Prośba o skrypt OTL

[cmonczyk]

Objawy zainfekowania:
System po kilku godzinach pracy zwalania i pracuje ociężale. Przeglądarka często zacina się i reaguje dopiero po kilku sekundach.

Wykonywane działania:
Skanowanie avastem, system ninja, cclenerem - cos niby usunęło, ale efektów żadnych.

Logi:

OTL

cz.1 >

[Aby zobaczyć linki, zarejestruj się tutaj]

cz.2 >

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Pierwsze co odinstaluj:

Mozilla Maintenance Service
Akamai NetSession Interface

Zrób nowe logi w OTL,zaznacz zaznacz opcje tak jak poniżej na obrazku.

[Aby zobaczyć linki, zarejestruj się tutaj]

[cmonczyk]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Do OTL w okienko własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={744B3463-F0E8-11E1-BF5D-BC5FF41BA1F5}
IE - HKU\S-1-5-21-782774025-3839796034-674010258-1000\..\URLSearchHook: {D8278076-BC68-4484-9233-6E7F1628B56C} - No CLSID value found
IE - HKU\S-1-5-21-782774025-3839796034-674010258-1000\..\SearchScopes,DefaultScope = {8D206067-EB4D-42a9-9568-42D0B9C98C58}
IE - HKU\S-1-5-21-782774025-3839796034-674010258-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK
IE - HKU\S-1-5-21-782774025-3839796034-674010258-1000\..\SearchScopes\{8D206067-EB4D-42a9-9568-42D0B9C98C58}: "URL" = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
O2:[b]64bit:[/b] - BHO: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found.
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95188727-288F-4581-A48D-EAB3BD027314} - No CLSID value found.
O3 - HKU\S-1-5-21-782774025-3839796034-674010258-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-782774025-3839796034-674010258-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKU\S-1-5-21-782774025-3839796034-674010258-1000..\Run: []File not found
O4 - HKU\S-1-5-21-782774025-3839796034-674010258-1000..\Run: [AdobeBridge]File not found
O4 - HKU\S-1-5-21-782774025-3839796034-674010258-1000..\Run: [Akamai NetSession Interface] "C:\Users\Marek\AppData\Local\Akamai\netsession_win.exe" File not found
O4 - HKU\S-1-5-21-782774025-3839796034-674010258-1000..\Run: [ASRockXTU]File not found
O4 - HKU\S-1-5-21-782774025-3839796034-674010258-1000..\Run: [Tiny download manager] "C:\Users\Marek\AppData\Local\DM\TinyDM.exe" /M File not found
O4 - HKU\S-1-5-21-782774025-3839796034-674010258-1000..\Run: [zASRockInstantBoot]File not found
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:[b]64bit:[/b] - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8:[b]64bit:[/b] - Extra context menu item: Sothink Flash Downloader For IE - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm ()
O8:[b]64bit:[/b] - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Sothink Flash Downloader For IE - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm ()
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found
O9 - Extra Button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - Reg Error: Key error. File not found
O9 - Extra ''Tools'' menuitem : Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - Reg Error: Value error. File not found
O9 - Extra Button: Sothink Flash Downloader For IE - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm ()
O9 - Extra ''Tools'' menuitem : Sothink Flash Downloader For IE - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm ()
O15 - HKU\.DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-19\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: sony.com ([]* in )
O20 - HKU\S-1-5-21-782774025-3839796034-674010258-1000 Winlogon: Shell - (expstart.exe) - C:\Windows\expstart.exe ()
[2012-12-13 08:36:24 | 000,000,005 | -H-- | C] () -- C:\Users\Marek\.zs
[2013-02-08 23:10:20 | 000,000,000 | ---D | M] -- C:\Users\Marek\AppData\Roaming\Babylon
[2013-09-21 03:19:41 | 000,000,000 | ---D | C] -- C:\ProgramData\regid.1991-06.com.microsoft
@Alternate Data Stream - 142 bytes -> C:\ProgramData\Temp:DED17083
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:BF3D62E7
@Alternate Data Stream - 113 bytes -> C:\ProgramData\Temp:76650B61

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Files
C:\Windows\tasks\*.*
netsh firewall reset /C

:Commands
[EMPTYTEMP]
[RESETHOSTS]

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

W Google Chrome wpisz chrome//extensions/ ,odinstaluj niepotrzebne rozszerzenia.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Scani następnie Clean

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport po wykonaniu,jak i raport z Adwcleaner .

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij skanuj i przedstaw raport z niego.

[cmonczyk]

Raport OTL po wykonaniu skryptu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Raport TDSS

[Aby zobaczyć linki, zarejestruj się tutaj]

adwc

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL po wszystkim

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Wklej do OTL i wykonaj,podaj raport z wykonania.

Kod:

:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

:Files
C:\Windows\SysNative\%LOCALAPPDATA%

:Commands
[EMPTYTEMP]

[cmonczyk]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Przejdź do sprzątania w OTL w Adwcleaner kliknij Uninstall.