Sprawdzenie log'ów

Post15 lip 2013, 19:54

Log OTL: Dostępne tylko dla zarejestrowanych użytkowników

Log Extras: Dostępne tylko dla zarejestrowanych użytkowników

Windows 7, bit 64.
Podejrzewam że wykurzyłem już wirusy z mojego laptopa, no ale cóż, warto sprawdzić.
Z góry dziękuje.

Post16 lip 2013, 21:08

"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"{06585B02-F20D-4AB2-9A64-86EF2AE0F8F0}" = ASUS AI Recovery
"{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}" = ASUS LifeFrame3
"{2B81872B-A054-48DA-BE3B-FA5C164C303A}" = ASUS FancyStart
"{32364CEA-7855-4A3C-B674-53D8E9B97936}" = TuneUp Utilities 2012
"{64452561-169F-4A36-A2FF-B5E118EC65F5}" = ASUS SmartLogon
"{6B77A7F6-DD63-4F13-A6FF-83137A5AC354}" = ASUS CopyProtect
"{FA2092C5-7979-412D-A962-6485274AE1EE}" = ASUS Data Security Manager
"ASUS WebStorage" = ASUS WebStorage
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"K_Series_ScreenSaver_EN" = K_Series_ScreenSaver_EN
"Office14.Click2Run" = Moduł Szybka instalacja pakietu Microsoft Office 2010
"UnityWebPlayer" = Unity Web Player

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-48448359-4075571456-108579205-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-48448359-4075571456-108579205-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-48448359-4075571456-108579205-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\kamil\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
[2013/07/15 14:42:15 | 000,000,000 | ---D | C] -- C:\Users\kamil\Doctor Web
[2013/07/15 09:49:25 | 000,034,656 | ---- | C] (TuneUp Software) -- C:\Windows\SysNative\TURegOpt.exe
[2013/07/15 09:49:20 | 000,025,952 | ---- | C] (TuneUp Software) -- C:\Windows\SysNative\authuitu.dll
[2013/07/15 09:49:20 | 000,021,344 | ---- | C] (TuneUp Software) -- C:\Windows\SysWow64\authuitu.dll
[2013/07/15 09:49:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TuneUp Utilities 2012
[2013/07/15 09:48:26 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\TuneUp Utilities 2012
[2013/07/15 09:47:35 | 000,000,000 | ---D | C] -- C:\ProgramData\TuneUp Software
[2013/07/15 09:43:12 | 000,000,000 | -HSD | C] -- C:\ProgramData\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2013/06/15 20:37:38 | 000,000,000 | ---D | C] -- C:\Users\kamil\AppData\Roaming\Unity
[2013/06/15 20:37:23 | 000,000,000 | ---D | C] -- C:\Users\kamil\AppData\Local\Unity
[2013/07/15 16:42:17 | 000,000,107 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
[2013/07/10 15:30:35 | 000,017,870 | ---- | M] () -- C:\Windows\SysWow64\SpoonUninstall-dBpoweramp Music Converter.dat
[2013/07/10 15:25:38 | 007,261,768 | ---- | M] () -- C:\Windows\SysWow64\SpoonUninstall.exe
[2013/04/21 11:17:03 | 000,000,000 | ---D | M] -- C:\Users\kamil\AppData\Roaming\Asus WebStorage
[2013/06/17 21:45:01 | 000,000,000 | ---D | M] -- C:\Users\kamil\AppData\Roaming\Stykz
[2013/05/22 21:40:35 | 000,000,000 | ---D | M] -- C:\Users\kamil\AppData\Roaming\Stykz Help
[2013/05/28 17:19:22 | 000,000,000 | ---D | M] -- C:\Users\kamil\AppData\Roaming\Systweak
[2013/04/21 11:22:01 | 000,000,000 | ---D | M] -- C:\Users\kamil\AppData\Roaming\TuneUp Software
[2013/06/15 20:37:38 | 000,000,000 | ---D | M] -- C:\Users\kamil\AppData\Roaming\Unity

:Services
gupdate
gupdatem

:Files
C:\Program Files (x86)\Google\Update
C:\Windows\tasks\*.*
C:\Users\kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xfire.lnk

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z TDSSKiller + nowe logi z OTL.

Post17 lip 2013, 12:26

Gotowe. Dołączam logi

Po usunięciu: Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller: Dostępne tylko dla zarejestrowanych użytkowników

OTL: Dostępne tylko dla zarejestrowanych użytkowników

Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post18 lip 2013, 11:25

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4:64bit: - HKLM..\Run: [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe File not found
[2013/07/17 12:05:00 | 000,000,000 | ---D | C] -- C:\Users\kamil\Desktop\TDSSKiller
[2013/07/17 11:43:06 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013/07/15 20:03:39 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins
[2013/07/15 20:03:39 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post18 lip 2013, 12:23

Gotowe.

Po usunięciu: Dostępne tylko dla zarejestrowanych użytkowników

AutoRuns: Dostępne tylko dla zarejestrowanych użytkowników

Post18 lip 2013, 12:24

Autoruns.

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
Persistence
SmartAudio

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

ASUS Screen Saver Protector
ATKMEDIA
CLMLServer
Nuance PDF Reader-reminder
PWRISOVM.EXE
SunJavaUpdateSched

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

ADSMService
aspnet_state
ATKGFNEXSrv
fsssvc
LMS
SkypeUpdate
UNS
WinDefend
wlidsvc
WMPNetworkSvc

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

HKCU\Control Panel\Desktop\Scrnsave.exe

Wszystko.

Następnie podajesz nowe logi z OTL.

Post18 lip 2013, 18:21

Nie wiem dlaczego ale nie robi mi się LOG "Extras" sam "OTL" dodaje.

OTL: Dostępne tylko dla zarejestrowanych użytkowników

Post18 lip 2013, 22:34

Nie wiem dlaczego ale nie robi mi się LOG "Extras" sam "OTL" dodaje.

W sekcji Rejestr - Skan Dodatkowy nie użyłeś opcji Użyj Filtrowania. Co do logów to w Autoruns nie usunąłeś tego co się dało. Popraw.

Post18 lip 2013, 22:52

Gdy chce usunąć niektóre z nich (po odznaczeniu) wyświetla się błąd "Error deleting start setting: Nie można odnaleźć określonego pliku." A podczas odznaczania tych z "Task Scheduler" wyświetla się "Error changing item state: Nie zostało wykonane mapowanie między nazwami kont a identyfikatorami zabezpieczeń"

Post18 lip 2013, 22:55

Yogi22 pisze:Gdy chce usunąć niektóre z nich (po odznaczeniu) wyświetla się błąd "Error deleting start setting: Nie można odnaleźć określonego pliku." A podczas odznaczania tych z "Task Scheduler" wyświetla się "Error changing item state: Nie zostało wykonane mapowanie między nazwami kont a identyfikatorami zabezpieczeń"

Wiem, ale głównie chodzi o HKLM\System\CurrentControlSet\Services. Sprawdź w trybie normalnym i w awaryjnym. Powinno dać się coś jeszcze usunąć. Po tym, podaj nowe logi z OTL.

Post18 lip 2013, 23:20

W HKLM\System\CurrentControlSet\Services nie da się usunąć nic więcej. W trybie normalnym przy pozostałych tzn.
WinDefend, wlidsvc, WMPNetworkSvc jest odmowa dostępu a w awaryjnym ich nie ma.

OTL: Dostępne tylko dla zarejestrowanych użytkowników

Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post19 lip 2013, 16:58

W HKLM\System\CurrentControlSet\Services nie da się usunąć nic więcej. W trybie normalnym przy pozostałych tzn.
WinDefend, wlidsvc, WMPNetworkSvc jest odmowa dostępu a w awaryjnym ich nie ma.

Log pokazuje, że coś się udało poprawić. Teraz jest OK.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O20:64bit: - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2011/01/12 16:44:17 | 000,131,472 | ---- | C] () -- C:\ProgramData\FullRemove.exe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"UpdateLBPShortCut"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL naciśnij przycisk Sprzątanie.

Kroki Finalizujące.

Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.
Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.

Post19 lip 2013, 19:21

Gotowe.

OTL: Dostępne tylko dla zarejestrowanych użytkowników

Malwarebytes: Dostępne tylko dla zarejestrowanych użytkowników

Post19 lip 2013, 20:36

Malwarebytes.

Opróżnij jego kwarantannę (przycisk Usuń Wszystko).

Komentarz.

Skaner ewidentnie wskazał, że po raz kolejny samodzielnie zainstalowałeś sobie infekcje typu PUP (w tym przypadku DealPly i WebCake). Tak wiec, użyj ADWCleaner`a z opcji Delete, zaprezentuj log z jego pracy i naciśnij w |Nim po tym przycisk Odinstaluj.

Post19 lip 2013, 20:46

Okej.

Prezentuje log z pracy ADWCleaner'a

ADWCleaner: Dostępne tylko dla zarejestrowanych użytkowników