SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Babyloon i inne ścierwa
Pełna wersja: Babyloon i inne ścierwa
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

buri

22.08.2013, 15:40
Objawy zainfekowania:
Wiadome, podmieniona strona startowa, kilka dziwnych procesów. Prawdopodobnie wkopał się przy Deamon Tools oraz Skype.
Powód? Brat chciał zainstalować programy po formacie od nowa.
Wykonywane działania:
Chodzi cały czas Avast, który widać nic nie zrobił. Usunąłem co się dało z dodaj/usuń programy. Proszę o sprawdzenie logów w celach całkowitego wyczyszczenia pozostałości.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

22.08.2013, 18:41
W okienko własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL
MOD - [2013-08-13 16:40:06 | 002,699,216 | ---- | M] () -- c:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.dll
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:[b]64bit:[/b] - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
[2013-08-21 19:58:37 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions
[2013-08-21 19:58:36 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins
[2013-08-01 19:10:49 | 000,000,000 | ---D | C] -- C:\Users\ekzorek\AppData\Local\WindowsUpdate

:Files
C:\ProgramData\BrowserDefender
C:\Users\ekzorek\AppData\Roaming\Babylon
C:\ProgramData\Babylon
C:\Users\ekzorek\AppData\Local\Lollipop
C:\MSOCache

:Commands
[EMPTYTEMP]


Po restarcie zapisz i pokaż raport z wykonania.

buri

23.08.2013, 07:24
Kod:
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\E&ksportuj do programu Microsoft Excel\ deleted successfully.
C:\Windows\SysWow64\Extensions folder moved successfully.
C:\Windows\SysWow64\searchplugins folder moved successfully.
C:\Users\ekzorek\AppData\Local\WindowsUpdate\OptIn\AuthCab folder moved successfully.
C:\Users\ekzorek\AppData\Local\WindowsUpdate\OptIn folder moved successfully.
C:\Users\ekzorek\AppData\Local\WindowsUpdate folder moved successfully.
File PTYTEMP] not found.

OTL by OldTimer - Version 3.2.69.0 log created on 08232013_081219

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

tachion

23.08.2013, 11:36
W AdwCleanerklik Uninstall
Przejdź do sprzątania w OTL

Odinstaluj
Mozilla Maintenance Service

buri

23.08.2013, 12:43
tachion napisał(a):W AdwCleanerklik Uninstall
Przejdź do sprzątania w OTL

Odinstaluj
Mozilla Maintenance Service

Nie zalecałeś więc przeprowadziłem skan i usunąłem to co znalazł AdwCleaner. Posprzątałem jeszcze oraz asekuracyjnie mu skan MBAM zrobiłem.

Dziękuje, temat do zamknięcia Smile

tachion

23.08.2013, 13:48
Hi
Bo myślałem że już wykonywałeś Smile

buri

23.08.2013, 15:59
MBAM trochę znalazł, ale to wszystko w TEMP siedziało, a CCleaner z enchancer już pozamiatał wszystko do końca Smile
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Babyloon i inne ścierwa