SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Sprawdzenie czy zostało coś po czyszczeniu laptopa

Tryby wyświetlania wątku
Sprawdzenie czy zostało coś po czyszczeniu laptopa
areczek007 Offline
Nowicjusz
Liczba postów: 2
Liczba wątków: 1
Dołączył: 02.09.2014
Reputacja: 0
#1
02.09.2014, 16:00
Witam,
Objawy zainfekowania:
Póki co działa w miarę stabilne po prostu chciałbym się dowiedzieć czy został jeszcze jakiś syf po czyszczeniu
Wykonywane działania:
Wykonałem:
Czyszczenie za pomocą CCleaner, skan następnie usunięcie wyników: hitmanpro, adwcleaner i malwerabytes anti malware, programem autoruns wyłączyłem zbędne procesy
Programy ochronne:
Zapora windows 7
Logi:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut:

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#2
02.09.2014, 21:23
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin HKCU: pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
CHR NewTab: Default -> "chrome-extension://pfkanglmmnniiolknlhaajllgmlgcdkj/spent.html", "chrome-extension://hefdopkjddeacfpjlhnnikdibknmdepg/spent.html"
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
C:\Program Files\005
C:\found.001
C:\awh6E9A.tmp
C:\awh5C81.tmp
C:\awh758C.tmp
C:\awhC1F7.tmp
C:\awh89A8.tmp
C:\awh5E9.tmp
C:\awh9607.tmp
C:\awh7464.tmp
C:\awh9FB7.tmp
C:\awh76F3.tmp
C:\awhCBC6.tmp
C:\awh8507.tmp
C:\awh5427.tmp
C:\awhC995.tmp
C:\awh6660.tmp
C:\awhA7A3.tmp
C:\awh9471.tmp
C:\awh8F91.tmp
C:\awh7D49.tmp
C:\awhA469.tmp
C:\awh9E9F.tmp
C:\awh67F5.tmp
C:\awhBB24.tmp
C:\awh46BF.tmp
C:\awhA15D.tmp
C:\awh41D0.tmp
C:\awh9108.tmp
C:\awhF594.tmp
C:\awh9E12.tmp
C:\awh79C1.tmp
C:\awh5051.tmp
C:\awh7223.tmp
C:\awh55ED.tmp
C:\awh55EC.tmp
C:\awh4623.tmp
C:\awh698B.tmp
C:\awh561B.tmp
C:\awh4B13.tmp
C:\awh7760.tmp
C:\awh4E00.tmp
C:\awh49BC.tmp
C:\awh6067.tmp
C:\awh844B.tmp
C:\awh6AA4.tmp
C:\awhC725.tmp
C:\awh5475.tmp
C:\awh6D04.tmp
C:\Users\Odlotowa Farma 3\unins000.dat
C:\Users\Waleczny Max\unins000.dat
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: {22266DAF-69DB-4264-8F7E-9C82310F8668} - System32\Tasks\{D3A66889-2F79-4558-B1F7-FF1156D5E0A7} => C:\Users\Pecet\Desktop\gry\lol.launcher.admin.exe
Task: {22E818C2-4FF6-4D02-8E40-A2A609ACF635} - \DealPlyUpdate No Task File <==== ATTENTION
Task: {28DCE9B1-DC2C-473C-A7B6-920A9031B31B} - System32\Tasks\{41CE35FD-0B6C-420C-9E48-4AFA11219578} => Iexplore.exe http://ui.skype.com/ui/0/6.18.60.106/pl/abandoninstall?page=tsMain
Task: {28FA53F9-DB50-4A84-A3F9-3FC7C6164AAE} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1167411968-946051981-3047551831-1001Core => C:\Users\Pecet\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-08-07] (Facebook Inc.)
Task: {D675FD30-C57F-4DFB-9BC2-278853794D2E} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1167411968-946051981-3047551831-1001UA => C:\Users\Pecet\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-08-07] (Facebook Inc.)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1167411968-946051981-3047551831-1001Core.job => C:\Users\Pecet\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1167411968-946051981-3047551831-1001UA.job => C:\Users\Pecet\AppData\Local\Facebook\Update\FacebookUpdate.exe
AlternateDataStreams: C:\ProgramData\Temp:373C6DC2
AlternateDataStreams: C:\ProgramData\Temp:4D066AD2
AlternateDataStreams: C:\ProgramData\Temp:5D458568
AlternateDataStreams: C:\ProgramData\Temp:798A3728
AlternateDataStreams: C:\ProgramData\Temp:8AD1F2E0
AlternateDataStreams: C:\ProgramData\Temp:D20FFA63
AlternateDataStreams: C:\ProgramData\Temp:FEF919E6
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Google Update Helper - Wejdź na tą stronę

[Aby zobaczyć linki, zarejestruj się tutaj]

Wybierz tryb nieautomatyczny i na liście deinstalacji wskaż fałszywy Google Update Helper.

Następnie odinstaluj:
istartsurf uninstall
Browse Safe
Price Meter

Google Chrome

Ustawienia > karta Rozszerzenia > usuń V-9.1HD > SweetIM for Facebook > Yontoo
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Powtórz działanie z adwcleanerem i pokaż raport.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Szukaj
Odpowiedz
areczek007 Offline
Nowicjusz
Liczba postów: 2
Liczba wątków: 1
Dołączył: 02.09.2014
Reputacja: 0
#3
02.09.2014, 23:13
Niżej przesyłam logi które chciałeś:
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

Adwcleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

SecurityCheck:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#4
03.09.2014, 22:24
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
C:\Users\Pecet\AppData\Local\Temp\*.exe
C:\Users\Pecet\AppData\Local\Temp\*.dll

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Pando Media Booster

Nie ustosunkowałeś się do tej pozycji w Google Chrome - Ustawienia > karta Rozszerzenia > usuń V-9.1HD > SweetIM for Facebook > Yontoo

W ustawieniach pozycją szukaj ustaw na Google.

Results of screen317''s Security Check version 0.99.87
Windows 7 Service Pack 1 x64 (UAC is disabled!)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
Trend Micro Titanium Internet Security
Antivirus out of date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 60
Java version out of Date!
Adobe Flash Player 10 Flash Player out of Date!
Google Chrome 37.0.2062.102
````````Process Check: objlist.exe by Laurent````````
Trend Micro Titanium TiMiniService.exe
Trend Micro Titanium TiResumeSrv.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Pozycje oznaczone na czerwono zaktualizuj.

Jave odinstaluj i ściągnij z tej lokalizacji i zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

To samo się tyczy Flash Player,ściągnij i zainstaluj z tej lokalizacji

[Aby zobaczyć linki, zarejestruj się tutaj]


Zrób skan ponowny programem FRST i podaj log frst.txt+addition.txt
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości