Wirus z facebooka

Post07 sty 2013, 01:16

Witam, moim problemem jest dobrze znany wirus, powodujący automatyczne wysyłanie linków i prowadzący konwersacje na facebooku. Do infekcji doszło prawdopodobnie ponad miesiąc temu, jednak nie było to tak uciążliwe aż do teraz. Mój system miała rzekomo chronić Panda Cloud Antyvirus, jednak ostatnio wydaje się dość cicha i mam wrażenie, że nie funkcjonuje poprawnie, więc na moim komputerze jest pewnie sporo syfu

. Poniżej wstawiam logi z OTL i bardzo proszę o pomoc. Pozdrawiam.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post07 sty 2013, 19:21

[...]
O4 - Startup: C:\Users\Karol\.swt [2012-08-23 00:31:01 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Karol\AppData [2012-08-21 17:04:39 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Users\Karol\Contacts [2012-08-21 17:04:48 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Karol\Cookies [2012-08-21 17:04:39 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Karol\Dane aplikacji [2012-08-21 17:04:39 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Karol\Desktop [2013-01-07 00:57:07 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Karol\Documents [2012-12-15 01:02:06 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Karol\Downloads [2012-11-30 01:24:32 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Karol\Favorites [2012-08-23 00:43:30 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Karol\GG dysk [2012-08-23 00:44:05 | 000,000,000 | --SD | M]
O4 - Startup: C:\Users\Karol\Links [2012-08-21 18:44:51 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Karol\Menu Start [2012-08-21 17:04:39 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Karol\Moje dokumenty [2012-08-21 17:04:39 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Karol\Music [2012-08-21 17:06:45 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Karol\NetHood [2012-08-21 17:04:39 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Karol\NTUSER.DAT ()
O4 - Startup: C:\Users\Karol\ntuser.dat.LOG1 ()
O4 - Startup: C:\Users\Karol\ntuser.dat.LOG2 ()
[...]

Rzeczywiście jest coś nie w porządku, gdyż root kont wyświetla się w Autostarcie. Zrób skan dostosowany przedstawiający konfigurację folderów powłoki. Uruchom OTL, wszystkie sekcje ustaw na Brak + Żadne (nadal zaznaczasz - wszyscy użytkownicy), zaś w sekcji Własne opcje skanowania / skrypt wklej:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Naciskasz -> Skanuj. Następnie podajesz Nam raport.

"AVG Secure Search" = AVG Security Toolbar
"Panda Universal Agent Endpoint" = Panda Cloud Antivirus
"Vuze_Remote Toolbar" = Vuze Remote Toolbar
"UnityWebPlayer" = Unity Web Player

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2504091
IE - HKU\S-1-5-21-950104632-3611715885-3280957260-1001\..\URLSearchHook: {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll (DeviceVM Inc.)
IE - HKU\S-1-5-21-950104632-3611715885-3280957260-1001\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-950104632-3611715885-3280957260-1001\..\SearchScopes,DefaultScope = {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}
IE - HKU\S-1-5-21-950104632-3611715885-3280957260-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-950104632-3611715885-3280957260-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{E1040299-7BD2-45BA-BC80-851F01265EC8}&mid=5cef815b72354452b77b3dab299ae4a3-09fb52c394257ffd94f10dc2f6ca02b23a5140ba&lang=pl&ds=ax011&pr=&d=2012-11-13 11:35:03&v=13.2.0.4&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-950104632-3611715885-3280957260-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2504091
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll ()
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Karol\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\13.2.0.5 [2012-11-15 13:09:05 | 000,000,000 | ---D | M]
[2012-11-15 13:08:57 | 000,003,571 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
CHR - Extension: AVG Secure Search = \Users\Karol\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\
CHR - Extension: AVG Secure Search = \Users\Karol\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\.bak
O4 - HKU\S-1-5-21-950104632-3611715885-3280957260-1001..\Run: [MSConfig] C:\Users\Karol\rzbt.exe ()
O4 - Startup: C:\Users\All Users\0x0304A000.sfl ()
O4 - Startup: C:\Users\All Users\AVG Secure Search [2012-12-30 15:25:01 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\hash.dat ()
O4 - Startup: C:\Users\All Users\TEMP [2012-11-18 18:47:01 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Karol\rzbt.exe ()
@Alternate Data Stream - 812676 bytes -> C:\Windows\Temp:temp
@Alternate Data Stream - 121 bytes -> C:\Users\All Users\TEMP:C31F31E6
@Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:C31F31E6

:Files
C:\Program Files\Google\Update
C:\Users\Karol\AppData\LocalLow\Unity
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

Post08 sty 2013, 20:03

Zrobione.
"skan dostosowany przedstawiający konfigurację folderów powłoki": Dostępne tylko dla zarejestrowanych użytkowników
Log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
Log z ADWCleaner: Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSSKIller: Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników ; Dostępne tylko dla zarejestrowanych użytkowników
Dzięki za zainteresowanie. Co dalej?

Post08 sty 2013, 20:13

"skan dostosowany przedstawiający konfigurację folderów powłoki"

Klucz HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders jest kompletnie wyczyszczony. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"!Do not use this registry key"="Use the SHGetFolderPath or SHGetKnownFolderPath function instead"
"Local AppData"="C:\\Users\\Karol\\AppData\\Local"
"My Video"="C:\\Users\\Karol\\Videos"
"AppData"="C:\\Users\\Karol\\AppData\\Roaming"
"My Pictures"="C:\\Users\\Karol\\Pictures"
"Desktop"="C:\\Users\\Karol\\Desktop"
"History"="C:\\Users\\Karol\\AppData\\Local\\Microsoft\\Windows\\History"
"NetHood"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\Network Shortcuts"
"Cookies"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\Cookies"
"Favorites"="C:\\Users\\Karol\\Favorites"
"SendTo"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\SendTo"
"Start Menu"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu"
"My Music"="C:\\Users\\Karol\\Music"
"Programs"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs"
"Recent"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\Recent"
"CD Burning"="C:\\Users\\Karol\\AppData\\Local\\Microsoft\\Windows\\Burn\\Burn"
"PrintHood"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\Printer Shortcuts"
"Startup"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup"
"Administrative Tools"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Administrative Tools"
"Personal"="C:\\Users\\Karol\\Documents"
"Cache"="C:\\Users\\Karol\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files"
"Templates"="C:\\Users\\Karol\\AppData\\Roaming\\Microsoft\\Windows\\Templates"
"Fonts"="C:\\Windows\\Fonts"

Z menu Notatnika -> Plik > Zapisz, jako -> Ustaw rozszerzenie na Wszystkie pliki -> Zapisz jako -> FIX.REG . Zaimportuj ten plik i zresetuj system.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc -- (gupdatem)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /svc -- (gupdate)
SRV - File not found [On_Demand | Stopped] -- D:\Program Files\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe -- (DAUpdaterSvc)
IE - HKU\S-1-5-21-950104632-3611715885-3280957260-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
O3 - HKU\S-1-5-21-950104632-3611715885-3280957260-1001\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKU\S-1-5-21-950104632-3611715885-3280957260-1001..\Run: [MSConfig] C:\Users\Karol\rzbt.exe ()
@Alternate Data Stream - 812667 bytes -> C:\Windows\Temp:temp

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post09 sty 2013, 06:51

Wpis do rejestru zaimportowany.
Log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników ; Dostępne tylko dla zarejestrowanych użytkowników
Czekam na dalsze instrukcje.

Post09 sty 2013, 19:15

Wpis do rejestru zaimportowany.

Tak. Log z OTL (sekcja O4) wykazuje naprawienie problemu z konfiguracją folderów powłok.

Infekcja.

Coś tu pozwala na usuniecie infekcji, usuwałem kilkukrotnie, ale natychmiast ją przywraca. Nie będziemy używać potężnych narzędzi do naprawy tego. Użyjemy podstawowego Malwarbeytes`a. Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport. On z tym sobie powinien bez problemu poradzić.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2012-11-02 07:27:51 | 000,000,000 | ---D | M] (Iplex to ALLPlayer) -- C:\Users\Karol\AppData\Roaming\mozilla\Firefox\Profiles\v18aneak.default\extensions\IplextoALL@ALLPlayer.org
[2012-08-22 17:29:26 | 000,010,043 | ---- | M] () (No name found) -- C:\Users\Karol\AppData\Roaming\mozilla\firefox\profiles\v18aneak.default\extensions\IplextoALL@ALLPlayer.org.xpi
O4 - HKU\S-1-5-21-950104632-3611715885-3280957260-1001..\Run: [MSConfig] C:\Users\Karol\rzbt.exe ()
[2013-01-07 21:59:42 | 000,000,000 | ---D | C] -- C:\Users\Karol\Desktop\tdsskiller (1)
[2013-01-07 21:43:46 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-01-09 06:30:30 | 000,001,727 | ---- | M] () -- C:\Users\Karol\Desktop\fix.reg
[2013-01-07 21:59:26 | 002,195,061 | ---- | M] () -- C:\Users\Karol\Desktop\tdsskiller (1).zip
[2012-08-21 18:07:24 | 000,000,000 | ---D | M] -- C:\Users\Karol\AppData\Roaming\Panda Security
[2012-11-19 09:17:27 | 000,000,000 | ---D | M] -- C:\Users\Karol\AppData\Roaming\PCToolsFirewallPlus
[2012-12-15 15:31:20 | 000,000,000 | ---D | M] -- C:\Users\Karol\AppData\Roaming\Unity
@Alternate Data Stream - 812664 bytes -> C:\Windows\Temp:temp

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post10 sty 2013, 02:47

Log z usuwania Malwarebytes Anti-Malware: Dostępne tylko dla zarejestrowanych użytkowników
Dla pewności wykonałem jeszcze jedno pełne skanowanie, nie wykryto żadnych zagrożeń.
Log z usuwania OTL: Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi ze skanowania OTL: Dostępne tylko dla zarejestrowanych użytkowników ; Dostępne tylko dla zarejestrowanych użytkowników
Co dalej?

Post10 sty 2013, 20:04

Log z usuwania Malwarebytes Anti-Malware: Dostępne tylko dla zarejestrowanych użytkowników

Bardzo dobrze dał sobie radę

. Opróżnij kwarantannę Malwarebytes`a

.

ADWCleaner.

Uninstall .

Logi.

Podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post10 sty 2013, 21:36

Kwarantanna opróżniona, ADWCleaner odinstalowany.
Oto log z Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

Post11 sty 2013, 18:07

ciapciak pisze:Kwarantanna opróżniona, ADWCleaner odinstalowany.

OK.

Oto log z Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

W formie pliku -> .ARN poproszę

.

Post12 sty 2013, 03:36

Pardon, nie doczytałem

.
Log z AutoRuns w poprawnej formie: Dostępne tylko dla zarejestrowanych użytkowników

Post12 sty 2013, 13:12

Pardon, nie doczytałem .

Nie szkodzi

.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
RtHDVCpl
Start WingMan Profiler
SunJavaUpdateSched
VirtualCloneDrive

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ALLUpdate

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
MozillaMaintenance
MSSQL$BWDATOOLSET
nlsvc
nvsvc
nvUpdatusService
SkypeUpdate
SQLWriter
Stereo Service
WinDefend
WMPNetworkSvc

Logi.

Następnie podajesz nowe logi z OTL.

Post13 sty 2013, 03:01

Pousuwane.
Oto nowe logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników ; Dostępne tylko dla zarejestrowanych użytkowników

Post13 sty 2013, 12:18

ciapciak pisze:Pousuwane.
Oto nowe logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników ; Dostępne tylko dla zarejestrowanych użytkowników

W Autoruns nie usunąłeś wszystkiego co się dało (choćby w kluczu -> HKLM\System\CurrentControlSet\Services). Pamiętajcie, że takie programy uruchamia się poprzez moduł -> Uruchom, jako Administrator. Jeśli i to nie sprawi, że będzie możliwość usunięcia większej ilości odznaczonych wpisów to spróbuj w trybie awaryjnym.