Kontrola log

[123user]

Witam,
Objawy zainfekowania:
Ja chciałbym aby ktoś sprawdzić czy moim systemie jest już wszystko ok.  Ponieważ mam użycie dysk, 16 svhost 3 dllhosty.

Wykonywane działania:
Skanowane ESET Smart Security 8, Malwarebytes Anti-Malware, Dr.WebCureIt!,Kaspersky Remove

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Proszę o dostarczenie pozostałych logów addition.txt + shortcut.txt

[123user]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> 
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> 
HKU\S-1-5-21-1054185975-1010476312-2447424115-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> none
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1054185975-1010476312-2447424115-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-1054185975-1010476312-2447424115-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1054185975-1010476312-2447424115-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKLM -> {1E189A35-35B3-49D4-80F1-1C875D08EB29} URL = http://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
SearchScopes: HKLM-x32 -> {2D90233D-52EF-4DA4-81C8-506B997D3F67} URL = http://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-1054185975-1010476312-2447424115-1000 -> {1E189A35-35B3-49D4-80F1-1C875D08EB29} URL = 
SearchScopes: HKU\S-1-5-21-1054185975-1010476312-2447424115-1000 -> {2D90233D-52EF-4DA4-81C8-506B997D3F67} URL = 
SearchScopes: HKU\S-1-5-21-1054185975-1010476312-2447424115-1000 -> {9BE83D79-EC40-480D-9A1D-71E5B27A5CBD} URL = http://www.google.com/search?hl=pl&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1054185975-1010476312-2447424115-1000 -> {9C52AFAA-F7E7-4A15-80BA-B85CDCFC2450} URL = http://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
Toolbar: HKLM - No Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -  No File
Toolbar: HKLM-x32 - No Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -  No File
DPF: HKLM {AEA3991E-3109-4C98-989E-33994FEB1A91} http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri64_4.5.1.0.cab
FF NetworkProxy: "http_port", 3128
FF NetworkProxy: "type", 0
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin: @videolan.org/vlc,version=2.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File
FF Plugin: @videolan.org/vlc,version=2.1.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File
FF Plugin: @videolan.org/vlc,version=2.1.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File
FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File
FF Plugin: @videolan.org/vlc,version=2.1.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File
FF Plugin-x32: @ganymede/GanymedeNetPlugin,version=1.0 -> C:\Program Files (x86)\Ganymede\Plugins\npganymedenet.dll No File
FF Plugin-x32: @ganymede/MAKAOV2,version=1.0 -> C:\Program Files (x86)\Ganymede\Plugins\MAKAOV2\NPMAKAOV2.dll No File
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll No File
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll No File
FF Plugin HKU\S-1-5-21-1054185975-1010476312-2447424115-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Bitdefender\Bitdefender 2015\antispam32\bdwteff
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - https://clients2.google.com/service/update2/crx
S3 ALSysIO; \??\C:\Users\Mateusz\AppData\Local\Temp\ALSysIO64.sys [X]
S1 AntiLog32; \??\C:\Windows\system32\drivers\AntiLog64.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 cleanhlp; \??\C:\EEK\Run\cleanhlp64.sys [X]
U3 DfSdkS; No ImagePath
S3 keycrypt; system32\DRIVERS\KeyCrypt64.sys [X]
S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X]
S3 lmimirr; system32\DRIVERS\lmimirr.sys [X]
S3 pbfilter; \??\C:\Users\Mateusz\Desktop\PeerBlockPortable\App\PeerBlock\Modern64\pbfilter.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
C:\ProgramData\*.bdinstall.bin
C:\ProgramData\KGyGaAvL.sys
CustomCLSID: HKU\S-1-5-21-1054185975-1010476312-2447424115-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Mateusz\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File
CustomCLSID: HKU\S-1-5-21-1054185975-1010476312-2447424115-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Mateusz\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
Task: {514C8E4A-0C7D-46DA-B351-F4878FBE3891} - System32\Tasks\ConfigFree Startup Programs => C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe [2010-12-03] (TOSHIBA CORPORATION)
Task: {5B4FCA40-F219-4405-A1C2-6DDE056A01F6} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {A66C9AEC-ECD0-4D02-AA59-49D76C84BBF7} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {D2184052-D7EB-46BD-A85C-9B14ADA2C4FF} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
AlternateDataStreams: C:\ProgramData\TEMP:24721E3C
AlternateDataStreams: C:\Users\Mateusz\Cookies:zJBfib3BtGv5LEYzF
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\13246771.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\21130333.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\13246771.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\21130333.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.


Przeglądnij też komponenty opcjonalne.

Kod:

TOSHIBA Assist (HKLM-x32\...\{C2A276E3-154E-44DC-AAF1-FFDD7FD30E35}) (Version: 4.02.02 - TOSHIBA CORPORATION)
TOSHIBA ConfigFree (HKLM-x32\...\{F52618B2-A995-4F8D-A6C8-9E235A470C68}) (Version: 8.0.36 - TOSHIBA CORPORATION)
TOSHIBA Disc Creator (HKLM\...\{5DA0E02F-970B-424B-BF41-513A5018E4C0}) (Version: 2.1.0.6 for x64 - TOSHIBA Corporation)
TOSHIBA eco Utility (HKLM-x32\...\InstallShield_{B3FF1CD9-B2F0-4D71-BB55-5F580401C48E}) (Version: 1.2.23.64 - TOSHIBA Corporation)
TOSHIBA Hardware Setup (HKLM-x32\...\InstallShield_{C4FFA951-9678-4D51-84B4-AFD15D3C45AD}) (Version: 4.08.06.00 - )
TOSHIBA HDD/SSD Alert (HKLM-x32\...\InstallShield_{D4322448-B6AF-4316-B859-D8A0E84DCB38}) (Version: 3.1.64.7 - TOSHIBA Corporation)
Toshiba Manuals (HKLM-x32\...\{90FF4432-21B7-4AF6-BA6E-FB8C1FED9173}) (Version: 10.02 - TOSHIBA)
TOSHIBA Online Product Information (HKLM-x32\...\{2290A680-4083-410A-ADCC-7092C67FC052}) (Version: 4.00.0008 - TOSHIBA)
TOSHIBA PC Health Monitor (HKLM\...\{9DECD0F9-D3E8-48B0-A390-1CF09F54E3A4}) (Version: 1.7.4.64 - TOSHIBA Corporation)
TOSHIBA Recovery Media Creator (HKLM-x32\...\{B65BBB06-1F8E-48F5-8A54-B024A9E15FDF}) (Version: 2.1.3.10010 - TOSHIBA CORPORATION)
TOSHIBA Recovery Media Creator Reminder (HKLM-x32\...\InstallShield_{773970F1-5EBA-4474-ADEE-1EA3B0A59492}) (Version: 1.00.0019 - TOSHIBA)
TOSHIBA Service Station (HKLM-x32\...\{AC6569FA-6919-442A-8552-073BE69E247A}) (Version: 2.1.52 - TOSHIBA)
TOSHIBA Sleep Utility (HKLM-x32\...\{654F7484-88C5-46DC-AB32-C66BCB0E2102}) (Version: 1.4.2.7 - TOSHIBA Corporation)
TOSHIBA Supervisor Password (HKLM-x32\...\InstallShield_{CBD6B23D-41D5-4A46-8019-6208516C9712}) (Version: 4.08.06.00 - )
TOSHIBA TEMPRO (HKLM-x32\...\{F082CB11-4794-4259-99A1-D91BA762AD15}) (Version: 3.35 - Toshiba Europe GmbH)
TOSHIBA Value Added Package (HKLM-x32\...\InstallShield_{066CFFF8-12BF-4390-A673-75F95EFF188E}) (Version: 1.5.1.64 - TOSHIBA Corporation)
TOSHIBA Web Camera Application (HKLM-x32\...\InstallShield_{6F3C8901-EBD3-470D-87F8-AC210F6E5E02}) (Version: 1.1.6.3 - TOSHIBA Corporation)
TRORMCLauncher (HKLM-x32\...\InstallShield_{E65C7D8E-186D-484B-BEA8-DEF0331CE600}) (Version:  - )

Które są zbędne to je odinstaluj,ewentualnie te które zostały wyłączone w msconfig.

W przeglądarce Firefox


Otwórz menu w górnym rogu po prawej stronie > otwórz menu pomoc oznaczone czerwoną ramką.

[Aby zobaczyć linki, zarejestruj się tutaj]

Informacje dla pomocy technicznej > Odśwież program Firefox. Reset nie naruszy zakładek i haseł.

Wykonaj działania programem adwcleaner jeszcze raz i przedstaw z tego działania log.


Zrób nowe logi i przedstaw z FRST.txt > Addition.txt

[123user]

Addition >

[Aby zobaczyć linki, zarejestruj się tutaj]

ADW >

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST>

[Aby zobaczyć linki, zarejestruj się tutaj]

Log >

[Aby zobaczyć linki, zarejestruj się tutaj]

Ogólnie już jest duża poprawa przeglądarka uruchamia się klika i już od razu praktycznie. Liczba procesów zmniejszyła się do 39-40 użycie ramu lekko ponad 1GB.
Tylko mam jeden problem gdy wchodzę na stronę z SSL dostaje komunikat "To połączenie jest niezaufane program Firefox został poproszony o nawiązanie bezpiecznego połączenia z serwerem facebook.com, ale nie można potwierdzić bezpieczeństwa tego połączenia.

Zwykle podczas nawiązywania bezpiecznych połączeń witryny dostarczają zaufanych informacji o tożsamości, dowodząc w ten sposób, że użytkownik łączy się z właściwym serwerem. W przypadku tej strony tożsamość nie może być jednak zweryfikowana." I to na wszystkich stronach tak mam a tak nie było. Lekko irytująca jest to dodawania na każdej stronie która to obsługuje.

[tachion]

To występuje tylko w przeglądarce Firefox ?

Jeśli tak to odinstaluj i zainstaluj przeglądarkę ponownie.

[123user]

Ok, a pozostałe logi ok już?

[tachion]

Tak

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

[123user]

Dzięki wielkie ,sprzęt działa już dobrze ogólnie. W przeglądarce działa już nie wyrzuca ten komunikat.
Wątek do zamknięcia lub/i usunięcia.