Wirus rozsyłający spam - LOGI

[zuku]

cześć,
możecie rzucić okiem, jakieś dziadostwo rozsyła masowo spam, na komputerze (laptop) skonfigurowane jest rzeczywiście konto w outlook 2010, nic nie znalazłem groźnego w procesach ani na ruchu sieciowym w systemie (windows 7) więc głębsza analiza potrzebna.
OTLDostępne tylko dla zarejestrowanych użytkowników
ExtrasDostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"HPProtectTools" = HP ProtectTools Security Manager
"{D3A775F2-2674-4452-8D80-1FC1446052EE}" = Face Recognition for HP ProtectTools
"{422BA615-2133-4DC0-8673-09C8CC7557F2}" = HP ProtectTools Security Manager
"{483D5A49-A26B-4CB8-AA2D-0D1811322061}" = HP DayStarter
"LiveUpdate" = LiveUpdate 3.3 (Symantec Corporation)

Odinstaluj. Następnie użyj Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchterms}&l=dis&o=CMNTDF
IE:64bit: - HKLM\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchterms}&l=dis&o=CMNTDF
IE - HKLM\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
IE - HKU\S-1-5-21-2491065886-655737287-1239486291-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2491065886-655737287-1239486291-1001\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
IE - HKU\S-1-5-21-2491065886-655737287-1239486291-1001\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchterms}&l=dis&o=CMNTDF
IE - HKU\S-1-5-21-2491065886-655737287-1239486291-1001\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012.10.09 15:54:19 | 000,000,000 | ---D | M] (Download and Sa) -- C:\Users\Barbara\AppData\Roaming\mozilla\Firefox\Profiles\v1vennau.default\extensions\506eae3ad5af4@506eae3ad5b15.com
O3 - HKU\S-1-5-21-2491065886-655737287-1239486291-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\RunOnce: [Kaspersky Setup] C:\Users\Barbara\AppData\Local\Temp\nsv58D1.tmp\setup.exe (Kaspersky Lab)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
[2013.04.02 13:50:23 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013.04.02 11:29:00 | 156,488,768 | ---- | C] (Kaspersky Lab) -- C:\kav13.0.1.4190pl-PL.exe
[2013.04.02 13:49:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab Setup Files
[2013.04.02 10:59:13 | 000,000,000 | ---D | C] -- C:\Stinger_Quarantine
[2013.04.02 09:25:13 | 000,000,000 | ---D | C] -- C:\McAfee

:Files
C:\windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.