Prośba o profilaktyczne sprawdzenie loga

[saleta]

Witam, proszę o sprawdzenie loga bo ostatnio załapałem parę trojanów i je usunąłem, ale chciałbym się upewnić czy wszystko jest ok.


LOG OTL
http://www.wklej.org/hash/eef5f584ea5/

EXTRAS
http://www.wklej.org/hash/315524fe061/

Dzięki z góry.

[Andziorka]

W okienko OTL wklej poniższy skrypt i klik na Wykonaj skrypt:

:OTL

O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O33 - MountPoints2\{aad5b2b2-e744-11df-b515-001fd00f892e}\Shell - "" = AutoRun
O33 - MountPoints2\{aad5b2b2-e744-11df-b515-001fd00f892e}\Shell\AutoRun\command - "" = H:\USBAutoRun.exe -- File not found
@Alternate Data Stream - 173 bytes -> C:\ProgramData\TEMP:1CE11B51
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:1AAB2E68

:Files
C:\Users\Paulinka2006\AppData\Local\Temp*.html

:REG
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[emptyflash]
[resethosts]
[clearallrestorepoints]

Daj jeszcze loga z Gmer: obowiazkowe-zasady-wstawiania-logow-wazne-vt117887.html + wykonaj pełny skan tym: http://www.programosy.pl/program,malwarebytes-anti-malware.html usuń co znajdzie i daj powstałego loga.

Autor postu otrzymał pochwałę

[saleta]

po otwarciu programu Gmer po lewej stronie co są okienka to większość mam nieaktywnych poniżej zrzut ekranu:




a po wykonaniu skryptu pojawił mi się taki komunikat i i nie wiem czy tak powinno być?

[Andziorka]

Wklej zatem taki skrypt do OTL:

:OTL

O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O33 - MountPoints2\{aad5b2b2-e744-11df-b515-001fd00f892e}\Shell - "" = AutoRun
O33 - MountPoints2\{aad5b2b2-e744-11df-b515-001fd00f892e}\Shell\AutoRun\command - "" = H:\USBAutoRun.exe -- File not found
@Alternate Data Stream - 173 bytes -> C:\ProgramData\TEMP:1CE11B51
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:1AAB2E68

:Files
C:\Users\Paulinka2006\AppData\Local\Temp*.html

:REG
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

Autor postu otrzymał pochwałę

[saleta]

ten skrypt zadziałał i oto log ,

Kod: Zaznacz wszystko

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\gopher|:gopher:// /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\gopher|:gopher:// /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ms-help\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{314111c7-a502-11d2-bbca-00c04f8ec294}\ not found.
File {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found not found.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aad5b2b2-e744-11df-b515-001fd00f892e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{aad5b2b2-e744-11df-b515-001fd00f892e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aad5b2b2-e744-11df-b515-001fd00f892e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{aad5b2b2-e744-11df-b515-001fd00f892e}\ not found.
File H:\USBAutoRun.exe not found.
Unable to delete ADS C:\ProgramData\TEMP:1CE11B51 .
Unable to delete ADS C:\ProgramData\TEMP:1AAB2E68 .
========== FILES ==========
File\Folder C:\Users\Paulinka2006\AppData\Local\Temp*.html not found.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Paulinka2006
->Temp folder emptied: 2200 bytes
->Temporary Internet Files folder emptied: 5323166 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 21520052 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 49632 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 26,00 mb


[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Paulinka2006
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.17.3 log created on 12082010_154426

Files\Folders moved on Reboot...
C:\Users\Paulinka2006\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

teraz właśnie skanuje programem Malwarebytes Anti-Malware, jak skończy to wrzucę log, dzięki z góry

oto log po skanowaniu w/w programem

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Wersja bazy: 5270

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

2010-12-08 17:51:51
mbam-log-2010-12-08 (17-51-51).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|)
Przeskanowano obiektów: 372813
Upłynęło: 1 godzin(y), 56 minut(y), 27 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 1

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
d:\programy do nagrania\malwarebytes.anti-malware.v1.50\patrick.exe (Dont.Steal.Our.Software.A) -> Quarantined and deleted successfully.

daj znać czy wszystko jest OK

[Andziorka]

Wygląda na to, że jest czysto. Uruchom OTL i kliknij Sprzątanie.

[saleta]

OK wielkie dzięki za pomoc