zainfekowany komputer- prośba o sprawdzenie loga

[fotek2]

Objawy zainfekowania: nie można było odpalić kompa, .po uruchomieniu awaryjnym i przeskanowaniu oraz usunięciu problemów , pozostał jeszcze jeden tzn. że w trakcie przeglądania stron i poruszania myszką obraz/strona internetowa skacze/przesuwa się bez żadnej kontroli z mojej strony.Skanowanie programem AVG ujawniło jeszcze jeden nie wyleczony problem w pliku system("Zainfekowany";"Z
rednie";"IRP hook, C:\WINDOWS\system32\drivers\Ntfs.sys IRP_MJ_READ -> 0xFFFFFFFF8A2462C0";"<unknown>";"Zainfekowany")
Napisz czym objawia się infekcja

Wykonywane działania: snawanie wykonane AVG ,malwarebytes antimalware oraz Registry mechanic
Opisz czym był skanowany komputer, jakie posiada oprogramowanie ochronne

Logi:
Tutaj umieść linki do logów z OTL i RSIT

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Zaktualizuj:

Adobe Reader X (10.0.1)
Adobe Flash Player 10

Odinstaluj:

AVG Security Toolbar
facemoods
Funmoods
"V9Software" = Deinstalator Strony V9

Do OTL w okienko własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
PRC - [2013-09-23 21:36:36 | 002,285,232 | ---- | M] () -- C:\Program Files\AVG Secure Search\vprot.exe
PRC - [2013-09-23 21:36:36 | 001,616,048 | ---- | M] (AVG Secure Search) -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.4.0\ToolbarUpdater.exe
PRC - [2013-09-23 21:36:36 | 000,161,968 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.4.0\loggingserver.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=cor
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironto&cd=2XzuyEtN2Y1L1QzutDtDtBtByEtAtC0E0AtD0AyEzytC0ByEtN0D0Tzu0CtAyBtCtN1L2XzutN1L1Czu2Y1E1QtC&cr=1920217299&ir=
IE - HKLM\..\SearchScopes\{78C629AE-A5B1-1C3E-31C8-784809C4F13B}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119535&tt=190313_wo3&babsrc=HP_ss&mntrId=506B0022431EA0A4
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=cor
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.babylon.com/?q={searchTerms}&affID=119535&tt=190313_wo3&babsrc=SP_ssbtis1&mntrId=506B0022431EA0A4
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes\{78C629AE-A5B1-1C3E-31C8-784809C4F13B}: "URL" = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes\{E639B210-3BF7-4111-8D76-9300F63D0CC7}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironto&cd=2XzuyEtN2Y1L1QzutDtDtBtByEtAtC0E0AtD0AyEzytC0ByEtN0D0Tzu0CtAyBtCtN1L2XzutN1L1Czu2Y1E1QtC&cr=1920217299&ir=
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\15.4.0\\npsitesafety.dll ()
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\Toolbar\ShellBrowser: (no name) - {CE18769B-C7FA-42D2-860D-17C4662C70AD} - No CLSID value found.
O3 - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No CLSID value found.
O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\15.4.0\ViProtocol.dll (AVG Secure Search)
[2013-03-10 03:48:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\TuneUp Software
[2013-03-10 03:48:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator.SZATAN-B90744B8\Dane aplikacji\TuneUp Software
[2013-03-10 03:48:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator.SZATAN-B90744B8.000\Dane aplikacji\TuneUp Software
2011-02-25 14:41:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Agata\Dane aplikacji\orlujxxbfwmhnuixk2hjymiaihxrz312
[2011-02-25 14:42:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Agata\Dane aplikacji\xxzsohmwe3ldnqhigat1xawaljjbfoet2
[2013-02-02 22:22:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2013-09-24 14:45:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TEMP
[2013-03-10 03:48:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Default User\Dane aplikacji\TuneUp Software

:Files
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

:Commands
[EMPTYTEMP]

W Google Chrome wklep chrome//extensionsi wymontuj Babylon Translatori AVG Secure Search

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Scani następnie Clean

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport po wykonaniu,jak i raport z Adwcleaner .

[fotek2]

OTL po wklejeniu skryptu wygląda tak jakby się zawiesił . zamiast kursora widoczna klepsydra ...i nic . trwa to już około 1h. widok -OTL by OldTimer...(brak odpowiedzi ).co dalej . czy można zrestartować komputer?

[chomikos]

Spróbuj w trybie awaryjnym z obsługą sieci wykonać

[fotek2]

problem jest dale ze wskaźnikiem myszki - bez wciśnięcia przycisku myszki strona przewija się w kierunku w jakim podąża wskaźnik . zaznaczam - bez wciśnięcia jakiegokolwiek przycisk .

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Z tego co widzę większość się wykonała,do OTL wklej i wykonaj,pokaż raport z wykonania

Kod:

:OTL
IE - HKCU\..\SearchScopes\{78C629AE-A5B1-1C3E-31C8-784809C4F13B}: "URL" = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}
IE - HKCU\..\SearchScopes\{E639B210-3BF7-4111-8D76-9300F63D0CC7}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironto&cd=2XzuyEtN2Y1L1QzutDtDtBtByEtAtC0E0AtD0AyEzytC0ByEtN0D0Tzu0CtAyBtCtN1L2XzutN1L1Czu2Y1E1QtC&cr=1920217299&ir=
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {CE18769B-C7FA-42D2-860D-17C4662C70AD} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No CLSID value found.

:Commands
[EMPTYTEMP]

[fotek2]

[Aby zobaczyć linki, zarejestruj się tutaj]

problem jeszcze występuje , ale sporadycznie- tak mi się wydaje .
jak byłem w trybie awaryjnym to nawet nie mogłem zaznaczyć skryptu do skopiowania tak latało . bo co ruszyłem myszką to mi wszystko się przesuwało

---

Dodano: 26 wrz 2013, 20:59

niestety , problem jest ten sam

[tachion]

Ściągnij FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom i kliknij Scan podaj 2 logi które zostaną wygenerowane FRST.txti Addition.txt

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij skanuj i przedstaw raport z niego.

Ściągnij Crystal Disk Info:

[Aby zobaczyć linki, zarejestruj się tutaj]

... Shizuku-eni zrób zrzut ekranu z niego.

Sprawdź programem Memtest86 + pamieć komputera pod względem błędów

[Aby zobaczyć linki, zarejestruj się tutaj]