jessica

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Nawet nie napisałeś, gdzie ten Trojan został wykryty:

1) Odinstaluj:

"foxtab" = Foxtab

"delta" = Delta toolbar  
"Delta Chrome Toolbar" = Delta Chrome Toolbar

"{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" = BitGuard

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txt

3) Zrób nowy log z OTL.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Ja w logach nie widzę żadnej infekcji.

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-06-17 20:38:48 | 000,006,470 | ---- | M] () -- C:\Users\sony\AppData\Roaming\mozilla\firefox\profiles\vb51avwh.default\searchplugins\babylon.xml
[2013-06-17 20:39:11 | 000,001,294 | ---- | M] () -- C:\Users\sony\AppData\Roaming\mozilla\firefox\profiles\vb51avwh.default\searchplugins\delta.xml

:Commands
[emptytemp]

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

jessi

chyba udało się to usunąć.

w nowym logu nie widzę już nic podejrzanego.

stan laptopa bez zmian - >Chrome dalej się nie otwiera

Tak wiec teraz czekamy na @Picasso, choć nie wiem, kiedy znów zacznie normalnie pomagać na Forum

jessi

Registry value HKEY_USERS\S-1-5-21-672055795-390331892-413438480-1001\Software\Microsoft\Windows\CurrentVersion\Run\\vCchabHoWT9wRrlGj4RVk8nA not found.

File C:\Users\Daniel\AppData\Roaming\Skype\dolszowy\chatsync\fc\lodctr.exe not found.

a to jakiś cwaniak! teraz jest pod inną nazwą i w innej lokalizacji.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - HKU\S-1-5-21-672055795-390331892-413438480-1001..\Run: [uCMmbrLqVDp3X6dHibQ=] C:\Users\Daniel\AppData\Roaming\Spotify\Users\progeno-user\Apps\search-dropdown\chkntfs.exe ()

 

:Files

C:\Users\Daniel\AppData\Roaming\*.exe

:Commands

[emptytemp]

 

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

zobaczymy, czy to znów się zmieniło, czy nie

jessi

O4 - HKU\S-1-5-21-672055795-390331892-413438480-1001..\Run: [vCchabHoWT9wRrlGj4RVk8nA] C:\Users\Daniel\AppData\Roaming\Skype\dolszowy\chatsync\fc\lodctr.exe ()

To mi się nie podoba - w tej lokalizacji nie powinno być żadnego *.exe.

Chyba, że sam to tam umieściłeś?

Jeśli nie, to usuniemy:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - HKU\S-1-5-21-672055795-390331892-413438480-1001..\Run: [vCchabHoWT9wRrlGj4RVk8nA] C:\Users\Daniel\AppData\Roaming\Skype\dolszowy\chatsync\fc\lodctr.exe ()

O4 - HKLM..\Run: [PWMTRV] rundll32 C:\PROGRA~2\ThinkPad\UTILIT~1\PWMTR64V.DLL,PwrMgrBkGndMonitor File not found

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

 

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-672055795-390331892-413438480-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-672055795-390331892-413438480-1001\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowe logi z FRST i OTL.

Z fixlogu:

CHR RestoreOnStartup: "hxxp://www.google.com/", "hxxp://www.google.com/ig/redirectdomain?brand=LENP&bmod=LENP", "hxxp://www1.delta-search.com/?affID=121845&tt=gc_&babsrc=HP_ss&mntrId=5A3FB888E3E69E01" ==> The Chrome "Settings" can be used to fix the entry.

No, tak, to trzeba usuwać nie poprzez Skrypt FRST, tylko poprzez "Ustawienia" w Chrome.

stan laptopa bez zmian - >Chrome dalej się nie otwiera

z tym musisz czekać na @Picasso (nie wiem, kiedy powróci do normalnego pomagania)

jessi

Coś mi się tu nie zgadza: logi FRST zrobione po użyciu Adw-Cleanera, a mimo to widać w logu FRST śmieci, które powinien usunąć Adw-Cleaner.

Na wszelki wypadek:

1) Otwórz Notatnik i wklej w nim:

AppInit_DLLs-x32: c:\progra~3\browse~2\261519~1.190\{c16c1~1\browse~1.dll  [ ] ()
HKLM-x32\...\Run: [] - [x]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3220&bs=true&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=3220&bs=true&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=3220&bs=true&q=
URLSearchHook: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
SearchScopes: HKLM-x32 - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKCU - {1D3018DB-1296-4466-AEAE-BB8AEA29FAEC} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=0FD70E88-D92C-4AF2-8EC0-57919316BC15&apn_sauid=C2CD65D7-2513-401A-90D7-D424ED6F2D98
SearchScopes: HKCU - {A0557002-C60D-4A91-BF2C-727C03BB9E54} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=0FD70E88-D92C-4AF2-8EC0-57919316BC15&apn_sauid=C2CD65D7-2513-401A-90D7-D424ED6F2D98
SearchScopes: HKCU - {EB397B5B-FB59-4419-81FE-8952FE3301B2} URL = http://blekko.com/ws/?source=5f97ddbe&tbp=rbox&u=b8bdd4ad000000000000001bb1d0dd02&q={searchTerms}&r=747
BHO-x32: uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
BHO-x32: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\17.0.1.12\AVG Secure Search_toolbar.dll (AVG Secure Search)
BHO-x32: MinibarBHO - {AA74D58F-ACD0-450D-A85E-6C04B171C044} - C:\Program Files (x86)\Minibar\Minibar.dll (KangoExtensions)
BHO-x32: Blekko Search Bar Helper Object - {BAE35237-8D73-44D0-905C-8A95EA1E7E69} - C:\Program Files (x86)\blekko\spamfreesearch\1.8.3.9\bh\spamfreesearch.dll (Montera Technologeis LTD)
BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\17.0.1.12\AVG Secure Search_toolbar.dll (AVG Secure Search)
Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
Toolbar: HKLM-x32 - Blekko Search Bar Toolbar - {EECF410C-006C-4A05-AD13-6741A0814DBF} - C:\Program Files (x86)\blekko\spamfreesearch\1.8.3.9\spamfreesearchTlbr.dll (Montera Technologeis LTD)
Handler-x32: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\17.0.12\ViProtocol.dll (AVG Secure Search)
CHR DefaultSearchURL: (Ask.com) - http://dts.search.ask.com/sr?src=crb&gct=ds&appid=102&systemid=473&v=n9397-124&apn_uid=4444574522754435&apn_dtid=BND473&o=APN10640&apn_ptnrs=AG1&q={searchTerms}
CHR DefaultSuggestURL: (Ask.com) -       "suggest_url": "",
CHR Plugin: (BrowserProtect) - C:\Users\Rodzice\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph\1.0_0\spext.dll No File
CHR Plugin: (AVG SiteSafety plugin) - C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\13.3.2\\npsitesafety.dll (AVG Technologies)
CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\Donio\AppData\Roaming\BabSolution\CR\BabylonChrome1.crx
CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Donio\AppData\Roaming\BabSolution\CR\Delta.crx
CHR HKLM-x32\...\Chrome\Extension: [ofaekbahncacnjgelnfjcjoelcglkhkj] - C:\Program Files (x86)\blekko\spamfreesearch\1.8.3.9\spamfreesearch.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
R2 vToolbarUpdater17.0.12; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.0.12\ToolbarUpdater.exe [1734680 2013-10-02] (AVG Secure Search)
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [46368 2013-10-02] (AVG Technologies)
2013-10-28 16:22 - 2013-10-28 16:22 - 00002112 _____ C:\Users\Donio\Desktop\AppsHat.lnk
2013-10-28 16:22 - 2013-10-28 16:22 - 00000000 ____D C:\Program Files (x86)\Minibar
C:\Users\Donio\AppData\Local\Temp\appshat-distribution.exe
C:\Users\Donio\AppData\Local\Temp\FLVPlayerSetup.exe
C:\Users\Donio\AppData\Local\Temp\FLVPlayerUpdate_downloader_by_FLVPlayerUpdate.exe
C:\Users\Donio\AppData\Local\Temp\ugoOrrf.exe
C:\Users\Donio\AppData\Local\Temp\ugoOrrf0.exe

2) Zrób nowe logi z FRST i OTL, by @Picasso, jak już zacznie znowu pomagać, miała aktualne logi do przeglądania.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Moim zdaniem ESET popełnił pomyłkę:

C:\Program Files\Lenovo\Communications Utility\TpKnrres.exe

Laptop pewnie LENOWO?

Poza tym widać w logu Addition: ThinkVantage Communications Utility (Version: 3.0.34.0)

ten zainstalowany program Lenowa, a plik TpKnrres.exe jest w tym programie.

To tylko moje zdanie - oceni to @Picasso, gdy już będzie w stanie normalnie pomagać.

W międzyczasie możesz zrobić to:

1) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txt

2) Otwórz Notatnik i wklej w nim:

C:\Users\Daniel\AppData\Local\Temp\invoice_988895.pdf.exe
C:\Users\Daniel\AppData\Local\Temp\gdirector.exe
C:\Users\Daniel\AppData\Local\Temp\NOSEventMessages.dll
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [x]
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll No File
CHR RestoreOnStartup: "hxxp://www.google.com/", "hxxp://www.google.com/ig/redirectdomain?brand=LENP&bmod=LENP", "hxxp://www1.delta-search.com/?affID=121845&tt=gc_&babsrc=HP_ss&mntrId=5A3FB888E3E69E01"
FF Plugin HKCU: intel.com/AppUp - C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp.dll No File
FF SearchPlugin: C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\yvglvi6j.default\searchplugins\babylon.xml
FF SearchPlugin: C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\yvglvi6j.default\searchplugins\delta.xml
FF Homepage: hxxp://search.myheritage.com/
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=121845&tt=gc_&babsrc=SP_ss&mntrId=5A3FB888E3E69E01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?affID=121845&tt=gc_&babsrc=HP_ss&mntrId=5A3FB888E3E69E01
HKCU\...\Run: [] - [x]

3) Zrób nowe logi z OTL i FRST.

jessi

lepiej byłoby odinstalować, ale jeśli nie masz wyboru, to wykonuj następne zalecenia.

jessi

Pomoże mi ktoś ???;(

Skoro nie chcesz skorzystać z mojej pomocy (którą podałam w swoim poprzednim poście), to musisz czekać na @Picasso (nie wiem, kiedy będzie w stanie normalnie pomagać).

jessi

One zawsze były, tylko że były niewidoczne.

Można je usunąć, ale po najbliższym włączeniu komputera Kosz się samoczynnie odrodzi, tyle, że pusty.

Można je ukryć poprzez zaznaczenie\odznaczenie okienka w opcjach folderów przy "Ukryj pliki/foldery systemowe".

 >Panel Sterowania > System i Zabezpieczenia > Wygląd i Personalizacja >Opcje Folderów > Pokaż ukryte Pliki i Foldery > Ukryj chronione pliki i foldery >zaznacz

jessi

 

W jaki sposób mam odinstalować C:\ProgramData\eSafe ?

Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner[s1].txt

A foldery "Recycle.bin" i "Recycler" - to zwykły KOSZ.

jessi

Wirus został usuniety

Nie jestem tego taka pewna: skoro Kasper wykrył jeszcze zarazone pliki, to infekcja może być dalej aktywna.

Dopiero gdy nie zostanie wykryty żaden zarażony plik, to będzie można powiedzieć, że jest "po wirusie".

Poza tym SALITY zazwyczaj uszkadza Tryb Awaryjny, i potem trzeba to naprawiać.

Radzę tu jeszcze zajrzeć, gdy @Picasso już będzie zdrowa.

jessi

Prawdę mówiąc, to nie rozumiem, po co robić skan z zewnątrz, skoro Tryb Normalny działa, a nie działa tylko Tryb Awaryjny.

Moze problem tkwi w raporcie i to tez to ze skanowalem z poziomu windows

Co ma piernik do wiatraka?

Skan na pewno nie jest przyczyną braku Trybu Awaryjnego.

moze Ty masz jakis inny link dzialajacy pod reka z winre?

Parafrazując znaną reklamę: Takie "rzeczy" to tylko @Picasso

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Ja w logach nie widzę żadnej infekcji.

Jest trochę do usuwania, ale to w zasadzie byłoby kosmetyczne usuwanie - to może poczekać, aż @Picasso dokładniej wszystko zbada, i wtedy poda kompleksowe usuwanie.

Error: (11/03/2013 10:02:28 PM) (Source: Service Control Manager) (User: )
Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:
Fips
intelppm

trochę zastanawia mnie ten błąd, czy mógłby być przyczyną problemów? Ale nie wiem tego.

jessi

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]

@="Driver Group"

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>

sprawdź, czy istnieją te powyższe klucze.

Chodzmi o to, że może przyczyną jest brak Trybu Awaryjnego w Rejestrze.

Pewnie jest jakaś inna przyczyna, ale na początek można sprawdzić i tą.

jessi

w takim razie czekaj na @Picasso, bo to chyba uszkodzony System.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Do usuwania AVG trzeba użyć AVG Remover - http://www.avg.com/download-tools

Poza tym odinstaluj:

BabylonObjectInstaller (Version: 2.0.0.2)

AVG Security Toolbar (Version: 17.0.1.12)

DealPly (Version: )

Facemoods Toolbar

Dodatkowo użyj Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

Potem zrób nowe logi z FRST, by @Picasso, jak już tu będzie w stanie pomagać, miała aktualne logi.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Ja w logach nie dostrzegam niczego podejrzanego.

jessi

Być może GMER za Rootkita uważa ...Avasta:

Service  C:\Windows\system32\drivers\aswFsBlk.sys (*** hidden *** )                   [AUTO] aswFsBlk         <-- ROOTKIT !!!
Service  C:\Windows\system32\drivers\aswMonFlt.sys (*** hidden *** )                  [AUTO] aswMonFlt        <-- ROOTKIT !!!
Service  C:\Windows\System32\Drivers\aswrdr2.sys (*** hidden *** )                    [sYSTEM] aswRdr         <-- ROOTKIT !!!
Service  C:\Windows\system32\drivers\aswRvrt.sys (*** hidden *** )                    [bOOT] aswRvrt          <-- ROOTKIT !!!
Service  C:\Windows\system32\drivers\aswSnx.sys (*** hidden *** )                     [sYSTEM] aswSnx         <-- ROOTKIT !!!
Service  C:\Windows\system32\drivers\aswSP.sys (*** hidden *** )                      [sYSTEM] aswSP          <-- ROOTKIT !!!
Service  C:\Windows\system32\drivers\aswTdi.sys (*** hidden *** )                     [sYSTEM] aswTdi         <-- ROOTKIT !!!
Service  C:\Windows\system32\drivers\aswVmm.sys (*** hidden *** )                     [bOOT] aswVmm           <-- ROOTKIT !!!
Service  C:\Program Files\AVAST Software\Avast\AvastSvc.exe (*** hidden *** )         [AUTO] avast! Antivirus  <-- ROOTKIT !!!

Ale ocenę nowych logów zostawiam już dla @Picasso  (nie wiem, kiedy będzie w stanie pomagać na Forum)

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

1) Odinstaluj "WsysControl" = Wsys Control 10.2.1.2634

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4 - HKU\S-1-5-21-2688773689-1415993320-211456013-1000..\Run: [Kfrcrm] C:\Users\Jakub\AppData\Roaming\Kfrcrm.exe File not found
SRV - [2013-10-28 17:43:38 | 000,825,920 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] -- C:\ProgramData\eSafe\eGdpSvc.exe -- (WsysSvc)

:Files
attrib /d /s -s -h F:\* /C

:Commands
[emptytemp]

Zrób nowe logi z FRST i OTL.

napisz, jak wodzisz teraz foldery na dysku zewnętrznym

jessi

Odkryłem, że problemy powróciły po próbie zamontowania jednego z plików iso

W logach nie widzę niczego, co powróciło. Czy na pewno te logi były robione po tym "powrocie"?

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013-03-16 09:48:22 | 000,000,000 | -HSD | M] -- C:\Users\Szarik\AppData\Roaming\wyUpdate AU

[2013-11-03 14:16:00 | 000,000,354 | ---- | M] () -- C:\Windows\tasks\ROC_JAN2013_TB_rmv.job

[2013-11-03 14:16:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job

O4 - HKU\S-1-5-21-3062222361-3309921344-3189368415-1002..\Run: [speedUpMyComputer] C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as File not found

FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found

FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found

FF - HKLM\Software\MozillaPlugins\@live.heroesandgenerals.com/npretox: C:\Program Files (x86)\Heroes & Generals\live\npretoxlive.dll File not found

 

:Reg

"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"

[HKEY_USERS\S-1-5-21-3062222361-3309921344-3189368415-1002\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowe logi z OTL i FRST (nie wiem, kiedy @Picasso tu zajrzy, więc stale muszą tu być najnowsze logi).

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Ja w tym logu nie widzę żadnej infekcji, więc i tak musisz czekać na @Picasso

jessi

Jessica co się dzieje z Picasso ,czy to poważna choroba?

Nie wiem, ale skoro trwa już miesiąc, to chyba to jest coś poważnego. Wolę nie spekulować, to Jej prywatna sprawa.

Wies zmoze jak usunac maxkeyloggera?

W logach go nie widzę.

Użyj MBAM http://www.malwarebytes.org/mwb-download/

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty zdrowotne)

Ja nie dostrzegam w logach infekcji, ale są szkodliwe sponsorskie śmieci:

1) Odinstaluj:

"Akamai" = Akamai NetSession Interface
"DealPly" = DealPly

"ilividtoolbargaw" = Search-Results Toolbar

"delta" = Delta toolbar  
"Delta Chrome Toolbar" = Delta Chrome Toolbar

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

3) Zrób nowy log z OTL.

jessi

nieaktualne, bo jest już odpowiedź