SafeGroup
Witam Prosze o Pomoc z logiem OTL i FRST - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Witam Prosze o Pomoc z logiem OTL i FRST (/thread-7672.html)

Witam Prosze o Pomoc z logiem OTL i FRST - PaVuLoN - 10.12.2013

Objawy zainfekowania:
Witam , od jakiegoś czasu komputer strasznie zamula (przeglądarka) nie mówiąc już o windowsie.
Będę bardzo wdzięczny jeśli ktoś rzuci okiem na logi.

Pozdrawiam

Wykonywane działania:
Skany Kasperskim i Malwarebytes Anti-Malware

Logi:

Re: Witam Prosze o Pomoc z logiem OTL i FRST - tachion - 10.12.2013

Odinstaluj:
Bing Bar
Mobogenie
SafeSaver 1.74
Search Assistant WebSearch 1.74
Web Cake 3.00


Do notatnika wklej:

Kod:
HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun_KL_notset] 1
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\dosearches.xml
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=HitachiXHTS547575A9E384_J2540054JW5B3EJW5B3EX&ts=1384067605&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=hp&from=smt&uid=HitachiXHTS547575A9E384_J2540054JW5B3EJW5B3EX&ts=1384067605
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=hp&from=smt&uid=HitachiXHTS547575A9E384_J2540054JW5B3EJW5B3EX&ts=1384067605
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=HitachiXHTS547575A9E384_J2540054JW5B3EJW5B3EX&ts=1384067605&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=HitachiXHTS547575A9E384_J2540054JW5B3EJW5B3EX&ts=1384067605&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=HitachiXHTS547575A9E384_J2540054JW5B3EJW5B3EX&ts=1384067605&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=sc&from=smt&uid=HitachiXHTS547575A9E384_J2540054JW5B3EJW5B3EX&ts=1384067605
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=HitachiXHTS547575A9E384_J2540054JW5B3EJW5B3EX&ts=1384067605&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=HitachiXHTS547575A9E384_J2540054JW5B3EJW5B3EX&ts=1384067605&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pur-esult.info/?l=1&q={searchTerms}&pid=724&r=2013/07/14&hid=2693435030&lg=EN&cc=PL
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&babsrc=SP_ss_Btisdt3&mntrId=147C9CB70D3F8288&affID=119357&tt=070813_wt4&tsp=4972
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&babsrc=SP_ss_Btisdt3&mntrId=147C9CB70D3F8288&affID=119357&tt=070813_wt4&tsp=4972
SearchScopes: HKCU - {53C573E3-EE91-4017-B7CD-92418DC63D71} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN11292305131797429&UM=1
CHR HomePage:
CHR RestoreOnStartup: "hxxp://websearch.pur-esult.info/?pid=724&r=2013/07/14&hid=2693435030&lg=EN&cc=PL"
CHR Extension: (safesavEE) - C:\Users\PaVuLoN\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfjjbdkbiolebnedppnembegmlcmagge\1
CHR Extension: (Seearch-NeewTaba) - C:\Users\PaVuLoN\AppData\Local\Google\Chrome\User Data\Default\Extensions\penmjgihjhniiikbbdlijmpmklddofno\1
CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\PaVuLoN\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx
S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [x]
C:\Users\PaVuLoN\AppData\Roaming\0A1G2U0S1P1G1Q0P
C:\Windows\System32\Tasks\FoxTab
C:\Users\PaVuLoN\AppData\Local\Conduit
C:\ProgramData\eSafe
C:\Users\PaVuLoN\AppData\Local\cache
C:\Users\PaVuLoN\AppData\Local\Temp\86128uninstall.exe
C:\Users\PaVuLoN\AppData\Local\Temp\AnySendSetup_irsc.exe
C:\Users\PaVuLoN\AppData\Local\Temp\AVGSecurityToolbarInstaller.exe
C:\Users\PaVuLoN\AppData\Local\Temp\bitool.dll
C:\Users\PaVuLoN\AppData\Local\Temp\fp_pl_pfs_installer-1.exe
C:\Users\PaVuLoN\AppData\Local\Temp\fp_pl_pfs_installer.exe
C:\Users\PaVuLoN\AppData\Local\Temp\gg10.upgr.exe
C:\Users\PaVuLoN\AppData\Local\Temp\ggdrive-menu.exe
C:\Users\PaVuLoN\AppData\Local\Temp\ggdrive-overlay.exe
C:\Users\PaVuLoN\AppData\Local\Temp\GomAudDnInstaller.exe
C:\Users\PaVuLoN\AppData\Local\Temp\ICReinstall_flash_player_Downloader.exe
C:\Users\PaVuLoN\AppData\Local\Temp\ICReinstall_nsvCCD6.tmp.exe
C:\Users\PaVuLoN\AppData\Local\Temp\installstats.exe
C:\Users\PaVuLoN\AppData\Local\Temp\install_flashplayer11x32_mssd_aaa_aih.exe
C:\Users\PaVuLoN\AppData\Local\Temp\LollipopInstaller_somoto_14693.exe
C:\Users\PaVuLoN\AppData\Local\Temp\oi_{062BFFE5-B0D8-4FA2-987A-79567FCA0A67}.exe
C:\Users\PaVuLoN\AppData\Local\Temp\oi_{A7964AA0-99B3-4F92-A447-6A6667BE5A05}.exe
C:\Users\PaVuLoN\AppData\Local\Temp\oi_{FE9D65EA-D002-4507-96A1-A625CF224583}.exe
C:\Users\PaVuLoN\AppData\Local\Temp\SkypeSetup.exe
C:\Users\PaVuLoN\AppData\Local\Temp\smt_dosearches_2013114182624.exe
C:\Users\PaVuLoN\AppData\Local\Temp\Sqlite3.dll
C:\Users\PaVuLoN\AppData\Local\Temp\tbuTo0.dll
C:\Users\PaVuLoN\AppData\Local\Temp\uninst1.exe
C:\Users\PaVuLoN\AppData\Local\Temp\UNINSTALL.EXE
C:\Users\PaVuLoN\AppData\Local\Temp\uttBA21.tmp.exe
Task: {106CC7D5-037A-4085-AE71-91B6F47ACFC5} - System32\Tasks\FoxTab => C:\Users\PaVuLoN\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE
Task: {FE8609B0-B61C-481C-82AA-5A63C4FFB026} - System32\Tasks\EPUpdater => C:\Users\PaVuLoN\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe
Task: C:\Windows\Tasks\FoxTab.job => C:\Users\PaVuLoN\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE


Zapisz jako fixlist.txti umieść obok FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Re: Witam Prosze o Pomoc z logiem OTL i FRST - PaVuLoN - 11.12.2013

Ok , wkleiłem cały kod tylko teraz powiedz mi z którego programu potrzebny jest raport OTL ? czy FRST ?

*dodaje skan z FRST

Re: Witam Prosze o Pomoc z logiem OTL i FRST - tachion - 11.12.2013

Ja już nie wiem jak ja mam pisać ?
O co ja prosiłem o raporty a nie o 2 x adwclener i następny skan,poza tym FRST się w ogóle nie wykonał,no i pytanie czy poprawnie został odinstalowany mobogenie ?

Do powtórzenia cała operacja wykonania skryptu.

Re: Witam Prosze o Pomoc z logiem OTL i FRST - PaVuLoN - 11.12.2013

Witam , na wstępie widzę że się nie zrozumieliśmy zapewne moja wina no nic zacznę od tego że całą operacje powtórzyłem.
Odinstalowałem mobogenie raczej poprawnie zależy co jeszcze rozumiesz poprzez "poprawnie".

Pozdrawiam.

Re: Witam Prosze o Pomoc z logiem OTL i FRST - tachion - 11.12.2013

No teraz to wygląda znacznie lepiej Smile
Pytanie mam jeszcze takie czy posiadasz zainstalowanego google chrome ?

Re: Witam Prosze o Pomoc z logiem OTL i FRST - PaVuLoN - 11.12.2013

Powiem tak z tego co widzę w panelu sterowania -> dodaj usuń programy , to tam go nie pokazuje więc nie nie mam go zainstalowanego

- a czemu pytasz ?

Re: Witam Prosze o Pomoc z logiem OTL i FRST - tachion - 11.12.2013

Dlatego pytam bo wcześniej też nie widziałem go zainstalowanego,ale pozostały wpisy po nim które usuwałem.

Do notatnika wklej i zapisz jako fixlist.txt.

Kod:
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
CHR HomePage: hxxp://www.google.com
C:\Program Files (x86)\Mobogenie
C:\Users\PaVuLoN\daemonprocess.txt
C:\Users\PaVuLoN\AppData\Local\Temp\Quarantine.exe


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport.

Re: Witam Prosze o Pomoc z logiem OTL i FRST - PaVuLoN - 11.12.2013

Ok zrobiłem jak napisałeś , a tu jest raport

Re: Witam Prosze o Pomoc z logiem OTL i FRST - tachion - 11.12.2013

To nie jest raport tylko skan,raport powstaje po wykonaniu skrypta i powstaje wynikowy tzw.fixlog który zostaje wyświetlony zaraz po wykonaniu,ewentualnie można go znaleźć w tej lokalizacji:
C:\FRST\Logs ,ale to już mniejsza z tym.

Usuń ten folder C:\ FRST

W AdwCleaner kliknij Odinstaluj.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Re: Witam Prosze o Pomoc z logiem OTL i FRST - PaVuLoN - 11.12.2013

Ok zrobione , po zakończeniu działania SecurityCheck wyskoczyło mi cos takiego czy o to chodziło ?
Results of screen317''s Security Check version 0.99.77
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Anti-Virus
Trend Micro Titanium Internet Security
Antivirus up to date!(On Access scanning disabled !)
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 45
Adobe Flash Player 11.9.900.170
Mozilla Firefox (26.0)
````````Process Check: objlist.exe by Laurent````````
Kaspersky Lab Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 avp.exe
Trend Micro Titanium TiMiniService.exe
Trend Micro Titanium TiResumeSrv.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Re: Witam Prosze o Pomoc z logiem OTL i FRST - tachion - 12.12.2013

Dobra jest ok,przeglądarka myślę że już pracuje poprawnie ?

Re: Witam Prosze o Pomoc z logiem OTL i FRST - PaVuLoN - 12.12.2013

Tak , poprawa jest bardzo widoczna Grin Dzięki bardzo za pomoc.

Re: Witam Prosze o Pomoc z logiem OTL i FRST - tachion - 12.12.2013

Ok Smile