Wielka prośba o sprawdzenie logów OTL i RSIT

[xilje]

Objawy zainfekowania:
- wolne działanie komputera
- wyskakiwanie okienka Survey 2013- największy mój problem

Wykonywane działania:

Eset NOD32 Antyvirus- nic nie wykrył;
SpyHunter 4- wykrył jakąś ogromną liczbę zagrożeń (dla mnie aż nierealną); już usunięty;
Microsoft Security Essentialns- wykrył zagrożenie, skanowanie dwukrotne. W tej chwili twierdzi, że komp jest czysty.
(komunikat: SoftwareBundler: WIN32/DealPly)
Kaspersky TDSSKiller- nic nie wykrył.


Logi:
Tutaj umieść linki do logów z OTL i RSIT

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

RSIT:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

______________________________________________________

Witajcie!

Jestem totalnym laikiem, jeśli chodzi o komputer i nie mogę sobie poradzić z problemem... Czuję, że mam tu jakiegoś paskudnego wirusa, do którego nie wiem, jak (przy pomocy jakich narzędzi) się zabrać. Bardzo liczę na Waszą pomoc.

[Tibu]

Czołem !

Zrób pełny skan programem malwarebytes (jak cos znajdzie to usuń ) jezeli problem z ,, wyskakiwanie okienka Survey 2013 - największy mój problem ,, po skanie nie ustąpi to poprostu usuń program --->>> survey 2013 i po problemie ;D

[xilje]

No właśnie nigdzie nie mogę znaleźć tego Survey 2013... Nie ma tego na liście programów. :/

A co sądzicie o tym SpyHunterze? Rzeczywiście jest to podejrzane oprogramowanie? Sporo osób nie ma zaufania do tego, ponoć swego czasu był na czarnej liście.

[Tibu]

Jezeli to wirus to malwarebytes go zniszczy na 100%. - daj znać po skanie

,,A co sądzicie o tym SpyHunterze?,, nie mam zdania nigdy go nie mialem

widze ze masz iobit-malware ;D - zerowa wykrywalność

usuń search.ask i babylon - jezeli z nich korzystasz to nie usuwaj

[Waves]

Najpierw logi a potem skany

[xilje]

Dobra, to czekam na Tachiona

To to paskudztwo:

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie wiem, jak się tego pozbyć. :/

[tachion]

Pierwsze co odinstaluj:

Web Assistant 2.0.0.602
Adobe Reader 9.5.1 zaktualizuj do wersji Adobe Reader XI 11.0.3 lub skorzystaj z Foxit Reader 6.0.6.0722
MarketResearch
DealPly
FilesFrog program który sprawdza update programów w systemie,ale myślę że jest zbędny i niepotrzebnie obciąza system
I.R.I.S. Desktop Search
McAfee Security Scan Plus
Mozilla Maintenance Service
SpyHunter 4dobrze postąpiłeś

za chwile reszta

---

Dodano: 27 sie 2013, 11:20

Do OTLw okienko,własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:Services
dealplylivem
dealplylive

:OTL
MOD - [2013-08-22 11:19:31 | 000,187,888 | ---- | M] () -- C:\Documents and Settings\edunet\Dane aplikacji\BabSolution\Shared\enhancedNT.dll
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=362&systemid=406&v=n8811-76&apn_uid=4496294214504300&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
IE - HKU\S-1-5-21-1715567821-682003330-1430608332-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=1C920018F3021F05&affID=119357&tsp=4986
IE - HKU\S-1-5-21-1715567821-682003330-1430608332-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=1C920018F3021F05&affID=119357&tsp=4986
IE - HKU\S-1-5-21-1715567821-682003330-1430608332-1003\..\SearchScopes\{106BC313-0CCE-4862-85AC-BD497692BFB1}: "URL" = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=
IE - HKU\S-1-5-21-1715567821-682003330-1430608332-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=362&systemid=406&v=n8811-76&apn_uid=4496294214504300&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
IE - HKU\S-1-5-21-1715567821-682003330-1430608332-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb167/?search={searchTerms}&loc=IB_DS&a=6R8zQSnPPF&i=26
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledAddons: ffxtlbr%40babylon.com:1.5.0
FF - prefs.js..extensions.enabledAddons: %7B8E9E3331-D360-4f87-8803-52DE43566502%7D:2.0.0.602
FF - prefs.js..extensions.enabledAddons: %7Be53a26f5-7199-4a5b-86f5-d2e86854b979%7D:2.0
FF - prefs.js..network.proxy.ftp: "main.biblioteka.tarnow.pl"
FF - prefs.js..network.proxy.ftp_port: 8000
FF - prefs.js..network.proxy.http: "main.biblioteka.tarnow.pl"
FF - prefs.js..network.proxy.http_port: 8000
FF - prefs.js..network.proxy.no_proxies_on: "localho,t,127.0.0.1,*.local"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "main.biblioteka.tarnow.pl"
FF - prefs.js..network.proxy.socks_port: 8000
FF - prefs.js..network.proxy.ssl: "main.biblioteka.tarnow.pl"
FF - prefs.js..network.proxy.ssl_port: 8000
FF - prefs.js..network.proxy.type: 0
[2013-08-26 12:41:05 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\extensions
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=3: C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll (DealPly Technologies Ltd)
FF - HKLM\Software\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=9: C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll (DealPly Technologies Ltd)
FF - HKLM\Software\MozillaPlugins\@ganymede/GanymedeNetPlugin,version=1.0: C:\Program Files\Ganymede\Plugins\npganymedenet.dll ( )
O2 - BHO: (DealPly Shopping) - {9cf699ca-2174-4ed8-bec1-ba82095edce0} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly)
O3 - HKLM\..\Toolbar: (I.R.I.S. Desktop Search) - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - C:\Program Files\IRIS Desktop Search\IRISDesktopSearchIntegration910.dll (Copernic Technologies Inc.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1715567821-682003330-1430608332-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: []File not found
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O36 - AppCertDlls: x64 - (c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll) -File not found
[2013-08-16 14:48:49 | 000,000,000 | ---D | M] (DealPlyShopping) -- C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\extensions\{e53a26f5-7199-4a5b-86f5-d2e86854b979}
[2012-07-24 11:33:28 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\extensions\[email protected]
[2012-07-23 12:22:48 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\extensions\[email protected]
[2012-03-08 11:10:24 | 000,000,000 | ---D | M] (Softonic Toolbar) -- C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\extensions\[email protected]
[2010-04-27 14:11:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Avery
[2012-07-23 12:04:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2013-07-05 12:37:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\edunet\Dane aplikacji\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I
[2013-08-26 12:41:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\edunet\Dane aplikacji\BabSolution
[2012-07-23 12:04:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\edunet\Dane aplikacji\Babylon
[2013-08-16 14:48:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\edunet\Dane aplikacji\Dealply
[2012-10-02 13:09:09 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Common Files
[2012-11-07 12:37:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\edunet\Dane aplikacji\GanymedeNet
[2011-10-10 14:53:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\edunet\Dane aplikacji\NewSoft
[2012-10-02 13:12:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\edunet\Dane aplikacji\pdfforge
[2012-07-23 12:32:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\edunet\Dane aplikacji\VideoDownloadToolbar

:Files
C:\Windows\tasks\*.*
C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\searchplugins\ask-search.xml
C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\searchplugins\Ask.xml
C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\searchplugins\babylon.xml
C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\searchplugins\BrowserDefender.xml
C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\searchplugins\delta.xml
C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\searchplugins\my-web-search.xml
C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\searchplugins\MyStart Search.xml
C:\Documents and Settings\edunet\Dane aplikacji\Mozilla\Firefox\Profiles\tozyo2wx.default\searchplugins\softonic.xml
C:\Program Files\mozilla firefox\searchplugins\Ask.xml

:Commands
[RESETHOSTS]
[EMPTYTEMP]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Scani następnie Clean

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLraport po wykonaniu,oraz raport z Adwcleaner .

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom,kliknij w File > Savei zapisz jako AutoRuns.arn ,plik prześlij na jakiś hosting np.tu

[Aby zobaczyć linki, zarejestruj się tutaj]

i przedstaw na forum.

[xilje]

No i lipa

[tachion]

McAfee Security Scan Plus nie szło odinstalować ?

spróbuj użyć tego

[Aby zobaczyć linki, zarejestruj się tutaj]

Wykonałeś skrypt ?

[xilje]

Tak. Skrypt zrobiony. Już w pierwszych sekundach wyskoczyła mi info na czerwono, że komputer zagrożony. Po jakimś czasie komp zaządał wyłaczenia - to normalne?

[tachion]

Tak po wykonanym skrypcie OTL żąda uruchomienia kompa ponownie.
Zrobiłeś tak ?
I co do skryptu też trza być cierpliwym,żeby się wykonał.

[xilje]

Raport po wykonaniu skryptu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Rzuć okiem, proszę, co sie dzieje.

I teraz tak:
AdwCleanera nie mogę pobrać, bo nie mam na tamtym komputerze internetu (a na tym mam blokady).

[tachion]

Jakie blokady ?


Ściągnij to

[Aby zobaczyć linki, zarejestruj się tutaj]

zaznacz wszystko oprócz winsock i kliknij GO.

[xilje]

McAfee Security Scan Plus - wywalone. Biorę się teraz za tego AdwCleanera.

---

Dodano: 27 sie 2013, 14:38

Przepraszam za double-post.
Oto logi:

- raport z AdwCleaner :

[Aby zobaczyć linki, zarejestruj się tutaj]

- raport OTL :

[Aby zobaczyć linki, zarejestruj się tutaj]

---

Dodano: 27 sie 2013, 15:07

- z Autoruns :

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Czy używasz jakiegoś serwera proxy np. "ProxyServer" = main.biblioteka.tarnow.pl:8000

I cy jest normalnie już połączenie sieciowe ?

[xilje]

Tak, zdaje się, ze to ten serwer. Interentu wciaż nie ma. To jeden z komputerów, który mamy w pracy: jest ogólnie dostępny.

A co wykazał raport?

[tachion]

Hosts dalej nie zgodny z xp

Wejdź w tą lokalizację:
Otwórz w Notatniku plik C:\WINDOWS\system32\drivers\etc\ Hosts

i wytnij tą drugą linię ::1 localhostzamknij i zapisz,uruchom komputer ponownie.