Nurdurion
(Nurdurion)
12 Styczeń 2015 17:20
#1
Witam.
Jeden z domowników pobrał jakiś plik/program, który po uruchomieniu zainstalował w systemie pełno jakiś śmieciowych programików oraz podmienił stronę startową w Firefoxie (zmiana w ustawieniach nic nie dawała). Malwarebytes wykrył ponad 500 infekcji, czyszczenie dokończyłem AdwCleaner, który również znalazł sporo śmieci.
Sytuacja pozornie wygląda na opanowaną, ale prosiłbym o sprawdzenie logów.
Logi:
OTL: http://wklej.org/id/1593004/
Extras: http://wklej.org/id/1593005/
FRST:
FRST: http://wklej.org/id/1593008/
Addition: http://wklej.org/id/1593015/
Shortcut: http://wklej.org/id/1593017/
Acorus
(Acorus)
12 Styczeń 2015 17:31
#2
Otwórz notatnik systemowy i wklej:
Task: {72739D77-AE0C-4283-A584-35A573A262C6} - \SPBIW_UpdateTask_Time_313338323736313139352d3437415a556c2a3223346c41 No Task File ==== ATTENTION
Task: {A10B48EA-4729-4EBA-A623-5B540BD31B92} - System32\Tasks\CJVW = D:\Users\dom\AppData\Roaming\CJVW.exe ==== ATTENTION
Task: {E977AB5D-13A5-409F-95FE-93DA21C4E51A} - System32\Tasks\KOO = D:\Users\dom\AppData\Roaming\KOO.exe ==== ATTENTION
Task: C:\Windows\Tasks\CJVW.job = D:\Users\dom\AppData\Roaming\CJVW.exe ==== ATTENTION
Task: C:\Windows\Tasks\KOO.job = D:\Users\dom\AppData\Roaming\KOO.exe ==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-2821332150-970914226-2612375139-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File
BHO: No Name - {AF949550-9094-4807-95EC-D1C317803333} - No File
BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File
Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 - No Name - {D2BF470E-ED1C-487F-A777-2BD8835EB6CE} - No File
Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 - No Name - {D2BF470E-ED1C-487F-A333-2BD8835EB6CE} - No File
Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 - No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File
S2 ASPI32; No ImagePath
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
2015-01-11 11:14 - 2015-01-11 17:16 - 00001324 _____ () C:\Windows\Tasks\KOO.job
2015-01-11 11:13 - 2015-01-11 17:16 - 00001326 _____ () C:\Windows\Tasks\CJVW.job
D:\Users\dom\jagex_cl_runescape_LIVE.dat
D:\Users\dom\random.dat
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Nurdurion
(Nurdurion)
12 Styczeń 2015 18:30
#3
Dziękuję za szybką odpowiedź.
fixlog: http://wklej.org/id/1593136/
Coś jeszcze, czy mogę uważać system za wyczyszczony?