Podniesienie się po ataku wirusa

Post02 maja 2013, 16:10

Witajcie,
Dzisiaj zaatakował mnie wirus podszywający się pod policję, udało mi się zniwelować jego efekty poprzez cofnięcie zmian do poprzedniej aktualizacji, która nastąpiła 2 dni temu. Jednak komputer zaczął lekko się ciąć, więc proszę was o spojrzenie na moje logi i udzieleniu pomocy w walce z wirusami i błędami systemu.

PS. Możliwe że pozostałości po wcześniejszych wirusach coś namieszały

LOGI:
Dostępne tylko dla zarejestrowanych użytkowników(pełny)
Dostępne tylko dla zarejestrowanych użytkowników (świeży, 1 dzień modyfikacji)

Post02 maja 2013, 18:11

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE - HKU\S-1-5-21-3707990640-2770481204-47167217-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3707990640-2770481204-47167217-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3707990640-2770481204-47167217-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3707990640-2770481204-47167217-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników [binary data]
IE - HKU\S-1-5-21-3707990640-2770481204-47167217-1001\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-3707990640-2770481204-47167217-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
FF - prefs.js..extensions.enabledAddons: battlefieldheroespatcher%40ea.com:5.0.203.0
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_169.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Zachu\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Program Files (x86)\Common Files\McAfee\SystemCore
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK
[2013-03-29 14:01:39 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Users\Zachu\AppData\Roaming\Mozilla\Firefox\Profiles\uw5s53tv.default-1361726173985\extensions\battlefieldheroespatcher@ea.com
[2013-04-30 16:03:37 | 000,001,911 | ---- | M] () -- C:\Users\Zachu\AppData\Roaming\Mozilla\Firefox\Profiles\uw5s53tv.default-1361726173985\searchplugins\animelyricscom.xml
O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll File not found
O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121012122227.dll File not found
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121012122228.dll File not found
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3707990640-2770481204-47167217-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-3707990640-2770481204-47167217-1000..\Run: [Power2GoExpress] NA File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-3707990640-2770481204-47167217-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html File not found
O8 - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html File not found
O15 - HKU\S-1-5-21-3707990640-2770481204-47167217-1001\..Trusted Domains: samsungsetup.com ([www] http in Zaufane witryny)
[2013-05-02 15:10:12 | 000,576,192 | ---- | C] (Sysinternals - Dostępne tylko dla zarejestrowanych użytkowników) -- C:\Users\Zachu\Desktop\autorunsc.exe
[2013-05-02 15:10:11 | 000,657,600 | ---- | C] (Sysinternals - Dostępne tylko dla zarejestrowanych użytkowników) -- C:\Users\Zachu\Desktop\autoruns.exe
[2012-11-11 18:53:55 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\BitComet
[2012-09-23 21:59:30 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\BSplayer
[2012-09-23 00:44:46 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\BSplayer Pro
[2012-10-09 22:54:28 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\DAEMON Tools Lite
[2012-11-14 14:58:23 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\Downloaded Installations
[2012-09-27 20:57:51 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\LolClient
[2012-11-04 01:15:35 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\Mumble
[2012-10-23 22:14:00 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\TP
[2012-10-09 00:14:52 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\Unity
[2012-11-02 16:20:18 | 000,000,000 | ---D | M] -- C:\Users\Zachu\AppData\Roaming\wargaming.net

:Services
gupdate
gupdatem

:Files
C:\Windows\tasks\*.*
C:\Program Files (x86)\Google\Update

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z TDSSKiller + nowe logi z OTL (oba! - wykonane dokładnie w ten sposób).

Post02 maja 2013, 19:39

Log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
Log TDSSKiller: Dostępne tylko dla zarejestrowanych użytkowników
Log OTL: Dostępne tylko dla zarejestrowanych użytkowników
Log Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post02 maja 2013, 20:38

"Lenovo EE Boot Optimizer" = Lenovo EE Boot Optimizer
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"InstallShield_{F07C2CF8-4C53-4EC3-8162-A6221E36EB88}" = UserGuide
"UnityWebPlayer" = Unity Web Player
"VeriFace" = VeriFace

Odinstaluj. Następnie użyj Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
[2013-05-02 19:08:53 | 002,237,968 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Zachu\Desktop\TDSSKiller.exe
[2013-04-27 09:50:11 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-03-17 16:52:14 | 000,049,518 | ---- | M] () -- C:\Users\Zachu\Desktop\autoruns.chm
[2013-02-11 18:51:50 | 002,237,968 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\Zachu\Desktop\TDSSKiller.exe

:Files
C:\Windows\tasks\*.*
C:\found.*
$Recycle.Bin /alldrives

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.