Wirus? powiązany z facebook

[essien1985]

Witam.

Mój problem jest taki. Pewnie gdzieś coś ktoś musiał kliknąć i sytuacja wygląda tak, że sam facebook korzystając z aplikacji takich jak deezer, pandora, iphoto, umiesza za mnie posty ze spamem. Co zrobiłem. Wyłączyłem całkowicie opcje aplikacji na facebook. I co się dzieje teraz. Gdy otworzę fire foxa i dam plusika by otworzyć nową kartę to otwiera mi się nowe okno i tam dwie zakładki facebook i informacja, żeby załączyć funkcję aplikacji na facebook. (gdy ją włączę pokolei otwierają się same strony takie jak pandora, deezer, flipagram, spotife i z automatu dodaje mi je, jak by ktoś siedział i wirtualnie klikał w pola akceptacji tych aplikacji) Czyli to musi być jakiś skrypt który za każdym razem chce instalować powyższe aplikacje jak deezer itp. Gdy mam załączoną opcję aplikacje, to gdy je usunę, resetne foxa, to same się instalują i wracają na facebooka ponownie. Wiecie jak się tego pozbyć? Próbowałem adwcleaner. Skanowałem też ESET'em. Niby coś znalazły ale problem powraca.

Adres tej nowej strony która się otwiera: są tu jakieś przekierowania itd. I przenosi mnie do pandora.com

Dostępne tylko dla zarejestrowanych użytkowników

OTL:

Dostępne tylko dla zarejestrowanych użytkowników

[electrolux]

Nie widzę tu niczego podejrzanego.

Na wszelki wypadek zrób jeszcze logi FRST
http://forum.hotfix.pl/bezpieczenstwo/korzystanie-z-frst-t28530.html

[essien1985]

FRST: Dostępne tylko dla zarejestrowanych użytkowników

Additional: Dostępne tylko dla zarejestrowanych użytkowników

Shortcut: Dostępne tylko dla zarejestrowanych użytkowników

A tu filmiki prezentujące o co chodzi. Po kliknięciu na + otwiera się nowe okno i dwie zakładki. Dziwny jest ten adres, to jest jakiś skrypt chcący włączyć opcje Aplikacji na facebook i zainstalowanie spotify i innych.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[electrolux]

W logach nie widzę żadnej infekcji.

Kosmetyka:
Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-1451644560-1680830711-1754774139-1000\Software\Classes\exefile: <===== UWAGA
HKU\S-1-5-21-1451644560-1680830711-1754774139-1000\Software\Classes\.exe: exefile => <===== UWAGA
ShortcutWithArgument: C:\Users\Wojciech\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
ShortcutWithArgument: C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
ShortcutWithArgument: C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Dingit Infinite HD App.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=llnhnfikffkjbdnfallfpgikamegbbag
Task: {F80EECD7-F2C2-463C-97BC-81AF7C43D70E} - System32\Tasks\{7D409ACE-8533-49B0-B50F-809B2FC870D6} => pcalua.exe -a "C:\Program Files (x86)\uTorrent\uTorrent.exe" -c /UNINSTALL
Task: {C4F2B12F-0929-4F8D-B7B2-280C2631CC0F} - System32\Tasks\{E55EA994-D9E9-4BE2-9639-7AB509326801} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{14DCD95A-EBA3-4BF0-B7EF-533852E99BE6}\setup.exe" -c -runfromtemp -l0x0015 -removeonly
Task: {AD531163-2279-4C34-941F-F1685ACA6DF9} - System32\Tasks\{5AABDE42-EEBF-4195-8B54-3E69D99C92EA} => pcalua.exe -a D:\Programy\VirtualDub-1.9.11\auxsetup.exe -d D:\Programy\VirtualDub-1.9.11
Task: {B2B1DC5B-FED9-41FB-B68F-96D5E4201D91} - System32\Tasks\{4150EB2D-64D2-435B-9ADB-21D1F96EDFAF} => pcalua.exe -a C:\Users\Wojciech\Desktop\Pierwsze_CDA.exe -d C:\Users\Wojciech\Desktop
CustomCLSID: HKU\S-1-5-21-1451644560-1680830711-1754774139-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\wcnwiz.dll => Brak pliku <==== UWAGA
RemoveDirectory: C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\ProgramData\mtbjfghn.xbe
S3 ALSysIO; \??\C:\Users\Wojciech\AppData\Local\Temp\ALSysIO64.sys [X] <==== UWAGA
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]
FF Plugin HKU\S-1-5-21-1451644560-1680830711-1754774139-1000: anvisoft.com/AdblockPlugin -> C:\ProgramData\Anvisoft\Anvi Smart Defender 2\extensions\npAdblockPlugin.dll [Brak pliku]
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-1451644560-1680830711-1754774139-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
HKLM-x32\...\Run: [] => [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

.chcący włączyć opcje Aplikacji na facebook

być może kiedyś kliknąłeś Facebooka, a takie kliknięcie, to otwarta droga na problemy.
Po prostu trzeba zawsze wystrzegać się Facebooka.
.

[essien1985]

Dziwne właśnie, że w logach ok, a te dziadoskie programy same dodawały posty na facebooka z jakimś spamem. Teraz już nie dodają, ale jest taki dziwny problem jak na filmikach. Napisałem do facebooka, żeby to ogarneli dziadostwo.

Dziękuję za pomoc