Wirus facebook

[ada.pedn23]

Witam, moim problemem jest dobrze znany wirus, powodujący automatyczne wysyłanie linków i prowadzący konwersacje na facebooku. Do infekcji doszło prawdopodobnie ponad miesiąc temu, jednak nie było to tak uciążliwe aż do teraz. Mój system miała rzekomo chronić Panda Cloud Antyvirus, jednak ostatnio wydaje się dość cicha i mam wrażenie, że nie funkcjonuje poprawnie, więc na moim komputerze jest pewnie sporo syfu . Poniżej wstawiam logi z OTL i bardzo proszę o pomoc. Pozdrawiam.

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

[2013-01-24 12:44:23 | 000,000,000 | ---D | C] -- C:\_OTL

To kwarantanna OTL`a. Ktoś tu coś próbował robić. Proszę o dane, co.

"McAfee Security Scan" = McAfee Security Scan Plus
"MyWebSearch bar Uninstall" = My Web Search (Cursor Mania)
"SearchProtect" = Search Protect by conduit
"ViUpdater" = ViUpdater

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\..\URLSearchHook: {62d40876-df18-411f-9d34-a9dd7a197bc5} - No CLSID value found
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\..\SearchScopes,DefaultScope = {56256A51-B582-467e-B8D4-7786EDA79AE0}
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=E65C71D5-9B1F-451B-8B0C-B8B0E0463E28&apn_sauid=A5407274-9A49-4046-8033-7014C235BC53
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&loc=IB_DS&a=6R8HaeST1a&i=26
IE - HKU\S-1-5-21-963102849-1183330143-3841467123-1000\..\SearchScopes\Yandex: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=E65C71D5-9B1F-451B-8B0C-B8B0E0463E28&apn_ptnrs=U3&apn_sauid=A5407274-9A49-4046-8033-7014C235BC53&apn_dtid=OSJ000YYPL&&q="
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Program Files\McAfee Security Scan\3.0.313\npMcAfeeMss.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@mywebsearch.com/Plugin: C:\Program Files\MyWebSearch\bar\1.bin\NPMyWebS.dll (MyWebSearch.com)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Sylwusia\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Sylwusia\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin [2012-09-05 20:17:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox
[2012-10-19 18:00:25 | 000,000,000 | ---D | M] (BrotherSoft Extreme3) -- C:\Users\Sylwusia\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{62d40876-df18-411f-9d34-a9dd7a197bc5}
[2012-10-04 19:49:31 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Users\Sylwusia\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\ffxtlbr@incredibar.com
[2012-10-04 16:45:52 | 000,000,000 | ---D | M] (Яндекс.Бар) -- C:\Users\Sylwusia\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru
[2012-11-11 08:33:09 | 000,002,308 | ---- | M] () -- C:\Users\Sylwusia\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\searchplugins\askcom.xml
O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found
O4 - HKU\S-1-5-21-963102849-1183330143-3841467123-1000..\Run: [MSConfig] C:\Users\Sylwusia\rzbt.exe ()
[2012-11-10 21:54:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Ask
[2012-10-19 18:01:48 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit
[2012-10-19 18:01:29 | 000,000,000 | ---D | C] -- C:\Users\Sylwusia\AppData\Local\Conduit
[2012-10-19 18:01:12 | 000,000,000 | ---D | C] -- C:\Users\Sylwusia\AppData\Local\CRE
[2012-10-19 18:00:51 | 000,000,000 | ---D | C] -- C:\Program Files\SearchProtect
[2012-10-19 18:00:26 | 000,000,000 | ---D | C] -- C:\Users\Sylwusia\AppData\Roaming\SearchProtect
[2012-10-04 18:59:47 | 000,000,000 | ---D | C] -- C:\ProgramData\NortonInstaller
[2012-10-04 18:16:42 | 000,000,000 | ---D | C] -- C:\Users\Sylwusia\AppData\Roaming\systweak
[2012-10-04 18:14:35 | 000,000,000 | ---D | C] -- C:\Users\Sylwusia\AppData\Roaming\ViUpdater
[2012-10-04 18:14:35 | 000,000,000 | ---D | C] -- C:\Program Files\ViUpdater
[2012-10-04 18:14:09 | 000,000,000 | ---D | C] -- C:\Program Files\ViStart
[2012-10-04 16:45:52 | 000,000,000 | ---D | C] -- C:\Users\Sylwusia\AppData\Local\Yandex
[2012-10-04 16:45:51 | 000,000,000 | ---D | C] -- C:\Users\Sylwusia\AppData\Roaming\Yandex
[2012-10-02 17:15:03 | 000,000,000 | ---D | C] -- C:\Users\Sylwusia\AppData\Roaming\TuneUp Software
[2012-10-02 17:14:23 | 000,000,000 | ---D | C] -- C:\ProgramData\TuneUp Software
[2012-10-02 17:14:18 | 000,000,000 | -HSD | C] -- C:\ProgramData\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2012-09-05 20:17:11 | 000,038,320 | ---- | C] (FunWebProducts.com) -- C:\Windows\System32\f3PSSavr.scr
[2012-09-05 20:17:11 | 000,000,000 | ---D | C] -- C:\Program Files\FunWebProducts
[2012-09-05 20:17:09 | 000,000,000 | ---D | C] -- C:\Program Files\MyWebSearch
[2012-09-03 06:39:29 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee Security Scan
[2012-09-03 06:39:27 | 000,000,000 | ---D | C] -- C:\Program Files\McAfee Security Scan
[2012-09-03 06:39:27 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee

:Files
C:\Users\Sylwusia\AppData\Local\Google\Update
C:\Windows\tasks\*.*
C:\END
C:\Users\Sylwusia\photo.htm

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

[ada.pedn23]

Log z usuwania Dostępne tylko dla zarejestrowanych użytkowników

-- 06 lut 2013, 23:27 --

Log z TDSSKiller Dostępne tylko dla zarejestrowanych użytkowników

Log z ADWCleaner Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

ADWCleaner.

Miało być z opcji usuwania, a nie z szukającej. Popraw.

OTL.

Następnie podajesz nowe logi z OTL.