Prawdopodobieństwo infekcji komputera (Logi OTL)

tytanowy · 2 Maj 2011 17:51

Witam, tak jak w temacie, mam wielkie przeczucie, że mam jakąś infekcje lub coś w tym stylu niechcianego na swoim komputerze, poniżej logi z OTL’a:

OTL.txt

http://wklej.to/cHN7Z

oraz Extras.txt

http://wklej.to/Q5leO

Z góry dziękuje.

Acorus · 2 Maj 2011 18:10

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKCU…\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultenginename: “Web Search…” FF - prefs.js…extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js…keyword.URL: “http://vshare.toolbarhome.com/search.aspx?srch=ku&q=” [2010-12-01 22:24:05 | 000,000,000 | —D | M] (vShare) – C:\Documents and Settings\Ssebastian\Dane aplikacji\Mozilla\Firefox\Profiles\hhjw6vag.default\extensions\vshare@toolbar [2010-12-01 22:24:12 | 000,001,583 | ---- | M] () – C:\Documents and Settings\Ssebastian\Dane aplikacji\Mozilla\Firefox\Profiles\hhjw6vag.default\searchplugins\web-search.xml O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.) O4 - HKLM…\Run: [GEST] File not found O4 - HKLM…\Run: [KernelFaultCheck] File not found O32 - AutoRun File - [2011-03-16 18:14:52 | 000,000,055 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-03-16 18:14:52 | 000,000,055 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-03-16 18:14:52 | 000,000,055 | RHS- | M] () - E:\autorun.inf – [NTFS] :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Odinstaluj Vuze Remote Toolbar.

Podepnij swoje pendrivy i Użyj USBFix http://www.teamxscript.org/usbfixTelechargement.html

Kliknij w nim na przycisk “DELETION”.Pokaz z niego log.

tytanowy · 2 Maj 2011 18:47

Pendrivów żadnych nie posiadam, tak więc nie mam co podpinac, poniżej załączam logi:

log z usuwania:

http://wklej.to/kGgNF

ponowny skan:

http://wklej.to/2I40D

Niepokoją mnie też niektóre linijki w logu extras, a mianowicie:

Error - 2011-05-02 11:11:12 | Computer Name = BIELICKI-E13028 | Source = Service Control Manager | ID = 7031

Description = Usługa Zdalne wywoływanie procedur (RPC) niespodziewanie zakończyła

 pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca

 czynność korekcyjna: Uruchom usługę ponownie.

Error - 2011-05-02 14:30:26 | Computer Name = BIELICKI-E13028 | Source = Service Control Manager | ID = 7034

Description = Usługa InCD Helper niespodziewanie zakończyła pracę. Wystąpiło to 

razy: 1.

[System Events]

Error - 2011-05-01 14:57:56 | Computer Name = BIELICKI-E13028 | Source = Service Control Manager | ID = 7001

Description = Usługa Klient DNS zależy od usługi Sterownik protokołu TCP/IP, której

 nie można uruchomić z powodu następującego błędu: %%31

I pare jeszcze innych ostatnich błędów w logu Extras.

Acorus · 2 Maj 2011 19:19

W porządku.W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/mbam.php

Przeskanuj programem Dr.WEB CureIt http://ftp.drweb.com/pub/drweb/cureit/launch.exe

Możesz użyć USBFix http://www.teamxscript.org/usbfixTelechargement.html z funkcji Vaccinate.To zabezpieczy dyski przed ewentualnym zarażeniem z pendriva itp.

tytanowy · 2 Maj 2011 20:06

Dr.WEB Curelt mi nie działa, podczas próby uruchomienia wyskakują mi dwa błędy:

http://img34.imageshack.us/f/36876350.jpg/

i

http://img848.imageshack.us/f/44453865.jpg

Więc coś jest tutaj chyba nie tak, a co do reszty to zaraz się do tego zastosuje.