sebawujek
(Sebawujek)
13 Październik 2012 23:35
#1
Witajcie ponownie frumowicze. Zwracam się z kolejną proźbą o przeglądniecie logów OTL pod kątem “niechcianego” oprogramowani. szegującego, keyloggerów etc. Ja sam w procesach czy logach nie widzę nic godnego uwagi… Chociaż zastanawia mnie dosyć wysokie użycie procesora przez jeden z procesów SVCHOST.exe. Postanowiłem jednak zwrócić się do specjalistów od OTL. Sprawa wygląda tak, że laptop jest mojej dziewczyny, a dostep do niego miał jeden d… i ona boi się, że coś tam pozostawił po sobie. Ja, jak już wspomniałem nic nie znalazłem aczkolwiek prosił bym o rzut okiem ; - )
OTL: http://wklej.to/Mituk
EXTRAS: http://wklej.to/guN7K
Dorzucam screeny procesów…
Pozdrawiam i miłej niedzieli !
Sebasian
Acorus
(Acorus)
14 Październik 2012 08:19
#2
Odinstaluj Inbox Toolbar,Babylon toolbar on IE,SFT_Polska Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\RtsUCcid.sys – (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\Rts516xIR.sys – (RtsUIR) DRV - File not found [Kernel | On_Demand | Stopped] – System32\Drivers\RtsUStor.sys – (RSUSBSTOR) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Windows\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | Disabled | Stopped] – C:\Windows\system32\drivers\blbdrive.sys – (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_med … 1348357397 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_med … 1348357397 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?q={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?q={searchTerms} IE - HKLM…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076 IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 1010000&q={searchTerms}&barid={C8D09C32-13A4-469E-8EAF-E63F299A0A11} IE - HKLM…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/red … 685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120307122127972&tb_oid=07-03-2012&tb_mrud=07-03-2012 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_med … 1348357397 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_med … 1348357397 IE - HKCU…\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found IE - HKCU…\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.) IE - HKCU…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.v9.com/web/?q={searchTerms} IE - HKCU…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110823&babsrc=SP_ss&mntrId=b25b8214000000000000c417fed8efe5 IE - HKCU…\SearchScopes{33BB0A4E-99AF-4226-BDF6-49120163DE86}: “URL” = http://search.v9.com/web/?q={searchTerms} IE - HKCU…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076 IE - HKCU…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 1010000&q={searchTerms}&barid={C8D09C32-13A4-469E-8EAF-E63F299A0A11} IE - HKCU…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/red … 685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120307122127972&tb_oid=07-03-2012&tb_mrud=07-03-2012 [2012-04-14 12:15:00 | 000,002,313 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-01-21 15:52:58 | 000,002,048 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (Inbox Toolbar) - {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - C:\Program Files\Inbox Toolbar\Inbox.dll (Inbox.com , Inc.) O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (&Inbox Toolbar) - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - C:\Program Files\Inbox Toolbar\Inbox.dll (Inbox.com , Inc.) O3 - HKLM…\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) [2012-09-20 17:54:37 | 000,001,690 | ---- | M] () – C:\user.js :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
sebawujek
(Sebawujek)
14 Październik 2012 10:37
#3
Acorus dziękuje Ci bardzo. Jak tylko będę miał dostęp ponownie do tego komputera ( pewnie wieczorkiem znów przez teamviewer ) to wykonam to wszystko i dam Edit