Prawdopodobnie Win32/Jeefo

[Fr3shMak3r]

Dziś pobrałem grę cabal.

Jest to prywatny serwer.

Otóż przejdę do rzeczy podczas instalacji było kilka błędów wiec skasowałem i pobrałem ponownie.

I wtedy w instalce wyskoczył Rezydentny wirus Win32/Jeefo . Wykrył go Avast.

A co dziwne podczas uruchomienia instalki żadne zagrożenie nie wyskoczyło.

Tylko scieło trochę mocno.

Logi w załączniku .

Proszę o sprawdzenie .

OTL.Txt

Extras.Txt

[Landuss]

W logach nie widać żadnych śladów infekcji. Jedynie do usuwania kosmetycznie szczątki sponsoringowych śmieci.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112555&tt=201208_mnt_n_3412_8&babsrc=HP_ss&mntrId=6cc84ac9000000000000f8d1110351b0"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=201208_mnt_n_3412_8&babsrc=SP_ss&mntrId=6cc84ac9000000000000f8d1110351b0"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=6cc84ac9000000000000f8d1110351b0&tlver=1.6.9.12&instlRef=sst&babTrack&q="
[2012-08-26 08:14:54 | 000,002,362 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
[2012-08-26 08:15:17 | 000,000,317 | ---- | C] () -- C:\user.js
[2012-08-26 08:14:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\admin\Dane aplikacji\Babylon
[2012-08-26 08:14:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Fr3shMak3r]

Zrobione.

Chyba skrypt się nie do końca powiódł gdyż wkleiłeś skrypt z usunięciem toolbara Babylon.A on nadal jest .

AdwCleanerS1.txt

09022012_165650.txt

OTL.Txt

[Landuss]

Skrypt się powiódł. Gdzie widzisz tego Babylona i w której przeglądarce?

[Fr3shMak3r]

Mozilla firefox .

 

[picasso]

Fr3shMak3r

 

Zresetuj preferencje Firefox. Zamknij Firefox. Przenieś np. na Pulpit poniższy plik:

 

C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\uutiw5uz.default\prefs.js

 

Ponowne uruchomienie FF wygeneruje świeży plik. Podaj informację czy nadal widzisz Babylon.

 

 

 

Landuss

 

Przy okazji: OTL źle skanuje Firefox. Co dopiero to zgłosiłam do autora. Nie wykrywa rozszerzeń w Firefox 4.x i wyżej. Najwyraźniej skanuje stare preferencje znane z archaicznych Lisków. Od dawna oglądamy skany połowiczne. Czekam aż to zostanie poprawione. Ponadto, OTL ogólnie skanuje tylko wybrane preferencje Firefox i nawet po naprawie detekcji niekompletny obraz. Na OTL nie można polegać całkowicie.

 

 

.

[Fr3shMak3r]

Zrobiłem co powiedziałaś .

Nadal jest ten Babylon.

A może przeinstalowanie przeglądarki coś da ?

A tak a propos w logach nie ma żadnego Jeefo?

Narazie to objawów nie ma .

[picasso]

Nadal jest ten Babylon.

 

Pokaż mi na obrazku gdzie dokładnie go widzisz w Firefox.

 

 

A tak a propos w logach nie ma żadnego Jeefo?

 

W logach nie widać usługi Jeefo, ale log nie jest w stanie przedstawić kondycji plików wykonywalnych. To już tylko skaner antywirusowy jest zdolny zweryfikować.

 

 

 

.

[Fr3shMak3r]

Ustawiłem stronę startową google.pl.

Tylko że jak chce otworzyc kilka stron to wciskam taki +

I wtedy babylon jest widoczny.

 

Poniżej screena zamieszczam :

 

[picasso]

W pasku adresów Firefox wpisz about:config. Zapuść wyszukiwanie na frazę babylon. Wszystkie znalezione wyniki z prawokliku zresetuj do poziomu domyślnego. Przeładuj przeglądarkę i podaj wyniki czy problem nadal występuje.

 

 

 

.

[Fr3shMak3r]

No teraz jest Super.

Zadziałało .

Nie ma już babylon toolbara.

A co do Jeefo przeskanowałem programem Jeefogui i nic nie wykrył.

Dziękuje serdecznie za pomoc .

Można wspomóc jakoś finansowo?

Jeśli będę miał pieniądze to prześle na utrzymanie strony.

Pozdrawiam.

[picasso]

Sfinalizuj temat:

 

1. Odinstaluj także adware YourFileDownloader (powstawał na dysku razem z Babylon). Po deinstalacji upewnij się, że zniknęły te obiekty z dysku:

 

[2012-08-26 08:14:36 | 000,001,638 | ---- | M] () -- C:\Documents and Settings\All Users\Pulpit\YourFile Downloader.lnk
[2012-08-26 08:14:33 | 000,000,000 | ---D | C] -- C:\Program Files\YourFileDownloader
[2012-08-26 08:14:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\admin\Dane aplikacji\YourFileDownloader

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

Można wspomóc jakoś finansowo?

 

Dzięki za zainteresowanie. W mojej sygnaturce jest link do tematu omawiającego wsparcie.

 

 

 

.

[Fr3shMak3r]

Zrobione !.

 

Dzięki za zainteresowanie. W mojej sygnaturce jest link do tematu omawiającego wsparcie.

 

Boże jaki ja ślepy żeby tego nie zobaczyc.

A jest możliwosc smsem ?

Pozdrawiam.

[picasso]

A jest możliwosc smsem ?

 

Niestety nie.

[Fr3shMak3r]

No to przelewem zapłace.

Dzięki .

Można /cl