SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Problem z Google

Tryby wyświetlania wątku
Problem z Google
Kazuchi Offline
Nowicjusz
Liczba postów: 2
Liczba wątków: 1
Dołączył: 28.05.2013
Reputacja: 0
#1
28.05.2013, 17:26
Objawy zainfekowania:
W domenie

[Aby zobaczyć linki, zarejestruj się tutaj]

wyświetla się strona o nazwie Gogolle

Wykonywane działania:
Nie skanowałem, zainstalowany jest ESET NOD32

Logi:
OTL:
OTL.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]


RSIT:
Niewiem czy to przez moją niecierpliwość ale jak się ten program zaczął ladować to zielony pasek doszedł do 1/20 całości i stanął.
Szukaj
Odpowiedz
Waves Offline
Specjalista
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja: 78
#2
28.05.2013, 18:03
Do OTL w własne pole skanowania/skrypt wklej:
Kod:
:OTL
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 212.59.241.155 google.pl
O1 - Hosts: 212.59.241.155 www.google.pl
O1 - Hosts: 212.59.241.155 v9.com
O1 - Hosts: 212.59.241.155 www.v9.com
O1 - Hosts: 127.0.0.1 mpa.one.microsoft.com
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (ccooNtiniuetosavee) - {8450861B-74D1-07D4-D9F9-53676F4495A4} - C:\ProgramData\ccooNtiniuetosavee\519252969b78b.dll ()
O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O33 - MountPoints2\{c447d41e-ab49-11e2-9d3f-001fd00fdbaa}\Shell - "" = AutoRun
O33 - MountPoints2\{c447d41e-ab49-11e2-9d3f-001fd00fdbaa}\Shell\AutoRun\command - "" = F:\autorun.exe
[2013-05-14 17:04:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ccooNtiniuetosavee
[2013-05-14 17:04:04 | 000,000,000 | ---D | C] -- C:\ProgramData\ccooNtiniuetosavee
[2013-05-14 17:03:43 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate

:Files
AUTORUN.INF /alldrives
$RECYCLE.BIN /alldrives
RECYCLER /alldrives
C:\Users\SqN\AppData\Roaming\BabMaint.exe
C:\ProgramData\mtbjfghn.xbe

:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints​2]


Wykonaj skrypt. Zapisz log.

Uruchom

[Aby zobaczyć linki, zarejestruj się tutaj]

. Opcja delete i zapisz log.

Po tym wszystkim zrób nowe logi OTL i razem z poprzednimi je pokaż Smile
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#3
28.05.2013, 18:27
Odinstaluj:

BabylonObjectInstaller
Babylon toolbar
Delta toolbar
Delta Chrome Toolbar
Search Assistant WebSearch
AVG Security Toolbar
Pando Media Booster
BrowserProtect

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL
PRC - [2013-03-22 16:09:37 | 002,787,280 | ---- | M] () -- C:\ProgramData\BrowserProtect\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe
PRC - [2012-11-02 17:02:54 | 003,093,624 | ---- | M] () -- C:\Program Files\Pando Networks\Media Booster\PMB.exe
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://websearch.lookforithere.info/?pid=658&r=2013/05/14&hid=4029867897&lg=EN&cc=PL&unqvl=14
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.lookforithere.info/?l=1&q={searchTerms}&pid=658&r=2013/05/14&hid=4029867897&lg=EN&cc=PL&unqvl=14
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://isearch.babylon.com/?affID=119370&babsrc=HP_ss_gr2&mntrId=E04A001FD00FDBAA
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://websearch.lookforithere.info/?pid=658&r=2013/05/14&hid=4029867897&lg=EN&cc=PL&unqvl=14
IE - HKCU\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.babylon.com/?q={searchTerms}&affID=119370&babsrc=SP_ss_gr2&mntrId=E04A001FD00FDBAA
IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.lookforithere.info/?l=1&q={searchTerms}&pid=658&r=2013/05/14&hid=4029867897&lg=EN&cc=PL&unqvl=14
O2 - BHO: (ccooNtiniuetosavee) - {8450861B-74D1-07D4-D9F9-53676F4495A4} - C:\ProgramData\ccooNtiniuetosavee\519252969b78b.dll ()
O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)
O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com)
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 File not found
O20 - AppInit_DLLs: (c:\progra~2\browse~2\261249~1.132\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
O20 - AppInit_DLLs: (c:\progra~1\contin~1\sprote~1.dll) - c:\Program Files\ContinueToSave\sprotector.dll ()
O20 - AppInit_DLLs: (c:\progra~1\websea~1\sprote~1.dll) - c:\Program Files\WebSearch\sprotector.dll ()
[2013-05-28 16:45:42 | 000,000,000 | ---D | C] -- C:\Users\SqN\AppData\Roaming\OpenCandy
[2013-05-28 16:49:48 | 000,000,000 | -HSD | C] -- C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}

:Files
C:\Users\SqN\AppData\Roaming\BabMaint.exe

:Commands
[RESETHOSTS]
[EMPTYTEMP]


Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z Adwcleaner .
Szukaj
Odpowiedz
Waves Offline
Specjalista
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja: 78
#4
28.05.2013, 18:41
@Kazuchi

Czyj skrypt wykonałeś? Jak widać wystąpił drobny problem bo zarówna i ja i Tachion podaliśmy Ci skrypt Smile
Szukaj
Odpowiedz
Kazuchi Offline
Nowicjusz
Liczba postów: 2
Liczba wątków: 1
Dołączył: 28.05.2013
Reputacja: 0
#5
28.05.2013, 18:43
Logi:
OTL:
OTL.txt (przed):

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt (przed):

[Aby zobaczyć linki, zarejestruj się tutaj]


OTL.txt nie wyskoczyło mi niewiem czemu i niewiem gdzie moge to znaleść :/
Extras.txt (po):

[Aby zobaczyć linki, zarejestruj się tutaj]


Zmienilem link Extras.txt (po) gdyż wcześniej podałem do OTL.txt (przed) // Sory za problemy ale jest to dla mnie nowość

Wykonałem skrypt Wavesa
Szukaj
Odpowiedz
Waves Offline
Specjalista
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja: 78
#6
28.05.2013, 18:44
Na pulpicie powinien być Smile
Stary OTL jest zbędny bo jest identyczny jak pierwszy Smile
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#7
28.05.2013, 18:51
Odinstaluj wszystkie te pozycje:

BabylonObjectInstaller
Babylon toolbar
Delta toolbar
Delta Chrome Toolbar
Search Assistant WebSearch
AVG Security Toolbar
Pando Media Booster
BrowserProtect

Zrób skan w otl jeszcze raz i podaj log
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości