wirus facebook- blokada konta

[roundtouch]

Witam, dziś na Facebook'u kolezanka wyslała mi jakiś link (oczywiście z wirusem) a ja go pobralem ... Od teraz mam jakiegos wirusa który rozsyła na FB linki po moich znajomych. Na dodatek z tego powodu zablokowali mi konto na FB Co moge z tym zrobić? Prosze o pomoc. Daje logi do sprawdzenia

OTL: Dostępne tylko dla zarejestrowanych użytkowników

Extras: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"{2F603A45-D956-496B-81B5-50D782424976}" = SweetPacks Toolbar for Internet Explorer 4.4
"{B85C4CB2-B352-4BD8-818C-BCE353599107}" = SweetIM for Messenger 3.6
"Akamai" = Akamai NetSession Interface Service
"DealBulldog Toolbar" = DealBulldog Toolbar
"McAfee"

To zbędne oprogramowanie. Pierwsze i ostatnie to zbędne paski narzędziowe. A reszta to zwykłe śmiecie. Odinstaluj to.

SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2012-06-05 15:17:44 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012-03-01 02:02:00 | 002,348,352 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2012-02-29 13:26:46 | 000,382,272 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [CTSysVol] C:\Program Files (x86)\Creative\SBAudigy\Surround Mixer\CTSysVol.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [P17Helper] C:\Windows\SysWow64\P17.DLL ()
O4 - HKLM..\Run: [P17RunE] C:\Windows\SysWow64\P17RunE.dll (Creative Technology Ltd.)
O4 - HKLM..\Run: [PWRISOVM.EXE] C:\Program Files (x86)\PowerISO\PWRISOVM.EXE (PowerISO Computing, Inc.)
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [UpdReg] C:\Windows\Updreg.EXE (Creative Technology Ltd.)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [DAEMON Tools Lite] D:\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [Grid] C:\Program Files (x86)\ATI Technologies\HydraVision\HydraGrd.exe ()
O4 - HKCU..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe (NEXON Inc.)

To zbędne wpisy w autostarcie. Zajmę się nimi później.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

SRV - [2010-01-15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{0F69E8D9-49C5-4612-94BB-51B01E14DD9B}
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{96360F97-CB35-42E3-8A4F-2F70F666E0C3}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=LE&apn_dtid=YYYYYYYYPL&apn_uid=58cae72a-6899-4fdb-8757-6af295d35ee6&apn_sauid=E067D529-6D15-4723-B4AD-BD3BE3FA0DED
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{0F69E8D9-49C5-4612-94BB-51B01E14DD9B}?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
FF - prefs.js..browser.search.order.1: "Ask.com"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Riot\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Riot\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
[2012-03-16 16:41:07 | 000,000,000 | ---D | M] (DealBulldog Toolbar) -- C:\Users\Riot\AppData\Roaming\mozilla\Firefox\Profiles\3up4egzk.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC}
[2012-01-27 17:46:52 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Users\Riot\AppData\Roaming\mozilla\Firefox\Profiles\3up4egzk.default\extensions\battlefieldheroespatcher@ea.com
[2012-03-26 08:32:49 | 000,000,000 | ---D | M] (Battlefield Play4Free) -- C:\Users\Riot\AppData\Roaming\mozilla\Firefox\Profiles\3up4egzk.default\extensions\battlefieldplay4free@ea.com
[2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Riot\AppData\Roaming\Mozilla\Firefox\Profiles\3up4egzk.default\searchplugins\askcom.xml
[2012-01-31 14:09:11 | 000,003,915 | ---- | M] () -- C:\Users\Riot\AppData\Roaming\Mozilla\Firefox\Profiles\3up4egzk.default\searchplugins\sweetim.xml
CHR - Extension: Ask Toolbar = C:\Users\Riot\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaapoecfpbnohmjikjhpijcnonhhhlh\7.14.1.0_0\
CHR - Extension: Ask Toolbar = C:\Users\Riot\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaapoecfpbnohmjikjhpijcnonhhhlh\7.14.1.0_0\
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKCU..\Run: [Akamai NetSession Interface] C:\Users\Riot\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc)
O4 - HKCU..\Run: [saeodwv] C:\Users\Riot\AppData\Local\qopflg.exe ()
O4 - Startup: C:\Users\Riot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pcgwx.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O15 - HKCU\..Trusted Domains: clonewarsadventures.com ([]* in Zaufane witryny)
O15 - HKCU\..Trusted Domains: freerealms.com ([]* in Zaufane witryny)
O15 - HKCU\..Trusted Domains: soe.com ([]* in Zaufane witryny)
O15 - HKCU\..Trusted Domains: sony.com ([]* in Zaufane witryny)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.4.1)
O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.4.1)
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate Support Package 2)
O16 - DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate 2)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate Support Package)
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:05EE1EEF

:Files
C:\Program Files (x86)\McAfee Security Scan
C:\Users\Riot\AppData\Local\Google\Update
C:\Program Files (x86)\SweetIM
C:\Users\Riot\AppData\Local\Akamai
C:\Users\Riot\AppData\Local\{B60BBF5B-E241-4B82-9CF1-4D2163E4FC71}
C:\Users\Riot\AppData\Local\{763DE463-AB12-4D6F-B8DA-540C6F0E7EC6}
C:\Windows\tasks\*.job
C:\Windows\NEXON_EU_DownloaderUpdater.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[roundtouch]

OTL po restarcie: Dostępne tylko dla zarejestrowanych użytkowników

OTL nowy log: Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller: Dostępne tylko dla zarejestrowanych użytkowników

AutoRuns: Dostępne tylko dla zarejestrowanych użytkowników
lub wersja spakowana Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy -> APSDaemon, CTSysVol, GrooveMonitor, P17Helper, P17RunE, PWRISOVM.EXE, QuickTime, StartCCC, SunJavaUpdateSched, UpdReg, AML Device, McAfee Security Scan Plus.lnk, Microsoft Windows, LightScribe Control Panel , Microsoft Windows, BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}, DAEMON Tools Lite, Google Update, Grid, KPeerNexonEU, NeroMobileAd, Windows Live ID Sign-in Helper, Adobe PDF Link Helper, Groove GFS Browser Helper, Java(tm) Plug-In 2 SSV Helper, Java(tm) Plug-In SSV Helper, Pomocnik logowania za pomocą identyfikatora Windows Live, SweetPacks Browser Helper, SweetPacks Toolbar for Internet Explorer, PokerStars, wszystko z zakładki -> Task Scheduler, AdobeARMservice, NBService, nvsvc, nvUpdatusService, SkypeUpdate, Stereo Service, WinDefend, dump_wmimmc, EagleX64, GGSAFERDriver, NPPTNT2, X6va008, zlportio i msacm.lameacm.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O4 - HKCU..\Run: [Google Update] "C:\Users\Riot\AppData\Local\Google\Update\GoogleUpdate.exe" /c File not found

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (koniecznie oba).

[roundtouch]

w AutoRuns mam usunąc te które " odznaczyłem " ??

-- 23 cze 2012, 15:54 --

usunąlem te które odznaczyłem ^^

Log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
nowy Log: Dostępne tylko dla zarejestrowanych użytkowników
ten drugi log: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

usunąlem te które odznaczyłem ^^

Słusznie.

ten drugi log

To jest log z usuwania .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Files
C:\Users\Riot\Desktop\autoruns
C:\Users\Riot\Desktop\TDSSKiller.exe

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (oba - OTL.txt i Extras.txt) + ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników.

[roundtouch]

po restarcie: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników
AdwCleaner: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Files
C:\Users\Riot\Desktop\autoruns

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation

Zainstaluj SP1 -> Dostępne tylko dla zarejestrowanych użytkowników.

Internet Explorer (Version = 8.0.7600.16385)

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java(TM) 6 Update 27
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java(TM) 7 Update 4

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"KLiteCodecPack_is1" = K-Lite Codec Pack 7.7.0 (Full)

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[roundtouch]

po restarcie: Dostępne tylko dla zarejestrowanych użytkowników
malwarebytes - nie wiem czy o to chodzi: Dostępne tylko dla zarejestrowanych użytkowników

W tym malwarebytes niby pokazalo ze nic nie ma po skanowaniu, ale jak wszedlem w zakladke kwarantanna to mam tam sporo trojanów, normalnie to mam usunac tak ?

a i nie zainstalowalem tego Windows7 SP1 bo nie mam miejsca na dysku ( a trzeba 8 gb- ja mam moze 1 gb?)

[kominekl]

W tym malwarebytes niby pokazalo ze nic nie ma po skanowaniu, ale jak wszedlem w zakladke kwarantanna to mam tam sporo trojanów, normalnie to mam usunac tak ?

Opróżnij kwarantannę Malwarebytes`a (Usuń Wszystko).

a i nie zainstalowalem tego Windows7 SP1 bo nie mam miejsca na dysku ( a trzeba 8 gb- ja mam moze 1 gb?)

Przeczytaj -> Dostępne tylko dla zarejestrowanych użytkowników. Dodatek Windows 7 SP1 jest konieczny do prawidłowego działania systemu.

Jeszcze takie pytanko czy da sie np: "przenieść" trochę pamięci z innego dysku na dysk C: ale bez utraty danych, bez formatowania ?

Jak najbardziej -> Dostępne tylko dla zarejestrowanych użytkowników.

[roundtouch]

Ok, zrobilem tego SP1
Wielkie Dzięki za pomoc !!

[kominekl]

Ok, zrobilem tego SP1
Wielkie Dzięki za pomoc !!

Nie ma sprawy. Czy można zamknąć temat?

[roundtouch]

Tak, mozna.
Jeszcze raz Dzięki

[kominekl]

Tak, mozna.
Jeszcze raz Dzięki

Proszę o zamknięcie.

[XMan]

Zamykam temat,
XMan.