Nieznane logowanie z facebook'a, system bardzo zaśmiecony

azullana (I Szafranska) 2013-03-28 13:02:30 UTC #1

Witam,

ostatnio dostałam informacje, że próbowano logować się na moje konto facebook z nieznanej wcześniej lokalizacji. Dodatkowo bratu ktoś prawdopodobnie włamał się na konto w grze internetowej. Ponadto, komputer nie był gruntownie czyszczony od bardzo dawna i szczerze mówiąc nie jestem w stanie stwierdzić, czy coś niebezpiecznego w nim siedzi czy też nie.

Dlatego zwracam się z prośbą o sprawdzenie logów z OTL i ewentualne dalsze instrukcje.

OTL.txt: http://wklejto.pl/154560

Extras.txt: http://www.wklejto.pl/154561

Dziękuję i pozdrawiam,

Azula

Acorus (Acorus) 2013-03-28 13:31:53 UTC #2

Odinstaluj Tibia MULTI-ip changer.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750obex.sys -- (k750obex) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mgmt.sys -- (k750mgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdm.sys -- (k750mdm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdfl.sys -- (k750mdfl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750bus.sys -- (k750bus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1482476501-1801674531-682003330-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?l=dis&o=41647960&gct=hp IE - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found IE - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found IE - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found IE - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\SearchScopes{EB625668-DB5F-4B1D-8C3C-2D14DF129662}: "URL" = http://websearch.ask.com/custom/java/re ... src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000 FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=2&q=" [2013-02-11 00:28:22 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Documents and Settings\Gothic 3 r0x\Dane aplikacji\Mozilla\Firefox\Profiles\0oxhqt7b.default\extensions{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2012-01-26 16:35:16 | 000,000,000 | ---D | M] (VirtualDJ Toolbar) -- C:\Documents and Settings\Gothic 3 r0x\Dane aplikacji\Mozilla\Firefox\Profiles\0oxhqt7b.default\extensions\toolbar@ask.com 2011-02-01 19:05:08 | 000,002,333 | ---- | M -- C:\Documents and Settings\Gothic 3 r0x\Dane aplikacji\Mozilla\Firefox\Profiles\0oxhqt7b.default\searchplugins\askcom.xml 2012-04-09 00:56:09 | 000,002,306 | ---- | M -- C:\Documents and Settings\Gothic 3 r0x\Dane aplikacji\Mozilla\Firefox\Profiles\0oxhqt7b.default\searchplugins\askcomsearch.xml 2011-08-04 08:31:04 | 000,000,923 | ---- | M -- C:\Documents and Settings\Gothic 3 r0x\Dane aplikacji\Mozilla\Firefox\Profiles\0oxhqt7b.default\searchplugins\conduit.xml O3 - HKLM..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\Toolbar\WebBrowser: (no name) - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - No CLSID value found. O3 - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found. O3 - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1482476501-1801674531-682003330-1005..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\setup.lnk = File not found [2012-04-09 00:49:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask [2012-07-10 23:17:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2012-07-10 23:17:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gothic 3 r0x\Dane aplikacji\Babylon [2012-05-10 14:06:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gothic 3 r0x\Dane aplikacji\f0w8uhy98yur9c8qy38cy82yrc280quafu89uya89dh [2011-10-17 18:47:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gothic 3 r0x\Dane aplikacji\facemoods.com [2011-12-12 17:43:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Właściciel\Dane aplikacji\facemoods.com :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa "Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje."

azullana (I Szafranska) 2013-03-29 09:15:37 UTC #3

Witam,

dziękuję za instrukcję. Wykonałam skan, wykryło 2 zainfekowane obiekty, które usunęłam (jeden znajdował się w SVI, drugi to jakaś pozostałość po MyGlobalSearch).

Oto, co wyskoczyło po skanowaniu MBAMem: http://www.wklejto.pl/154660

Czy to wszystko, czy jeszcze powinnam coś zrobić?

Pozdrawiam,

Azula

Acorus (Acorus) 2013-03-29 09:30:24 UTC #4

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.

azullana (I Szafranska) 2013-03-29 11:21:51 UTC #5

Avast! sygnalizuje mi, ze SecurityCheck zawiera wirusa, mam to zignorowac?

Acorus (Acorus) 2013-03-29 11:26:25 UTC #6

Tak.

azullana (I Szafranska) 2013-03-29 16:26:35 UTC #7

Witam,

przeprowadziłam skan SecurityCheck, raport wygląda następująco:

Oczywiście Javę zaktualizowałam. Czy to wszystko, co powinnam była zrobić?

Jeżeli tak, dziękuję serdecznie za pomoc i pozdrawiam.

Azula

Acorus (Acorus) 2013-03-29 16:31:46 UTC #8

Odinstaluj Java 6 Update 37 i Adobe Reader 9.

azullana (I Szafranska) 2013-03-29 16:35:13 UTC #9

W jaki sposób mam to zrobić? Na liście "Dodaj i usuń programy" znajduje się tylko Adobe Reader XI.

A Javę mam odinstalować i zainstalować nową czy wystarczy tylko aktualizacja? Bo w trayu była ikonka, przez którą można było zainstalować aktualizację do Javy.

Acorus (Acorus) 2013-03-29 16:42:35 UTC #10

Jak niema na liście to nic nie musisz robić.

azullana (I Szafranska) 2013-03-29 16:45:04 UTC #11

Okej, dziękuję za pomoc