Podejrzenie infekcji

[jajko]

Witam.
Nie formatowałem komputera już prawie dwa lata, co prawda przez ten czas był czyszczony antywirusami i tak dalej, ale mam podejrzenie, że na komputerze znowu mam jakieś niechciane pliki.
Nie mam żadnych podejrzeń co do tego co mogą powodować, jednak jestem prawie pewien, że coś w systemie siedzi. W załączniku dołączam raporty. Liczę na pomoc, pozdrawiam.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

Wyjaśnij te podejrzenia "niechcianych plików", do czego konkretnie pijesz? Musisz mieć coś konkretnego na myśli. W systemie nie ma czynnej infekcji, są tylko szczątki adware i jeden plik po starej infekcji "policyjnej". Całość nie ma zbyt dużego znaczenia. Doczyść:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-3946822230-4172360099-737459869-1000\...\Run: [NextLive] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\Gracz\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchingissme.info/?unqvl=23
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzy0DtAtD0A0F0D0Ezz0EzztN0D0Tzu0CtAtAtDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1224569118
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchingissme.info/?unqvl=23
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: HKCU - (No Name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzy0DtAtD0A0F0D0Ezz0EzztN0D0Tzu0CtAtAtDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1224569118
SearchScopes: HKLM - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzy0DtAtD0A0F0D0Ezz0EzztN0D0Tzu0CtAtAtDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1224569118
SearchScopes: HKLM-x32 - DefaultScope {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzy0DtAtD0A0F0D0Ezz0EzztN0D0Tzu0CtAtAtDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1224569118
SearchScopes: HKLM-x32 - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzy0DtAtD0A0F0D0Ezz0EzztN0D0Tzu0CtAtAtDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1224569118
SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchingissme.info/?unqvl=23&l=1&q={searchTerms}
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={1845925A-21E7-11E2-99DA-50E549D30AFD}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119535&tt=070313_9105&babsrc=SP_ss&mntrId=e099e8e8000000000000000000000000
SearchScopes: HKCU - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzy0DtAtD0A0F0D0Ezz0EzztN0D0Tzu0CtAtAtDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1224569118
SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchingissme.info/?unqvl=23&l=1&q={searchTerms}
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={1845925A-21E7-11E2-99DA-50E549D30AFD}
Toolbar: HKLM-x32 - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
Toolbar: HKCU - No Name - {00000000-5736-4205-0008-F7ED0776FB27} - No File
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\Gracz\AppData\Local\funmoods.crx [2012-11-25]
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Gracz\AppData\Local\funmoods-speeddial_sf.crx [2012-11-25]
CHR HKCU\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\Gracz\AppData\Local\funmoods.crx [2012-11-25]
CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Gracz\AppData\Local\funmoods-speeddial_sf.crx [2012-11-25]
CHR HKLM-x32\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\Gracz\AppData\Local\funmoods.crx [2012-11-25]
CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Gracz\AppData\Local\funmoods-speeddial_sf.crx [2012-11-25]
Task: {655EF858-AFC4-482D-B900-E3F3CFCEE81D} - System32\Tasks\Launch HTC Sync Loader => D:\Programy\htc\htcUPCTLoader.exe
Task: {9163AB42-AB00-4A99-A8F9-81B72B992566} - System32\Tasks\{50EF58B4-0247-4197-A707-1497B43A1424} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar
S3 ALSysIO; \??\C:\Users\Gracz\AppData\Local\Temp\ALSysIO64.sys [X]
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
R4 eamonm; system32\DRIVERS\eamonm.sys [X]
R4 ehdrv; system32\DRIVERS\ehdrv.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
C:\ProgramData\pmt_0piot.pad
C:\ProgramData\Browise2save
C:\Users\Gracz\AppData\Roaming\newnext.me
C:\Windows\pss\ctfmon.lnk.Startup
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Gracz^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ctfmon.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Softonic for Windows" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sweetpacks Communicator" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Jeden ze sterowników Tages (lirsgt) jest raportowany jako wadliwy. Odinstaluj sterowniki przy udziale paczki instalacyjnej ze strony Tages: KLIK.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

.

[jajko]

Po prostu podczas skanowania antywirusem zauważyłem, że wykrywa on jakieś wirusy, a nie mógł nic z nimi zrobić, więc się trochę przestraszyłem.
 

FRST.txt

[picasso]

jajko, przecież wyraźnie mówię w regulaminie działu, iż należy podać konkrety ze skanerów: przekleić wyniki (dokładne ścieżki dostępu). Skąd ja mam wiedzieć, że coś było wykryte i gdzie. Tak więc dostarcz te dane, o ile nadal je posiadasz.

 

I brakuje pliku fixlog.txt z wynikami przetwarzania skryptu. Nie uruchamiaj przypadkiem skryptu ponownie, tenlog już jest na dysku.

 

 

 

.

[jajko]

Log w załączniku, przepraszam za nieuwagę. 
Co do danych na temat infekcji, nie posiadam ich.

Fixlog.txt

[picasso]

Wszystko zrobione i możemy kończyć sprawy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK / KLIK.

 

Internet Explorer Version 8
 

==================== Installed Programs ======================
 

Adobe Reader X (10.1.3) - Polish (x32 Version: 10.1.3 - Adobe Systems Incorporated)

Gadu-Gadu 10 (x32 Version: - GG Network S.A.)

Java™ 6 Update 22 (x32 Version: 6.0.220 - Oracle)

Java™ 6 Update 29 (64-bit) (Version: 6.0.290 - Oracle)

Java™ 6 Update 31 (x32 Version: 6.0.310 - Oracle)

Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation)

OpenOffice.org 3.3 (x32 Version: 3.3.9567 - OpenOffice.org)

 

Wszystkie stare Java wyrzuć, podobnie jak i OpenOffice.org. W zamian wstaw najnowsze wersje obu programów.

 

 

 

 

.

[jajko]

Dziękuję i pozdrawiam.