DIFX - podejrzany folder i zamulony komputer

czef · 9 Grudzień 2012 23:17

Witam,

Nie przypominam sobie zebym instalowal program o nazwie DIFX, a taki folder moge znalesc w program files (utworzony 6 ‎września ‎2012). Dodatkowo od kilku miesiecy (dlatego wklejam log z ustawieniem na 180dni) komputer jest zamulony. Po skanie i usunieciu wirusow programem Doctor Web CureIt - nic się nie zmienia.

Logi z OTL (Pliki młodsze niż 180 dni):

OTL.Txt http://wklejto.pl/141429

Extras.Txt http://wklejto.pl/141430

Screen DrWeb CureIt (wirusow, ktore znalazl i usunal) http://www.tinypic.pl/b6ul89jkpozj

Proszę o pomoc i pozdrawiam!

Acorus · 10 Grudzień 2012 08:25

Odinstaluj McAfee Security Scan Plus.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bec9ff490000000000004c0f6e5a962e&tlver=1.4.19.19&ss=1&affID=17981 IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-4141374535-311919606-3590139362-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_6_&babsrc=SP_ss&mntrId=bec9ff490000000000004a0f6e5a962e IE - HKU\S-1-5-21-4141374535-311919606-3590139362-1000…\SearchScopes{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: “URL” = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bec9ff490000000000004c0f6e5a962e&tlver=1.4.19.19&ss=1&affID=17981 IE - HKU\S-1-5-21-4141374535-311919606-3590139362-1000…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-4141374535-311919606-3590139362-1000…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 FF - prefs.js…browser.search.defaultenginename: “AOL Search” FF - prefs.js…browser.search.defaulturl: “http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50ffwinamp&s_qt=sb&tb_uuid=20121115113431352&tb_oid=13-01-2011&tb_mrud=15-11-2012&query=” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js…extensions.enabledItems: ffxtlbr@babylon.com:1.1.3 [2012/11/19 11:24:09 | 000,002,539 | ---- | M] () – C:\Users\Aleksandra\AppData\Roaming\mozilla\firefox\profiles\d8wsseqr.default\searchplugins\aol-search.xml [2012/06/09 22:06:27 | 000,001,800 | ---- | M] () – C:\Users\Aleksandra\AppData\Roaming\mozilla\firefox\profiles\d8wsseqr.default\searchplugins\funmoods.xml [2011/01/13 20:30:44 | 000,001,196 | ---- | M] () – C:\Users\Aleksandra\AppData\Roaming\mozilla\firefox\profiles\d8wsseqr.default\searchplugins\winamp-search.xml [2012/12/07 12:38:16 | 000,000,000 | —D | M] (QuickStores-Toolbar) – C:\Program Files (x86)\Mozilla Firefox\extensions\quickstores@quickstores.de O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-4141374535-311919606-3590139362-1000…\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKU\S-1-5-21-4141374535-311919606-3590139362-1000…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ROC_roc_ssl_v12] “C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe” / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKLM…\Run: [unlockerAssistant] “C:\Program Files (x86)\Unlocker\UnlockerAssistant.exe” File not found O4 - HKU\S-1-5-21-4141374535-311919606-3590139362-1000…\Run: [Facebook Update] C:\Users\Aleksandra\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found [2012/07/23 20:36:52 | 000,000,000 | —D | C] – C:\ProgramData\Ask [2012/06/16 11:23:35 | 000,000,000 | —D | C] – C:\Users\Aleksandra\AppData\Roaming\Babylon [2012/06/16 11:23:35 | 000,000,000 | —D | C] – C:\ProgramData\Babylon [2012/06/16 11:23:51 | 000,000,250 | ---- | M] () – C:\user.js [2012/12/09 23:40:01 | 000,001,098 | ---- | M] () – C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-4141374535-311919606-3590139362-1000UA.job [2012/12/09 20:40:00 | 000,001,076 | ---- | M] () – C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-4141374535-311919606-3590139362-1000Core.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”

czef · 10 Grudzień 2012 11:04

Wykonalem wszystko co zostało polecone, wklejam następujące logi:

Log po wykonaniu skryptu w OTL http://www.wklejto.pl/141458

Log z Malwarebytes Anti-Malware po skanowaniu i usunieciu jednego, znalezionego obiektu http://www.wklejto.pl/141459