Prośba o sprawdzenie logów

Post09 cze 2013, 09:43

Witam, jestem tu nowy i prosiłbym o pomoc w sprawdzeniu logów. Wygląda na to, że mam od dłuższego czasu problem z malware, do którego używałem MalwareBytes, ale niewiele to dało. Dziękuję z góry za pomoc.

skan z OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników

Post09 cze 2013, 14:04

Witam, jestem tu nowy i prosiłbym o pomoc w sprawdzeniu logów. Wygląda na to, że mam od dłuższego czasu problem z malware, do którego używałem MalwareBytes, ale niewiele to dało. Dziękuję z góry za pomoc.

Pokaż wszelkie logi, jakimi dysponuje Malwarebytes.

"MozillaMaintenanceService" = Mozilla Maintenance Service

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-4252407662-1897227767-1282584475-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{D5E84E9F-6F76-4A7F-9485-ACE08C5873FD}&mid=cc487ca73c2f47d0a370cd0290ead3ba-e68027682211d67d68581a4184cd84b410497d1a&lang=pl&ds=xn011&pr=sa&d=2012-09-29 11:04:09&v=13.0.0.7&sap=hp
IE - HKU\S-1-5-21-4252407662-1897227767-1282584475-1001\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-4252407662-1897227767-1282584475-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{D5E84E9F-6F76-4A7F-9485-ACE08C5873FD}&mid=cc487ca73c2f47d0a370cd0290ead3ba-e68027682211d67d68581a4184cd84b410497d1a&lang=pl&ds=xn011&pr=sa&d=2012-09-29 11:04:09&v=13.0.0.7&sap=dsp&q={searchTerms}
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_169.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKU\S-1-5-19..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-20..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-21-4252407662-1897227767-1282584475-1001..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-21-4252407662-1897227767-1282584475-1002..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WTW.lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O4 - HKLM..\Run: [Adobe] C:\Users\Marcin\AppData\Roaming\Adobe\color.vbe ()
[2013-05-02 12:48:17 | 000,018,816 | ---- | C] (Systweak Inc., (Dostępne tylko dla zarejestrowanych użytkowników)) -- C:\Windows\SysNative\roboot64.exe
[2012-10-01 23:06:17 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\uTorrent
[2012-09-28 21:24:01 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\.wtw
[2013-03-11 17:29:29 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\DriverCure
[2012-10-11 19:33:38 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\DVDVideoSoft
[2012-11-05 19:43:39 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\Dwarfs
[2012-10-16 19:56:30 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\fltk.org
[2012-11-28 00:50:48 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\Free Media Converter
[2012-10-31 14:25:30 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\Mount&Blade Warband
[2012-09-29 20:16:00 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\OpenOffice.org
[2012-11-18 12:36:24 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\Samsung
[2013-03-11 17:29:29 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\SpeedyPC Software
[2013-05-02 12:53:17 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\systweak

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

Post09 cze 2013, 19:35

Post10 cze 2013, 21:12

Malwarebytes.

Wskazuje on na kilkukrotne trojany. OK. Opróżnij jego kwarantannę (naciśnij przycisk Usuń Wszystko).

ADWCleaner.

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-4252407662-1897227767-1282584475-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post10 cze 2013, 22:17

Oto log z usuwania OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Log z Autoruns:
Dostępne tylko dla zarejestrowanych użytkowników

Post11 cze 2013, 20:01

Autoruns.

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
Persistence

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
BCSSync
LogMeIn Hamachi

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
AxAutoMntSrv
MBAMScheduler
MBAMService
Microsoft SharePoint Workspace Audit Service
nvUpdatusService
ose
osppsvc
SkypeUpdate
StarWindServiceAE
WinDefend
WMPNetworkSvc

HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32

vidc.444p
vidc.mvjp
vidc.mpng

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Następnie podajesz nowe logi z OTL.

Post14 cze 2013, 16:58

Witam, w trybie awaryjnym odznaczyłem wszystkie wymienione opcje, oprócz poniższego drzewka (żadne z tych pól nie było widoczne).

HKLM\System\CurrentControlSet\Services

AdobeARMservice
AxAutoMntSrv
MBAMScheduler
MBAMService
Microsoft SharePoint Workspace Audit Service
nvUpdatusService
ose
osppsvc
SkypeUpdate
StarWindServiceAE
WinDefend
WMPNetworkSvc

Nie udało mi się usunąć wszystkich pól, które odznaczyłem.

To jest nowy log z Autoruns:
Dostępne tylko dla zarejestrowanych użytkowników

A tu nowe logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post14 cze 2013, 22:14

psychozaur pisze:Witam, w trybie awaryjnym odznaczyłem wszystkie wymienione opcje, oprócz poniższego drzewka (żadne z tych pól nie było widoczne).

HKLM\System\CurrentControlSet\Services

AdobeARMservice
AxAutoMntSrv
MBAMScheduler
MBAMService
Microsoft SharePoint Workspace Audit Service
nvUpdatusService
ose
osppsvc
SkypeUpdate
StarWindServiceAE
WinDefend
WMPNetworkSvc

Nie udało mi się usunąć wszystkich pól, które odznaczyłem.

To jest nowy log z Autoruns:
Dostępne tylko dla zarejestrowanych użytkowników

A tu nowe logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Log wskazuje, że nawet ich nie odznaczyłeś. Popraw ponownie w trybie awaryjnym.