Chaosium Facebook Spam do znajomych


(Mlc97) #1

Problem polega na tym że gdy wchodze na Facebooka to wysyła mi linki do znajomych. 

Linki o treści:  http://catalog.chaosium.com... itd

Proszę o pomoc

 

Extras: http://wklej.org/id/1334282/

OTL: http://wklej.org/id/1334284/


(Acorus) #2

Odinstaluj Lyrmix,Foxtab,McAfee Security Scan Plus,Update for Foxtab.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Windows Internet Name Service\wins.exe -- (Windows Internet Name Service)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.0.5\ToolbarUpdater.exe -- (vToolbarUpdater18.0.5)
SRV - [2013-08-31 13:04:36 | 003,233,806 | ---- | M] () [Auto | Running] -- C:\Program Files\Tor\tor.exe -- (tor)
DRV - File not found [Kernel | On_Demand | Stopped] -- J:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] -- J:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- J:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Dom\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys -- (cpuz136)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandnetndis.sys -- (andnetndis)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandnetmodem.sys -- (ANDNetModem)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandnetdiag.sys -- (AndNetDiag)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\lgandnetadb.sys -- (andnetadb)
DRV - [2014-03-21 18:13:02 | 000,042,272 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
FF - prefs.js..browser.startup.homepage: "http://mysearch.avg.com?cid={20F9509E-1F51-4FCC-A7FD-067B3EF9590B}mid=b4144d58d2b647d3876dd1509d345c03-36aebdd201b0be6c94c5fd3a5e78bca88119c226lang=plds=ad011coid=avgtbdisadcmpid=pr=sad=v=18.0.5.292pid=safeguardsg=0sap=hp"
[2013-09-03 19:25:33 | 000,000,000 | ---D | M] (Lyrmix) -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\lshlc7kz.default\extensions\131
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKCU..\Run: [WindowsUpdate] C:\DOCUME~1\Dom\USTAWI~1\Temp\data\Microsoft.vbs File not found
O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found
[2014-04-16 12:45:24 | 000,116,736 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll
[2014-04-16 12:42:00 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2014-04-16 12:42:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\tasks\At1.job
[2014-04-16 12:39:38 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\Lyrmix Update.job
[2014-04-16 11:00:05 | 000,000,288 | ---- | M] () -- C:\WINDOWS\tasks\CPU Grid Computing.job

:Files
C:\Documents and Settings\Dom\Dane aplikacji\*.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Po restarcie uruchom OTL i użyj opcji Sprzątanie.

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.0.1000.exe


(Mlc97) #3

Zrobiłem wszystkie powyższe czynności.


(Acorus) #4

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
[2013-09-03 19:26:15 | 000,834,312 | ---- | C] (AnyProtect.com) -- C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\nsi2CD.tmp.exe
[2014-04-13 22:26:15 | 000,311,296 | ---- | C] () -- C:\Documents and Settings\LocalService\Dane aplikacji\01C2E87E.exe
[2014-04-13 21:56:07 | 000,311,296 | ---- | C] () -- C:\Documents and Settings\LocalService\Dane aplikacji\01A75191.exe
[2013-11-10 16:41:49 | 000,364,318 | ---- | C] () -- C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\foxtab_speeddial.crx

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Po restarcie uruchom OTL i użyj opcji Sprzątanie.

W Chrome ustaw Google na domyślną wyszukiwarkę w Chrome: http://support.google.com/chrome/bin/answer.py?hl=planswer=95426 a Conduit Search usuń.

Zainstaluj aktualizacje do programow wskazanych przez Security Check


(Atis) #5

Szkodliwa usługa, a na XP w ogóle nie ma systemowego folderu dfrg.

http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Trojan:Win32/Sefnit.BW#tab_2

Poza tym jakieś pliki autorun.inf:


(Mlc97) #6

Zrobiłem wszystko jak Pan powiedział, na razie nie wysyła tego spamu.

OTL: http://wklej.org/id/1334532/

Extras: http://wklej.org/id/1334533/

 

Już jest wszystko ok? :slight_smile:


(Acorus) #7

Pokaż jeszcze log z Farbar Recovery Scan Tool 32-Bit Version http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ 

Tylko raport FRST.


(Mlc97) #8

 

tak jak sie spodziewałem, nadal rozsyła to dziadostwo.....

FRST: http://wklej.org/id/1334538/

 

Heelp me :c dalej sie to rozsyła ;/


(Acorus) #9

Otwórz Notatnik i wklej:

HKLM\...\Winlogon: [Shell] [x] () === ATTENTION
HKU\S-1-5-21-1482476501-1957994488-839522115-1003\...\MountPoints2: {85e88cc3-b34d-11e2-8cf7-806d6172696f} - w9.exe
HKU\S-1-5-21-1482476501-1957994488-839522115-1003\...\MountPoints2: {85e88cc4-b34d-11e2-8cf7-806d6172696f} - w9.exe
R2 updater; C:\Documents and Settings\Dom\Dane aplikacji\Updater\updater.dll [1564672 2014-03-28] ()
S2 winnetdns; C:\WINDOWS\system32\dfrg\svc.exe [X]
2014-04-03 21:45 - 2014-04-03 21:45 - 00000000 ____ D () C:\Documents and Settings\Dom\Dane aplikacji\Updater
2014-04-16 13:58 - 2013-08-31 13:04 - 00000000 ____ D () C:\Program Files\Tor
2014-04-16 13:58 - 2013-08-31 13:04 - 00000000 ____ D () C:\Documents and Settings\LocalService\Dane aplikacji\tor
2014-04-16 12:38 - 2014-04-16 12:21 - 00000000 ____ D () C:\AdwCleaner

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST


(Mlc97) #10

Umieść obok FRST? o co chodzi? jak to zrobić?


(Atis) #11

Zapisz plik fixlist w tym samym folderze: E:\Pliki zneta

Pokaż raport UsbFix z opcji Listing.


(Mlc97) #12

Zrobiłem jak napisaliście

 

Raport z UsbFix: http://wklej.org/id/1334589/

 

co o tym powiecie? siedze na fb jakieś 4 minuty i jeszcze nic ale nadal nic pewnego że nie zacznie wysyłać


(Atis) #13

Wklej do OTL i kliknij Wykonaj skrypt:

:Files
E:\autorun.inf 
D:\autorun.inf
C:\WINDOWS\system32\dfrg
C:\FRST

Uruchom UsbFix i kliknij Vaccinate, a później Uninstall.

Uruchom OTL i kliknij Sprzątanie.


(Mlc97) #14

Dziękuje wszystkim, jak na razie wszystko działa i nie rozsyła tego dziadostwa :slight_smile:

POZDRAWIAM i dziękuje :slight_smile: