Wirus na fb!


(Karolluswnek) #1

Otrzymałem linka w wiadomości na fb. Bezmyślnie go włączyłem -,- Pobrał się plik który też otworzyłem .... Od tej pory zaczęło się piekło. Każdemu dostępnemu znajomemu wysyła linka do wirusa ! Skanowałem kompa i usunąłem to co znalazło, ale ku mojemu zdziwieniu nic to nie dało. Wysyła dalej takie wiadomości nawet do osób którym to już wysłało ! Co zrobić żeby obejść się bez formatu ? Pomocy ! Jestem młody i nie znam się na informatyce dla tego zwracam się o pomoc ! Proszę jak najszybciej !


(Grabkamy) #2

W dziale bezpieczeństwo obowiązkowe logi OTL, zapoznaj się z tym: http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narz%C4%99dzi-nieingerencyjnych/ i wklej logi OTL


(Karolluswnek) #3

że co proszę ? o.o 


(Grabkamy) #4

Dział dobry tylko logi wrzuc z OTL., instrukcje masz w linku powyrzej.


(Karolluswnek) #5

Tylko ten program coś da ? Skanowałem avastem i już nic nie wykrywa, dalej wysyła !


(Grabkamy) #6

Jak wkleisz logi z OTL to specjaliści znający sie na nich będą mogli Ci pomóc (antywirus nie wszystko znajdzie).


(Acorus) #7

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1504344515-4011229070-1672042778-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4:64bit: - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2014-01-29 02:02:00 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-29 02:04:41 | 000,000,828 | ---- | M] () -- C:\Windows\tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job
[2014-01-28 22:14:05 | 000,000,830 | ---- | M] () -- C:\Windows\tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/


(Karolluswnek) #8

http://www.wklej.org/id/1255373/ o to chodzi ? 


(Acorus) #9

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=iebgct=dsappid=484systemid=406apn_dtid=BND406apn_ptnrs=AG6o=APN10645apn_uid=1870053504134545q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000st=12barid={E0884EE6-22C3-11E2-A873-1C6F65AA5314}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=iebgct=dsappid=484systemid=406apn_dtid=BND406apn_ptnrs=AG6o=APN10645apn_uid=1870053504134545q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6crg=3.1010000st=12q={searchTerms}barid={E0884EE6-22C3-11E2-A873-1C6F65AA5314}
IE - HKU\S-1-5-21-1647381129-1992332083-2583915740-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}babsrc=SP_ssmntrId=22A21C6F65AA5314affID=44444tsp=4927
IE - HKU\S-1-5-21-1647381129-1992332083-2583915740-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={556AC814-C54B-4FCD-93E2-2A6E0EB925A1}mid=70a676c2fd4947d0b948cd26234ebae7-d266cba0af655ff23fecacac82cfa080553b7dcflang=ends=ft011pr=sad=2012-07-11 11:32:27v=11.1.0.12sap=dspq={searchTerms}
IE - HKU\S-1-5-21-1647381129-1992332083-2583915740-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=iebgct=dsappid=484systemid=406apn_dtid=BND406apn_ptnrs=AG6o=APN10645apn_uid=1870053504134545q={searchTerms}
IE - HKU\S-1-5-21-1647381129-1992332083-2583915740-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://mysearch.sweetpacks.com?src=6q={searchTerms}barid=st=23
FF - prefs.js..extensions.enabledAddons: ffxtlbr@babylon.com:1.2.0
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=100482babsrc=HP_ssmntrId=22a226dc0000000000001c6f65aa5314"
[2013-06-28 14:50:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\qif7cg20.default\extensions\ffxtlbr@babylon.com
[2013-06-28 14:50:20 | 000,006,504 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\qif7cg20.default\searchplugins\babylon.xml
[2012-10-30 20:00:54 | 000,002,536 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\qif7cg20.default\searchplugins\browsemngr.xml
[2013-06-28 14:50:20 | 000,006,504 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\qif7cg20.default\searchplugins\BrowserDefender.xml
[2013-06-28 14:50:41 | 000,001,294 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\qif7cg20.default\searchplugins\delta.xml
[2013-09-29 19:23:29 | 000,002,115 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\qif7cg20.default\searchplugins\MyStart Search.xml
[2013-09-20 18:59:52 | 000,002,120 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\qif7cg20.default\searchplugins\MyStart.xml
[2013-02-14 17:00:43 | 000,002,687 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\qif7cg20.default\searchplugins\Search_Results.xml
[2012-10-30 19:59:27 | 000,004,002 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\qif7cg20.default\searchplugins\sweetim.xml
[2013-12-26 19:23:06 | 000,001,585 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\qif7cg20.default\searchplugins\Sweetpacks Search.xml
[2012-07-11 10:32:18 | 000,003,750 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-10-30 20:00:26 | 000,002,349 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1647381129-1992332083-2583915740-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1647381129-1992332083-2583915740-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4:64bit: - HKLM..\Run: [Chew7Hale] C:\Windows\SysNative\hale.exe ()
O4:64bit: - HKLM..\Run: [Domino] C:\Windows\Domino.exe File not found
O4 - HKLM..\Run: [] File not found
[2014-01-29 20:19:01 | 000,000,932 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1647381129-1992332083-2583915740-1000UA.job
[2014-01-29 20:19:00 | 000,000,910 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1647381129-1992332083-2583915740-1000Core.job

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.


(Karolluswnek) #10

Ok. Jeszcze przez zrobieniem tego co pisze w ostatniej odpowiedzi przez długi czas było dobrze tzn. nic nie wysyłało. Ale wczoraj z powrotem się zaczęło :-( .... Zrobiłem to co napisał Acorus , ale w AdwCleaner'ze jak potem drugi raz jeszcze przeskanowałem i zostaje dalej 2 pliki z Google Chrome i jedno z Firefox'a ... 


(Acorus) #11

Pokaż nowe logi z OTL.


(Karolluswnek) #12

http://www.wklej.org/id/1261303/ 


(Acorus) #13

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
FF - HKCU\Software\MozillaPlugins\opencandy.com/Ignite: C:\Users\Michał\AppData\Local\Ignite\npOCDM.1.1.3.0.dll File not found
CHR - Extension: Pandora = C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbangkleohkafngihneedemihgfeikcl\1.0_0\
CHR - Extension: Pandora = C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbangkleohkafngihneedemihgfeikcl\1.0_0\
O4:64bit: - HKLM..\Run: [VMSnap3] C:\Windows\VMSnap3.exe File not found
[2014-02-03 19:38:57 | 000,000,000 | ---D | C] -- C:\AdwCleaner

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.


(Karolluswnek) #14

http://www.wklej.org/id/1261537/ logi 


(Karolluswnek) #15

Zrobiłem wszystko co kazaliście. Było ok przez ... 3 dni ? !!