Prośba o sprawdzenie logów.

[simon1590]

Witam od jakiegoś czasu Antywirus na każdej stronie wykrywa zagrożenie. Prosiłbym o analizę logów .

OTL Dostępne tylko dla zarejestrowanych użytkowników
Extras Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"Browsers Protector" = Browsers Protector
"Complitly_is1" = Complitly
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater

Odinstaluj. Następnie użyj Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\amdiox86.sys -- (amdiox86)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{2150A21A-9481-4696-A64A-D7F7D5905E2B}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\..\SearchScopes\{2150A21A-9481-4696-A64A-D7F7D5905E2B}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\..\SearchScopes\{237098EB-EDC1-45D7-8D99-A2E5AA272CE9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=8C55F409-BD0A-42B9-8F9A-249C205174BA&apn_sauid=8C3D8316-C423-40B0-9890-79F17EC6240C
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\..\SearchScopes\{950D09A9-4D3B-4514-80B1-D852F01974AE}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&AF=110000&tt=090212_ctrl&babsrc=SP_ss&mntrId=9cec794e000000000000001a4d763d23
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.useDBForOrder: "false"
FF - prefs.js..extensions.enabledAddons: TG0qs1wc4sX1GicAhyo%40YE83DYe.com:11
FF - prefs.js..extensions.enabledAddons: Kbeu4h0z%40yNb7QAz7jrYKiiTQ3.com:11
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
[2013-02-05 00:18:17 | 000,003,694 | ---- | M] () (No name found) -- C:\Users\Tomek\AppData\Roaming\mozilla\firefox\profiles\6e4d4sqp.default\extensions\Kbeu4h0z@yNb7QAz7jrYKiiTQ3.com.xpi
[2013-01-06 22:12:03 | 000,003,257 | ---- | M] () (No name found) -- C:\Users\Tomek\AppData\Roaming\mozilla\firefox\profiles\6e4d4sqp.default\extensions\TG0qs1wc4sX1GicAhyo@YE83DYe.com.xpi
[2013-02-14 20:40:44 | 000,817,280 | ---- | M] () (No name found) -- C:\Users\Tomek\AppData\Roaming\mozilla\firefox\profiles\6e4d4sqp.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013-02-05 00:26:36 | 000,002,308 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\mozilla\firefox\profiles\6e4d4sqp.default\searchplugins\askcom.xml
[2013-03-08 11:32:46 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{3172e755-eaa8-9d75-eccb-70454cd86a1d}
[2012-02-16 21:03:16 | 000,002,351 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
CHR - Extension: Ask Toolbar = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaojmikegpiepcfdkkjaplodkpfmlo\7.15.14.33467_0\
CHR - Extension: StartSearch Video plug-in = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\
CHR - Extension: Complitly plugin for chrome = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.1_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: LiveVDO plugin = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\
CHR - Extension: Ask Toolbar = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaojmikegpiepcfdkkjaplodkpfmlo\7.15.14.33467_0\
CHR - Extension: StartSearch Video plug-in = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\
CHR - Extension: Complitly plugin for chrome = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.1_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: LiveVDO plugin = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\
O3 - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
[2013-03-15 14:23:11 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-03-15 14:06:45 | 000,000,000 | ---D | C] -- C:\Program Files\Trend Micro
[2012-02-16 21:03:15 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\Babylon
[2013-03-15 14:11:24 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\Complitly
[2013-01-07 15:28:53 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\OpenCandy
[2013-01-07 15:30:35 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\TuneUp Software

:Files
C:\Windows\tasks\*.*
C:\Windows\System32\13f3d2c0.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL (wykonane, tak, jak w linku).

[simon1590]

Log z usuwania Dostępne tylko dla zarejestrowanych użytkowników
Log z ADW Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSS Dostępne tylko dla zarejestrowanych użytkowników
log z OTL Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Spybot - Search & Destroy

Odinstaluj.

ADWCleaner.

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SDWSCService)
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SDUpdateService)
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SDScannerService)
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1399092130-2226254616-466141619-1001\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
[2013-03-16 17:14:07 | 000,663,552 | ---- | C] (ESET) -- C:\Users\Tomek\Desktop\ESETUninstaller.exe
[2013-03-16 15:16:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013-03-16 15:16:40 | 000,015,224 | ---- | C] (Safer Networking Limited) -- C:\Windows\System32\sdnclean.exe
[2013-03-16 15:16:33 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy 2

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.