Prośba o sprawdzenie logów - wirus na fb rozsyłający spam

Post13 wrz 2013, 14:33

Witam,
Dałem sie złapać wirusowi, który rozsyła spam w pm na fb.
Avast nic nie wykrył, Malwarebytes wykrylo kilkanascie zagrożen, wiekszosc w appdata, usunalem już. W razie czego moge dać raporty z tego. Poprostu spanikowalem i zrobilem skany tym co pod ręką

w każdym razie
Oto logi:
OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Extras:
Dostępne tylko dla zarejestrowanych użytkowników
Może Malwarebytes pomogło, jednak nie chcę ryzykować. Bardzo uprzejmie proszę o sprawdzenie logów

Pozdrawiam

PS. dodam jeszcze ze przy odpalaniu Chrome'a zawiesza mi sie komputer (od tej pory oczywiscie) , FF dziala bez zarzutu

Post13 wrz 2013, 14:38

Czekaj cierpliwie za odpowiedzią specjalistów z tego działu.
Mogą być dopiero na wieczór, pracują i się uczą.
Jak wrócą to na pewno pomogą

Post13 wrz 2013, 14:44

czekam cierpliwie, chociaż boje sie o swoje dane, bo z tego co piszą w necie ten wirus ma na celu ich wyłudzanie. nie mniej jednak dziekuje za zainteresowanie

Post13 wrz 2013, 21:13

Malwarebytes wykrylo kilkanascie zagrożen, wiekszosc w appdata, usunalem już.

Masz jakiś skan z tego usuwania?

"MozillaMaintenanceService" = Mozilla Maintenance Service
"{FE77909E-B782-4554-A92A-4D887CEF0ACC}_is1" = ALLMediaServer
"Zune" = Zune (jeśli nie używasz)

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2618378051-2944415511-2799995395-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2618378051-2944415511-2799995395-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2618378051-2944415511-2799995395-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKU\S-1-5-21-2618378051-2944415511-2799995395-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=119816&babsrc=SP_ss&mntrId=a067f4980000000000001c4bd61bac61
FF - prefs.js..browser.startup.homepage: "http://www.gazeta.pl/0,0.html?p=143"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_168.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
[2013-02-26 23:23:18 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\dmnd\AppData\Roaming\mozilla\Firefox\Profiles\ju309biq.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593}
[2013-05-15 20:18:35 | 000,000,000 | ---D | M] (Iplex to ALLPlayer) -- C:\Users\dmnd\AppData\Roaming\mozilla\Firefox\Profiles\ju309biq.default\extensions\IplextoALL@ALLPlayer.org
[2013-06-14 10:42:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\dmnd\AppData\Roaming\mozilla\Firefox\Profiles\ju309biq.default\extensions\staged
[2013-02-26 23:23:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\dmnd\AppData\Roaming\mozilla\Firefox\Profiles\wsn75w2h.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2013-02-26 23:23:27 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\dmnd\AppData\Roaming\mozilla\Firefox\Profiles\wsn75w2h.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2013-02-26 23:23:21 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\dmnd\AppData\Roaming\mozilla\Firefox\Profiles\pufqo070.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011-06-24 21:20:09 | 000,010,043 | ---- | M] () (No name found) -- C:\Users\dmnd\AppData\Roaming\mozilla\firefox\profiles\ju309biq.default\extensions\IplextoALL@ALLPlayer.org.xpi
[2012-02-16 21:45:17 | 000,020,591 | ---- | M] () (No name found) -- C:\Users\dmnd\AppData\Roaming\mozilla\firefox\profiles\ju309biq.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi
[2013-01-07 13:04:44 | 000,269,905 | ---- | M] () (No name found) -- C:\Users\dmnd\AppData\Roaming\mozilla\firefox\profiles\ju309biq.default\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi
[2013-06-14 10:42:29 | 000,870,680 | ---- | M] () (No name found) -- C:\Users\dmnd\AppData\Roaming\mozilla\firefox\profiles\ju309biq.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013-06-14 10:42:28 | 000,282,569 | ---- | M] () (No name found) -- C:\Users\dmnd\AppData\Roaming\mozilla\firefox\profiles\ju309biq.default\extensions\staged\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi
[2013-03-04 17:43:40 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions\ffxtlbr@babylon.com
[2013-06-14 11:37:38 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\updated\extensions\ffxtlbr@babylon.com
[2013-03-04 17:43:34 | 000,006,484 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O4 - HKU\S-1-5-21-2618378051-2944415511-2799995395-1000..\Run: [] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\dmnd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\trz12F3.tmp (Solar)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2013-08-16 23:13:08 | 000,000,000 | -HSD | C] -- C:\ProgramData\DSS
[2013-08-22 17:28:32 | 000,000,000 | ---D | C] -- C:\ProgramData\StarApp
[2013-08-22 17:26:08 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
[2013-02-26 23:22:11 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Asus WebStorage
[2013-02-26 23:20:45 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\EeeStorageUploader
[2013-02-26 23:20:52 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\GlarySoft
[2013-02-26 23:22:02 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Uniblue

:Services
gupdate
gupdatem

:Files
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Scan, a potem Clean) + nowe logi z OTL.

Post14 wrz 2013, 18:55

Logi z Malwarebytes:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Potem robiłem jeszcze 2 skany, nic nie wykryło.
Usunalem Mozilla Maintenance Service i ALLMediaServer, zune używam ale jesli trzeba też usune.

Log z usuwania w OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Logi z ADW - Scan:
Dostępne tylko dla zarejestrowanych użytkowników

Logi z ADW - Clean:
Dostępne tylko dla zarejestrowanych użytkowników

Logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Extras:
Dostępne tylko dla zarejestrowanych użytkowników

PS. Caly czas to samo z Chromem sie dzieje. Używam FF przez caly dzien i spokoj, włącze chrome - po 2 sekundach laptop sie wiesza.

Post15 wrz 2013, 09:05

Upłynęło: 19 minut(y), 26 sekund(y) [anulowane]

Nie potrzebne anulowanie

.

ADWCleaner.

Naciśnij w Nim przycisk Uninstall.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
[2013-09-13 21:48:51 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-09-08 23:43:58 | 000,075,685 | ---- | M] () -- C:\Users\dmnd\Documents\ts3_clientui-win64-1375773286-2013-09-08 23_43_48.200140.dmp
[2013-08-28 22:56:31 | 000,002,967 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Ginger.lnk
[2013-02-26 23:21:13 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\PC_Drivers_Headquarters

:Files
C:\ProgramData\InstallMate
C:\Users\dmnd\AppData\Local\Temp

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post15 wrz 2013, 10:16

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników
Logi z Autoruns:
Dostępne tylko dla zarejestrowanych użytkowników

Post15 wrz 2013, 12:52

Autoruns.

W Dostępne tylko dla zarejestrowanych użytkowników (jeśli czegoś nie znajdziesz, bądź nie będzie chciało pójść to spróbuj w trybie normalnym, jeśli nadal nie będzie chciało pójść to tylko odznacz), w Autoruns usuń następujące wpisy (co nie będzie dało się usunąć to po prostu odznacz):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
Persistence
RtHDVCpl
Zune Launcher

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
ATKMEDIA
ATKOSD2
HControlUser
NSU_agent
SunJavaUpdateSched

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Wszystko.

C:\Users\dmnd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
AdobeFlashPlayerUpdateSvc
ATKGFNEXSrv
btwdins (tylko odznacz)
DokanMounter
GingerUpdateService
nvsvc
nvUpdatusService
ose64
osppsvc
OverwolfUpdaterService
PnkBstrA
ServiceLayer
SkypeUpdate
Steam Client Service (tylko odznacz)
WinDefend
WMPNetworkSvc
WMZuneComm
ZuneNetworkSvc (tylko odznacz)
ZuneWlanCfgSvc (tylko odznacz)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Następnie podajesz nowe logi z OTL.

Post15 wrz 2013, 13:40

Wszystko poszło gładko oprócz jednej pozycji

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
Wszystko.

jest tam jedna pozycja tylko, ani usunac ani odznaczyc sie nie da. Pisze, ze nie mozna odnalezc pliku.

Logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Post15 wrz 2013, 13:50

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2013-09-15 10:12:22 | 000,000,000 | ---D | C] -- C:\Users\dmnd\Desktop\Autoruns
[2013-09-15 10:09:44 | 000,000,000 | ---D | C] -- C:\Users\dmnd\AppData\Local\Temp
[2013-09-15 10:15:15 | 000,064,691 | ---- | M] () -- C:\Users\dmnd\Desktop\AutoRuns.rar
[2013-09-15 10:14:54 | 002,841,852 | ---- | M] () -- C:\Users\dmnd\Desktop\AutoRuns.arn
[2013-02-26 23:22:02 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\ts3overlay
[2013-02-27 10:17:36 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\ts3overlay_hook_win64
[2013-02-26 23:22:02 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Ubisoft
[2013-02-26 23:20:52 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Happy Computer
[2013-02-26 23:20:52 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\ICQ
[2013-03-26 19:36:30 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\IrfanView
[2013-02-26 23:20:53 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Last.fm
[2013-02-26 23:21:11 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Leadertech
[2013-02-26 23:21:11 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\LolClient
[2013-02-26 23:21:12 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Mp3tag
[2013-07-08 00:08:32 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Mumble
[2013-02-26 23:21:12 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\NapiProjekt
[2013-06-04 21:16:57 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Netscape
[2013-05-11 01:12:10 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Nokia
[2013-06-01 13:46:08 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\olt1
[2013-02-26 23:21:12 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Oxford
[2013-02-26 23:21:13 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\PC Suite
[2013-02-26 23:21:13 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\PunkBuster
[2013-02-26 23:21:20 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\SecondLife
[2013-02-26 23:21:20 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\SKmods
[2013-09-13 10:47:27 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\SlrPlugins
[2013-02-26 23:21:21 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Soldat
[2013-02-26 23:21:22 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Sony
[2013-02-26 23:21:22 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Teeworlds
[2013-02-26 23:21:22 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Thinstall
[2013-02-26 23:21:22 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Thunderbird
[2013-02-26 23:21:52 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Transcend
[2013-03-02 18:12:01 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Acapela Group
[2013-02-26 23:22:11 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\ALLPlayer
[2013-02-26 23:22:12 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\Atari
[2013-02-26 23:22:13 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\DAEMON Tools
[2013-03-04 17:43:09 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\DAEMON Tools Lite
[2013-02-26 23:20:44 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\DVDVideoSoft
[2013-02-26 23:20:45 | 000,000,000 | ---D | M] -- C:\Users\dmnd\AppData\Roaming\EAC

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (ostatni raz - oba).

Post15 wrz 2013, 17:51

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników
Logi OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Logi Extras:
Dostępne tylko dla zarejestrowanych użytkowników

Mam tylko pytanie. Wiem, że usunelismy sporo rzeczy z autorun, a co za tym idzie nie widze ikonki od karty graficznej w pasku po prawej- fpsy w grach spadly mi do 2, co teraz?
Nie moge nawet odpalić Panelu sterowania nVidia z Panelu Sterowania.

Post16 wrz 2013, 18:10

Mam tylko pytanie. Wiem, że usunelismy sporo rzeczy z autorun, a co za tym idzie nie widze ikonki od karty graficznej w pasku po prawej- fpsy w grach spadly mi do 2, co teraz?
Nie moge nawet odpalić Panelu sterowania nVidia z Panelu Sterowania.

Reinstaluj sterowniki karty graficznej, po czym podaj nowe logi z OTL.

Post16 wrz 2013, 19:31

Już to zrobiłem, aktualne sterowniki nawet poprawiły działanie karty. Anyway, tu logi:
Dostępne tylko dla zarejestrowanych użytkowników
Jeszcze jedno pytanie, zniknęły mi ustawienia w Thunderbirdzie, da sie to jakoś przywrócić? Nie chce mi sie na nowo wiązać kont i tworzyć książek adresowych

Post16 wrz 2013, 22:17

Jeszcze jedno pytanie, zniknęły mi ustawienia w Thunderbirdzie, da sie to jakoś przywrócić? Nie chce mi sie na nowo wiązać kont i tworzyć książek adresowych

A to już nie nasza robota.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-2618378051-2944415511-2799995395-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2618378051-2944415511-2799995395-1003\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2618378051-2944415511-2799995395-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKU\S-1-5-21-2618378051-2944415511-2799995395-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=119816&babsrc=SP_ss&mntrId=a067f4980000000000001c4bd61bac61
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\firefox@gingersoftware.com: C:\Program Files (x86)\Ginger\Mozilla\firefox@gingersoftware.com [2013-06-13 16:28:45 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\adapter@gingersoftware.com: C:\Program Files (x86)\Ginger\Mozilla\adapter@gingersoftware.com [2013-08-28 22:56:27 | 000,000,000 | ---D | M]
[2011-05-28 16:26:45 | 000,000,000 | ---D | M] (No name found) -- C:\Users\dmnd\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2013-09-13 15:28:18 | 000,000,000 | ---D | M] ("Ginger") -- C:\Program Files (x86)\mozilla firefox\extensions\adapter@gingersoftware.com
[2013-09-13 15:28:18 | 000,000,000 | ---D | M] (Ginger - Grammar and Spell Checker) -- C:\Program Files (x86)\mozilla firefox\extensions\firefox@gingersoftware.com
O4 - HKU\S-1-5-21-2618378051-2944415511-2799995395-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O9:64bit: - Extra Button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found
O9:64bit: - Extra 'Tools' menuitem : Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found
O9:64bit: - Extra Button: &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
O9:64bit: - Extra 'Tools' menuitem : &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
O9 - Extra Button: &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
[2013-09-15 13:58:11 | 000,000,000 | ---D | C] -- C:\Users\dmnd\AppData\Local\Temp

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post16 wrz 2013, 22:42

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników
Autoruns:
Dostępne tylko dla zarejestrowanych użytkowników