Proszę o sprawdzenie logów

[crespo69]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Chodzi o facebooka samoistnie wysyłają się wiadomości z jakimiś linkami do moich znajomych,nie wiem co to może być.

[kominekl]

http://speedy.sh/cseSJ/Extras.Txt
Dostępne tylko dla zarejestrowanych użytkowników

Chodzi o facebooka samoistnie wysyłają się wiadomości z jakimiś linkami do moich znajomych,nie wiem co to może być.

Logi podajemy na hostingi tekstowe typu -> Dostępne tylko dla zarejestrowanych użytkowników. Przeklej to tam i podaj linki. Dodatkowo dorzuć log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

[crespo69]

TDSSKiller Dostępne tylko dla zarejestrowanych użytkowników
OTL Dostępne tylko dla zarejestrowanych użytkowników
Extras Dostępne tylko dla zarejestrowanych użytkowników

Sorry za kłopot

[kominekl]

"UnityWebPlayer" = Unity Web Player
"AVG Secure Search" = AVG Security Toolbar
"1ClickDownload" = FTDownloader
"McAfee Security Scan" = McAfee Security Scan Plus
"Searchqu Toolbar" = Searchqu Toolbar
"Akamai" = Akamai NetSession Interface

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-392818877-1939927122-1532879338-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-392818877-1939927122-1532879338-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-392818877-1939927122-1532879338-1004\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-392818877-1939927122-1532879338-1004\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-392818877-1939927122-1532879338-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=109220&tt=5112_4&babsrc=SP_ss&mntrId=04c11571000000000000000000000000
IE - HKU\S-1-5-21-392818877-1939927122-1532879338-1004\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{786FEE92-922B-45D7-A87C-4C581462B0FA}&mid=101cd0cc27844461a9a4f91285ab9838-544ae7c5d855bbfeca4c709f7022019b143a7e1a&lang=pl&ds=ax011&pr=&d=2012-10-11 15:33:51&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}
FF - prefs.js..extensions.enabledAddons: plugin%40yontoo.com:1.20.02
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_6_602_171.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\14.2.0\\npsitesafety.dll ()
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Program Files (x86)\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Łukasz\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\14.2.0.1 [2013-02-19 15:53:15 | 000,000,000 | ---D | M]
[2013-03-03 15:06:16 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\Łukasz\AppData\Roaming\mozilla\Firefox\Profiles\jnao7fm0.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}
[2013-02-27 16:55:02 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Łukasz\AppData\Roaming\mozilla\Firefox\Profiles\jnao7fm0.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012-11-29 15:47:10 | 000,197,580 | ---- | M] () (No name found) -- C:\Users\Łukasz\AppData\Roaming\mozilla\firefox\profiles\jnao7fm0.default\extensions\ftdownloader@ftdownloader.com.xpi
[2013-02-27 16:55:02 | 000,021,487 | ---- | M] () (No name found) -- C:\Users\Łukasz\AppData\Roaming\mozilla\firefox\profiles\jnao7fm0.default\extensions\plugin@yontoo.com.xpi
[2012-12-17 19:24:13 | 000,002,432 | ---- | M] () -- C:\Users\Łukasz\AppData\Roaming\mozilla\firefox\profiles\jnao7fm0.default\searchplugins\babylon1.xml
File not found (No name found) -- C:\USERS\ŁUKASZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JNAO7FM0.DEFAULT\EXTENSIONS\{B9DB16A4-6EDC-47EC-A1F4-B86292ED211D}
File not found (No name found) -- C:\USERS\ŁUKASZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JNAO7FM0.DEFAULT\EXTENSIONS\PLUGIN@YONTOO.COM.XPI
[2013-02-19 15:53:16 | 000,003,714 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-12-17 19:23:50 | 000,002,349 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012-08-29 00:56:24 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
CHR - Extension: Complitly plugin for chrome = C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\
CHR - Extension: FTdownloader = C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gkjoindjjcmbdpbfppabdgflnkgbbcli\1.0_0\
CHR - Extension: Yontoo = C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-392818877-1939927122-1532879338-1004..\Run: [MSConfig] C:\Users\Łukasz\yqtiehnm.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-392818877-1939927122-1532879338-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
F3:64bit: - HKU\S-1-5-21-392818877-1939927122-1532879338-1004 WinNT: Load - (C:\Users\UKASZ~1\LOCALS~1\Temp\mseoctax.scr) - C:\Users\UKASZ~1\LOCALS~1\Temp\mseoctax.scr ()
F3 - HKU\S-1-5-21-392818877-1939927122-1532879338-1004 WinNT: Load - (C:\Users\UKASZ~1\LOCALS~1\Temp\mseoctax.scr) - C:\Users\UKASZ~1\LOCALS~1\Temp\mseoctax.scr ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O9:64bit: - Extra Button: &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
O9:64bit: - Extra 'Tools' menuitem : &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
O20 - AppInit_DLLs: (c:\progra~3\browse~1\251005~1.80\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.5.1005.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
[2013-03-03 15:06:10 | 000,000,000 | ---D | C] -- C:\Users\Łukasz\AppData\Roaming\Complitly
[2013-03-03 15:06:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Complitly
[2013-02-03 19:00:30 | 000,000,000 | ---D | C] -- C:\Users\Łukasz\AppData\Roaming\Yontoo
[2013-03-03 15:13:32 | 044,314,112 | -H-- | C] () -- C:\Users\Łukasz\yqtiehnm.exe
[2012-10-04 14:22:42 | 000,000,000 | ---D | M] -- C:\Users\Łukasz\AppData\Roaming\ArcaVirMicroScan
[2012-12-17 19:23:36 | 000,000,000 | ---D | M] -- C:\Users\Łukasz\AppData\Roaming\Babylon
[2013-03-03 15:14:41 | 000,000,000 | ---D | M] -- C:\Users\Łukasz\AppData\Roaming\Complitly
[2012-12-18 15:51:39 | 000,000,000 | ---D | M] -- C:\Users\Łukasz\AppData\Roaming\Unity

:Files
C:\Program Files (x86)\Google\Update
C:\windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.

[crespo69]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

OTL.

Skrypt źle wykonany. Pominąłeś początkowe -> :OTL. Popraw.

ADWCleaner.

Źle użyty. Miało być z opcji Usuń, a nie z opcji Szukaj.

[crespo69]

ADW: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

ADWCleaner.

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
File not found (No name found) -- C:\USERS\ŁUKASZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JNAO7FM0.DEFAULT\EXTENSIONS\{B9DB16A4-6EDC-47EC-A1F4-B86292ED211D}
File not found (No name found) -- C:\USERS\ŁUKASZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JNAO7FM0.DEFAULT\EXTENSIONS\PLUGIN@YONTOO.COM.XPI
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 5489 = C:\PROGRA~3\LOCALS~1\Temp\msavetav.pif ()
@Alternate Data Stream - 1138755 bytes -> C:\windows\Temp:temp

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[crespo69]

Logi z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Podaj log z Autoruns.

[crespo69]

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

http://wikisend.com/download/147918/AutoRuns.arn

W trybie awaryjnym w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

BTMTrayAgent
IgfxTray
Persistence
RtHDVCpl

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Google Chrome
Microsoft Windows

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Windows Live ID Sign-in Helper

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar

Bing

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
BBSvc
Bluetooth Media Service
Bluetooth OBEX Service
GameConsoleService
gupdate
gupdatem
LMS
MozillaMaintenance
MSSQL$ATHENASOFT
Nero BackItUp Scheduler 4.0
NVSvc
nvUpdatusService
odserv
ose
RichVideo
SeaPort
SkypeUpdate
SQLBrowser
SQLWriter
UNS
WinDefend
wlidsvc
WMPNetworkSvc

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

C:\windows\system32\nvinitx.dll

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

c:\windows\syswow64\nvinit.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui

Logi.

Następnie podajesz nowe logi z OTL.

[crespo69]

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O20:64bit: - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013-03-10 12:14:16 | 000,545,363 | ---- | C] () -- C:\Users\Łukasz\Desktop\Autoruns.zip
[2013-03-09 14:54:06 | 002,678,924 | ---- | C] () -- C:\Users\Łukasz\Desktop\AutoRuns.arn

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"Adobe Acrobat 5.0" = Adobe Acrobat 5.0 CE

Odinstaluj, bo masz nowszą wersję:

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.6)

Kroki Finalizujące.

Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.

[crespo69]

Wykonałem te polecenia i chyba jest OK. Dzięki wielkie!
Link do Malwarebytes`em Anti-Malware: Dostępne tylko dla zarejestrowanych użytkowników