Zamulony laptop użytkowany bez antywirusa

**Posty:** 242 · przez **drdala** 20 Kwi 2013, 17:54

Witam proszę o sprawdzenie logów zamulonego laptopa który był długo użytkowany bez żadnego antywirusa. DO laptopa były podłączane pendrive'y itd. więc pewnie jest zawirusowany. Proszę o sprawdzenie logów.
raporty z OTL
extras http://wklejto.pl/157660
otl http://wklejto.pl/157661
widzicie coś tu podejrzanego? Co robić?

**Posty:** 4765 · przez **ordynat** 20 Kwi 2013, 18:14

W logach widać tylko resztki infekcji WEELSOF (Ukash), oraz sponsorskie śmieci.

1) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
Kliknij w nim Usuń
Pokaż raport z niego C:\AdwCleaner[S1].txt

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-04-16 08:03:20 | 000,000,004 | ---- | C] () -- C:\Users\media\AppData\Roaming\skype.ini
O20 - HKU\S-1-5-21-1118003190-1479082996-3937646231-1000 Winlogon: Shell - (C:\Users\media\AppData\Roaming\skype.dat) - File not found
[2013-04-20 17:07:53 | 000,000,480 | ---- | C] () -- C:\Windows\SysNative\F39D4DE6-98B8-4E05-91BD-549E8A8248BD
[2012-11-02 18:27:49 | 000,000,000 | ---D | M] -- C:\Users\media\AppData\Roaming\OpenCandy
[2012-11-02 18:26:01 | 000,290,500 | ---- | C] () -- C:\Users\media\AppData\Local\funmoods-speeddial_sf.crx
[2012-11-02 18:26:00 | 000,031,465 | ---- | C] () -- C:\Users\media\AppData\Local\funmoods.crx
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MIF5BA~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MIF5BA~1\Office14\ONBttnIE.dll/105 File not found
O4 - HKU\S-1-5-21-1118003190-1479082996-3937646231-1000..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1118003190-1479082996-3937646231-1000\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Program Files (x86)\RelevantKnowledge [2012-02-10 17:03:05 | 000,000,000 | ---D | M]
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found

:Reg
[-HKEY_USERS\S-1-5-21-1118003190-1479082996-3937646231-1000\Software\Microsoft\Internet Explorer\SearchScopes\{F6F0B0C5-0402-4680-9B99-F84A8F6E3566}]
[-HKEY_USERS\S-1-5-21-1118003190-1479082996-3937646231-1000\Software\Microsoft\Internet Explorer\SearchScopes\{78FCE95A-8E47-44AF-901E-3CDDDA05901D}]
[HKEY_USERS\S-1-5-21-1118003190-1479082996-3937646231-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{E1015117-FD96-479B-B96E-B56E87867837}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

3) Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline)
Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml
.

**Posty:** 242 · przez **drdala** 21 Kwi 2013, 10:33

raport z adw
http://wklejto.pl/157723

Dodano Dzisiaj, 10:13:
po wykonaniu skryptu raport http://wklejto.pl/157725

Dodano Dzisiaj, 10:38:
raport po ponownym skanie otl http://wklejto.pl/157726

**Posty:** 4765 · przez **ordynat** 21 Kwi 2013, 11:42

Jeszcze drobna kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O20:64bit: - AppInit_DLLs: (c:\PROGRA~1\BULLGU~1\BULLGU~1\BgAgent.dll) - File not found
O20:64bit: - AppInit_DLLs: (BgGamingMonitor.dll) - File not found
O20 - AppInit_DLLs: (c:\PROGRA~1\BULLGU~1\BULLGU~1\Files32\BgAgent.dll) - File not found
O20 - AppInit_DLLs: (BgGamingMonitor.dll) - File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

Raportu z tego już nie dawaj.
Potem kończymy:
W Adw-Cleaner kliknij na przycisk Odinstaluj
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.