:0E08FC17

:Files
C:\Program Files (x86)\Google\Update
C:\Users\Andrzej\AppData\LocalLow\Unity
c:\users\Default\AppData\Local\temp
c:\windows\Tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner ( z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL (oba) -> http://hotfix.pl/articles.php?article_id=143.

[dragonek]

Z ComboFix'a korzystałem już znacznie wcześniej (przydał mi się przy ciężkiej infekcji). Rzeczywiście zapomniałem skonfigurować OTL'a.
Zapomniałem o tym logu z OTL po czyszczeniu ale nie było tam żadnych podejrzanych wpisów.
Log z OTL : Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSSKiller : Dostępne tylko dla zarejestrowanych użytkowników (sptd.sys jak dobrze się orientuje to plik potrzeby do utworzenia wirtualnych napędów)
Log z ADWCleaner : Dostępne tylko dla zarejestrowanych użytkowników
I z opcją Delete :http://www.wklej.eu/index.php?id=b767d1d547

Ps: Dziękuje za sprawdzenie logów (: znam się trochę na tym ale wolę skorzystać z porady osób bardziej doświadczonych ode mnie.

[kominekl]

Z ComboFix'a korzystałem już znacznie wcześniej (przydał mi się przy ciężkiej infekcji).

OK. Zrób to, o co prosiłem.

(sptd.sys jak dobrze się orientuje to plik potrzeby do utworzenia wirtualnych napędów)

Tak - sugerowana akcja to SKIP.

Ps: Dziękuje za sprawdzenie logów (: znam się trochę na tym ale wolę skorzystać z porady osób bardziej doświadczonych ode mnie.

Dość słusznie .

ADWCleaner.

Uninstall .

Logi.

Nowe logi z OTL miały być podane po ADWCleaner. Podaj teraz nowe logi - sytuacja się zmienia.