Facebook, włamanie? wirus na dysku systemowym


(Jasmaninho7) #1

Witam,

przedstawię sytuację od początku; parę miesięcy temu miałem taki przypadek, że kolega widywał mnie aktywnego na facebooku na czacie chociaż nigdy nie korzystam z fejsa na komórce i wtedy akurat byłem w innym miejscu niż przy moim laptopie i napewno nie korzystałem z facebooka a kolega mnie widział aktywnego!?! Sytuacja powtórzyła się przez parę kolejnych dni i inni też mi to potwierdzili. Aż doszlo do tego, że (wirus) ??? ?? porozsyłał spam do połowy znajomych w postaci: wbijaj, darmowe doładowanie (tu link). Oczywiście to było oszustwo z tymi doładowaniami. I teraz kwestia: czy to była osoba fizyczna czy jednak jakieś złosliwe oprogramowanie?? Teraz przechodzimy dalej; od 2 dni sytuacja sie powtarza z aktywnościa, czyli znowu wchodzę np na fejsa o 16 a kolega mi mowi, że mnie z rana widział i nic nie odpisywałem.. Na szczęście teraz jeszcze nie porozsyłało mi linków ze spamem jak wtedy...ale doszło do przedziwnej sytuacji...mój kolega ze studiów o 11 założył konto na fb i nie wiem jakim cudem z mojego konta poszło zaproszenie do niego?? bo wszedłem na fb dopiero dziś o 17? krótko mówiac nie wiem co się dzieje, ale trochę analogiczna sytuacja do tej z przed paru miesięcy... w międzyczasie adwcleanerem z dwa tygodnie temu czyścilem kompa z różnych mystartsearch itditd. jeszcze jedną dziwną sytuację zauwazyłem w ciągu paru dni ostatnich: znika mi miejsce na dysku systemowym nic nie instalując z 38 gb do 35... i co najciekawsze dziś o 17 było juz ok 39 gb... uruchomiłem ccleaner i usunęło tyle, że teraz jest wolnego 47 gb.. To wszystko sorry troszkę za nieład:)


(Acorus) #2

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.


(Agatonster) #3

Jasman

Proszę zapoznać się z tematem i poprawić tytuł na konkretny, mówiący o problemie.

Proszę poprawić pisownię w opisie problemu. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj, umieszczonego w prawym dolnym rogu swojego posta, następnie z opcji Użyj pełnego edytora, znajdującej się pod edytowanym postem.

Zignorowanie zalecenia będzie skutkowało przeniesieniem tematu do Kosza.


(Jasmaninho7) #4

logi

frst —> http://wklej.org/id/1631283/

addition —> http://wklej.org/id/1631285/


(Acorus) #5

Odinstaluj Akamai NetSession Interface.Otwórz notatnik systemowy i wklej:

Task: {2EA91CA0-B636-4D33-B3A2-B3FC231D284C} - System32\Tasks\SYTVHF = C:\Users\ja\AppData\Roaming\SYTVHF.exe ==== ATTENTION
Task: {32A07090-4712-4695-ADCA-72B6E22F8831} - System32\Tasks\{67C88BD0-D213-4497-9A27-7A9587FE448B} = pcalua.exe -a C:\Users\ja\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt
Task: {A48A7DB2-922A-4D80-8236-7099661C66D7} - System32\Tasks\SpyHunter4Startup = C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2014-12-10] (Enigma Software Group USA, LLC.)
Task: {B49E60F0-0EE4-41E2-A3BB-5E039656CE8F} - System32\Tasks\QTOI = C:\Users\ja\AppData\Roaming\QTOI.exe ==== ATTENTION
Task: C:\Windows\Tasks\QTOI.job = C:\Users\ja\AppData\Roaming\QTOI.exe ==== ATTENTION
Task: C:\Windows\Tasks\SYTVHF.job = C:\Users\ja\AppData\Roaming\SYTVHF.exe ==== ATTENTION
HKU\S-1-5-21-1464793926-4007305163-2840606563-1001\...\Policies\Explorer: []
HKU\S-1-5-21-1464793926-4007305163-2840606563-1001\...\MountPoints2: {26c7c252-5a02-11e4-8268-485ab6be8942} - "E:\SETUP.EXE"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Extension: No Name - C:\Program Files (x86)\IObit Apps Toolbar\FF [Not Found]
OPR Extension: (iWebar) - C:\Users\ja\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2014-10-22]
R2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [1025920 2014-12-10] (Enigma Software Group USA, LLC.)
S3 CoordinatorServiceHost; E:\solid\SolidWorks\swScheduler\DTSCoordinatorService.exe [X]
U4 BthAvrcpTg; No ImagePath
U4 BthHFEnum; No ImagePath
U4 bthhfhid; No ImagePath
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2014-12-10] ()
S3 ASUSProcObsrv; \\D:\I386\AsPrOb64.sys [X]
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\ja\AppData\Roaming\QTOI
2014-09-01 09:18 - 2014-09-01 09:18 - 0001248 _____ () C:\Users\ja\AppData\Roaming\SYTVHF
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Jasmaninho7) #6

zrobiłem tak jak mówiłeś, ale teraz mam prośbę


(Atis) #7

Możesz utworzyć kopię całego folderu z profilem:

C:\Users\ja\AppData\Roaming\Mozilla\Firefox\Profiles\zjvqvo32.default-1415047589221

https://support.mozilla.org/pl/kb/Odzyskiwanie%20wa%C5%BCnych%20danych%20ze%20starego%20profilu

MozBackup: http://mozbackup.jasnapaka.com/


(Jasmaninho7) #8

okej ale już skasowałem stare dane za pomocą FRST, więc jak mam je odzyskać? bo rozumiem w tym folderze mozilli już zostało wszystko wyczyszczone?


(Atis) #9

Teraz przeczytaj co napisałeś:

Pierwsze słyszę żeby FRST kasował hasła, a ciasteczka i historia to zwykłe śmieci

ShadowExplorer: http://www.shadowexplorer.com/documentation/manual.html

http://www.howtogeek.com/howto/windows-vista/recover-files-with-shadow-copies-on-any-version-of-windows-vista/


(Jasmaninho7) #10

okej nie sprecyzowałem…zależało mi na historii


(Atis) #11

Haseł nie miałeś już wcześniej, bo to wynika z Twojej poprzedniej wypowiedzi.

A kto Ci kazał podmieniać cały folder?

Podałem link gdzie jest napisane w jakich plikach zapisane są hasła, ciasteczka, historia itp.

https://support.mozilla.org/pl/kb/Odzyskiwanie%20wa%C5%BCnych%20danych%20ze%20starego%20profilu


(Jasmaninho7) #12

co może być źródłem tego co opisałem w 1 poście z facebookiem??