Proszę o sprawdzenie logów OTL

[adu27]

Jak w temacie proszę o sprawdzenie

Dostępne tylko dla zarejestrowanych użytkowników --log OTL
Dostępne tylko dla zarejestrowanych użytkowników -- Extras

[kominekl]

"AVG9Uninstall" = AVG Free 9.0
"BabylonToolbar" = Babylon toolbar on IE
"BrotherSoft_Extreme Toolbar" = BrotherSoft Extreme Toolbar
"uTorrentBar Toolbar" = uTorrentBar Toolbar
"UnityWebPlayer" = Unity Web Player

To zbędne oprogramowanie. AVG jest już prastare. Reszta to zbedne paski narzędziowe. Odinstaluj to wszystko.

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [S3Trayp] C:\WINDOWS\System32\S3Trayp.exe (S3 Graphics Co., Ltd.)
O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.)

To zbędne wpisy w autostarcie. Usunę je skryptem.

O33 - MountPoints2\{43dc1200-351b-11e0-8f7e-0019db3294ca}\Shell\AutoRun\command - "" = mbvd.exe
O33 - MountPoints2\{43dc1200-351b-11e0-8f7e-0019db3294ca}\Shell\open\Command - "" = mbvd.exe
O33 - MountPoints2\{43dc1201-351b-11e0-8f7e-0019db3294ca}\Shell\AutoRun\command - "" = mbvd.exe
O33 - MountPoints2\{43dc1201-351b-11e0-8f7e-0019db3294ca}\Shell\open\Command - "" = mbvd.exe
O33 - MountPoints2\{75f8b4fd-e0f3-11df-8edd-0019db3294ca}\Shell\AutoRun\command - "" = G:\ph.exe
O33 - MountPoints2\{75f8b4fd-e0f3-11df-8edd-0019db3294ca}\Shell\open\Command - "" = G:\ph.exe

To może świadczyć o infekcji z pendrive`ów. Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Deletion -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm, oraz zaprezentuj utworzony przez Niego log.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- F:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - C:\Program Files\BrotherSoft_Extreme\prxtbBrot.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&AF=100478&babsrc=SP_ss&mntrId=8c12ed680000000000000019db3294ca
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{E5956C27-071F-4CF3-AEA5-407A057B891A}&mid=98e7a96c9427ce522b0d4f13440b8cdb-06ce4fc639803a2e3563922518183d8e94088cb9&lang=pl&ds=AVG&pr=fr&d=2011-12-07 09:44:02&v=10.0.0.7&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2776682
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.defaultthis.engineName: "BrotherSoft Extreme Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "chrome://speeddial/content/speeddial.xul"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties"
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Documents and Settings\Seniorka\Ustawienia lokalne\Dane aplikacji\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
[2012-05-11 15:22:12 | 000,000,000 | ---D | M] (BrotherSoft Extreme Community Toolbar) -- C:\Documents and Settings\Seniorka\Dane aplikacji\Mozilla\Firefox\Profiles\w1amkv1e.default\extensions\{51a86bb3-6602-4c85-92a5-130ee4864f13}
[2011-07-11 13:15:11 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Seniorka\Dane aplikacji\Mozilla\Firefox\Profiles\w1amkv1e.default\extensions\engine@conduit.com
[2011-06-20 14:07:12 | 000,000,941 | ---- | M] () -- C:\Documents and Settings\Seniorka\Dane aplikacji\Mozilla\Firefox\Profiles\w1amkv1e.default\searchplugins\conduit.xml
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) File not found
@Alternate Data Stream - 128 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D6255023

:Files
C:\Documents and Settings\Seniorka\Dane aplikacji\Uninstal.exe
C:\WINDOWS\System32\proc1395793746.bin
C:\Documents and Settings\All Users\Dane aplikacji\n7-89-o9-3r-4t-r9
C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search
C:\Documents and Settings\All Users\Dane aplikacji\AVG Security Toolbarv
C:\Documents and Settings\All Users\Dane aplikacji\avg9
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Seniorka\Dane aplikacji\AVG Secure Search
C:\Documents and Settings\Seniorka\Dane aplikacji\AVG9
C:\Documents and Settings\Seniorka\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Seniorka\Dane aplikacji\Unity

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"S3Trayp"=-
"VTTimer"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

[adu27]

Dzięki zrobiłem jak kazałeś a oto nowe logi.
Dostępne tylko dla zarejestrowanych użytkowników --Log OTL po usuwaniu
Dostępne tylko dla zarejestrowanych użytkowników --Log extras
Dostępne tylko dla zarejestrowanych użytkowników -- Usuwanie OTL
Dostępne tylko dla zarejestrowanych użytkowników --UsbFix
Dostępne tylko dla zarejestrowanych użytkowników --TDSSKiller

[kominekl]

USBFix.

W USBFix -> Uninstall.

TDSSKiller.

Mam wrażenie, że log jest ucięty. Powtórz to działanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.

:Files
C:\UsbFix
C:\Documents and Settings\Seniorka\Pulpit\UsbFix.exe
C:\Documents and Settings\Seniorka\Pulpit\TDSSKiller.exe
C:\UsbFix_Upload_Me_TERESA.zip
$AVG /alldrives
RECYCLER /alldrives
C:\UsbFix.txt
E:\2039f50a2c195bf8dd

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[adu27]

Niestety nie mogłem wcześniej zamieścić logów.

Dostępne tylko dla zarejestrowanych użytkowników -- TDSSKiller (jednak nie był to cały skrypt teraz zrobiłem drugi skan )
Dostępne tylko dla zarejestrowanych użytkowników --OTL usuwanie

Nowe logi OTL
Dostępne tylko dla zarejestrowanych użytkowników -- OTL po usunięciu
Dostępne tylko dla zarejestrowanych użytkowników -- Extras

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
O4 - HKLM..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) File not found

:Files
RECYCLER /alldrives

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java(TM) 6 Update 29

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Full)

Odinstaluj i zainstaluj najnowszą wersję -> http://www.hotfix.pl/infusions/pro_down ... k-p155.htm.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[adu27]

Dostępne tylko dla zarejestrowanych użytkowników --OTL usuwanie
Jak będę miał czas to zeskanuje programem Malwarebytes`em Anti-Malware i jak coś znajdzie napisze.

A tak to dziękuję za pomoc.

[kominekl]

OTL usuwanie

OK.

Jak będę miał czas to zeskanuje programem Malwarebytes`em Anti-Malware i jak coś znajdzie napisze.

OK.

A tak to dziękuję za pomoc.

Nie ma za co .

Reasumacja.

Póki co nie zamykamy.

[adu27]

Coś tam znalazł. Zamieszczam log.

Dostępne tylko dla zarejestrowanych użytkowników -- skan Malwarebytes

[kominekl]

Malwarebytes.

Nic istotnego. Opróżnij kwarantanne Malwarebytes`a (Usuń Wszystko).

[adu27]

Jeszcze raz dzięki wielkie za fachową pomoc

[kominekl]

Jeszcze raz dzięki wielkie za fachową pomoc

Czy temat można zamknąć?

[adu27]

Tak, temat można już zamknąć.

[kominekl]

Tak, temat można już zamknąć.

Proszę o zamknięcie.