Proszę o sprawdzenie logów

[figer]

Objawy zainfekowania:
Infekcja objawia się przy uruchamianiu Firefox''a. Avast pokazuje okienko, że zablokował złośliwy adres url (strona główna to google.pl).
Infekcja typu URL: MAL oraz URL: MAL2.
Adresy do których miało być przekierowanie to ptrbie.com oraz primxy.com

Wykonywane działania:
Komputer skanowany programami Avast, AdwCleaner, Malwarebytes Anti-Malware. Możliwe, że czymś jeszcze, bo nie jest to mój komputer, tylko teścia.
Avast i Malwarebytes nic nie znajdują. Co do AdwCleaner to wcześniej był używany ale nie wiem co było usuwane. Zrobiłem nowy raport i załączam go poniżej.
Proszę o kolejne instrukcje.

Logi:
OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

RSIT

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Odinstaluj:

Mozilla Maintenance Service
Spybot - Search & Destroy

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Ściągnij program i zresetuj hosts do domyślnego poziomu

[Aby zobaczyć linki, zarejestruj się tutaj]

Do OTL w okienko własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD3200BEVT-22A23T0_WD-WX71A704552845528&ts=0
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD3200BEVT-22A23T0_WD-WX71A704552845528&ts=0
O9 - Extra ''Tools'' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O15 - HKU\S-1-5-21-953864326-834876565-2029926443-1000\..Trusted Domains: mks.com.pl ([www] https in Zaufane witryny)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)

:Files
C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs
C:\Users\user\AppData\Roaming\eCyber
C:\Users\user\AppData\Roaming\iSafe

:Commands
[EMPTYTEMP]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij skanuj i przedstaw raport z niego.

Uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport po wykonaniu.

[figer]

Witaj tachion.

Dziękuję za odpowiedź.
Zrobiłem wszystko wg instrukcji. Wyniki załączam poniżej. Powiadomienia o infekcji się już nie pokazują.

Czy ogólnie mam zrobić coś jeszcze?

TDSS rootkit

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie wiem dlaczego w Extras na końcu napisane jest, że był problem z dostępem do pliku hosts. Czy jest to możliwe dlatego, że działam na tym kompie zdalnie przez TeamViewer''a?

Dzięki!!!

[tachion]

Do otl wklej i wykonaj

Kod:

:Files
C:\Users\user\AppData\Roaming\eCyber
C:\Users\user\AppData\Roaming\iSafe

pokaż raport

Hosts już jest na swoim miejscu,miałeś tam wpisy wprowadzone przez program Hosts_Anti_Adwares_PUPs,oczywiście możesz go zainstalować ale to na własne życzenie nie wiem jak programy av będą reagować na niego i jego zmiany

[figer]

Witam,

Trochę mi czasu niestety zajęło aby móc dostać się do zainfekowanego komputera.

W każdym razie skrypt wkleiłem i wykonałem w OTL, oto raport:

========== FILES ==========
C:\Users\user\AppData\Roaming\eCyber\sysicons folder moved successfully.
C:\Users\user\AppData\Roaming\eCyber folder moved successfully.
C:\Users\user\AppData\Roaming\iSafe\was folder moved successfully.
C:\Users\user\AppData\Roaming\iSafe\SendTo folder moved successfully.
C:\Users\user\AppData\Roaming\iSafe\rms folder moved successfully.
C:\Users\user\AppData\Roaming\iSafe\ico folder moved successfully.
C:\Users\user\AppData\Roaming\iSafe\ess folder moved successfully.
C:\Users\user\AppData\Roaming\iSafe\eas folder moved successfully.
C:\Users\user\AppData\Roaming\iSafe\bas folder moved successfully.
C:\Users\user\AppData\Roaming\iSafe folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 12212013_183923
===================================================
Czy to już wszystko?

Chcę jeszcze raz bardzo podziękować za pomoc!!!

Pozdrawiam!

[tachion]

Ogólnie to możesz przejść do sprzątania w OTL,ale przez ten okres mogły zajść już też jakieś zmiany w systemie,to jak chcesz możesz zrobić log FRST i podać jeszcze do sprawdzenia.