Minosr
(Minos)
27 Maj 2014 13:25
#1
Witam.
Zostałem poproszony o pomoc w wyczyszczeniu komoutera z wirusów. Przeskanowałem go USBFix’em, MBAM, ComboFix’em, AdwCleanerem. Wrzucam logi z w/w programów oraz OTL. Przy okazji okazało się, że na komputerze od 5 lat działa keylogger firmy Refrog. Zainstalowany jest Eset który od roku nie otrzymuje aktualizacji z powodu braku licencji.
Na komputerze co jakiś czas uruchamiały się samoczynnie reklamy. Po uruchomieniu AdwCleanera w trybie usuwania nie zaobserwowałem już żadnych wyskakujących reklam. Wolę się jednak upewnić, czy wszystkie infekcje zostały usunięte.
Po zakończeniu czyszczenia chcę zmienić Eseta na avasta.
OTL: http://www.wklej.org/id/1374169/
Extras: http://www.wklej.org/id/1374171/
UsbFix: http://www.wklej.org/id/1374172/
ComboFix: http://www.wklej.org/id/1374173/
AdwCleaner: http://www.wklej.org/id/1374174/
Acorus
(Acorus)
27 Maj 2014 13:42
#2
Odinstaluj McAfee Security Scan Plus.
Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.
Minosr
(Minos)
27 Maj 2014 13:50
#3
Acorus
(Acorus)
27 Maj 2014 18:30
#4
Odinstaluj PC Data App,UpdateChecker.Otwórz Notatnik i wklej:
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {4F8E6A76-6364-47F3-8364-7FA9B05F7D79} URL = http://search.yahoo.com/search?p={searchTerms}ei=utf-8fr=b1ie7
BHO: TrustedShopper - {BBE09607-D9BF-4B2E-88C2-C8D5DF7A7D37} - C:\Program Files\SqueakyChocolate\TrustedShopper\adxloader.dll ()
FF SearchPlugin: C:\Documents and Settings\Pokój Wychowawców\Dane aplikacji\Mozilla\Firefox\Profiles\ovq6qpxg.default\searchplugins\BitGuard.xml
FF SearchPlugin: C:\Documents and Settings\Pokój Wychowawców\Dane aplikacji\Mozilla\Firefox\Profiles\ovq6qpxg.default\searchplugins\BrowserProtect.xml
S2 d93cc0a5; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1\daneap~1\assist~1\AssistantSvc.dll",service
S3 catchme; \\C:\ComboFix\catchme.sys [X]
2014-05-27 14:35 - 2014-05-27 14:43 - 00000000 ____ D () C:\AdwCleaner
2014-05-27 14:00 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe
2014-05-27 14:00 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe
2014-05-27 14:00 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2014-05-27 14:00 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
2014-05-27 14:00 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
2014-05-27 14:00 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
2014-05-27 14:00 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe
2014-05-27 14:00 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe
2014-05-27 14:00 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe
2014-05-27 13:59 - 2014-05-27 14:26 - 00000000 ____ D () C:\Qoobox
2014-05-27 00:50 - 2014-05-27 14:19 - 00000000 ____ D () C:\Avenger
2014-05-26 20:35 - 2014-05-26 20:35 - 00000000 ____ D () C:\Documents and Settings\Pokój Wychowawców\Menu Start\Programy\AnyProtect PC Backup
2014-05-22 17:25 - 2014-05-22 17:25 - 00000000 ____ D () C:\Documents and Settings\Pokój Wychowawców\Dane aplikacji\SmileysWeLove
2014-05-21 22:58 - 2014-05-26 17:57 - 00000000 ____ D () C:\Documents and Settings\Pokój Wychowawców\Ustawienia lokalne\Dane aplikacji\Mobogenie
2014-05-21 22:58 - 2014-05-21 22:58 - 00000000 ____ D () C:\Documents and Settings\Pokój Wychowawców\Ustawienia lokalne\Dane aplikacji\UpdateChecker
2014-05-21 22:58 - 2014-05-21 22:58 - 00000000 ____ D () C:\Documents and Settings\Pokój Wychowawców\Moje dokumenty\Mobogenie
2014-05-21 22:58 - 2014-05-21 22:58 - 00000000 ____ D () C:\Documents and Settings\Pokój Wychowawców\Menu Start\Programy\Mobogenie
2014-05-21 22:58 - 2014-05-21 22:58 - 00000000 ____ D () C:\Documents and Settings\Pokój Wychowawców\.android
2014-05-21 22:58 - 2014-05-21 22:58 - 00000000 _____ () C:\Documents and Settings\Pokój Wychowawców\daemonprocess.txt
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At4.job
C:\Windows\Tasks\At5.job
C:\Windows\Tasks\At6.job
C:\Windows\Tasks\At7.job
C:\Windows\Tasks\At8.job
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST
Minosr
(Minos)
27 Maj 2014 19:30
#5
Acorus
(Acorus)
27 Maj 2014 19:45
#6
Otwórz Notatnik i wklej:
HKLM\...\Policies\Explorer\Run: [2228] = C:\Documents and Settings\All Users\Local Settings\Temp\ccbveuu.bat [137003 2006-03-02] ( (Nilem))
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST
Skasuj folder C:\FRST
Użyj http://www.bleepingcomputer.com/download/tfc/ (uruchom TFC i kliknij Start).
Minosr
(Minos)
27 Maj 2014 20:13
#7