Wirus - wiadomości na Facebook'u

[nomomom]

Jak w temacie,wirus rozsyla wiadomosci do znajomych z zainfekowanym linkiem, widzialem ze juz takie tematy byly ale z tego co ogarniam to nie moge uzyc skryptu od kogos innego. Bylbym bardzo wdzieczny jakby ktos mi pomogl ;p

 

Logi:

OTL: http://www.wklej.org/id/941192/

Extras: http://www.wklej.org/id/941193/

[picasso]

Czy coś już było usuwane jakimś skanerem? Hmmm, a ja tu nie widzę w raportach OTL oznak infekcji, jest tylko adware.

 

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, AVG Security Toolbar, Babylon Chrome Toolbar, Babylon toolbar, Browser Manager, Sopcast Ask Toolbar Updater, uTorrentControl_v2 Toolbar, vShare.tv plugin 1.3. Poza tym, za dużo antywirusów, wspólnie działają w tle Avast + Trend Micro Titanium Internet Security. Odinstaluj i Trend Micro (starszy).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=79e7801e-eac9-11e0-b064-f46d044cc316&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
IE - HKU\S-1-5-21-1877497007-275049486-2694924158-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=79e7801e-eac9-11e0-b064-f46d044cc316&q={searchTerms}"
IE - HKU\S-1-5-21-1877497007-275049486-2694924158-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=201112_ccp_ctrl_4812_4&babsrc=SP_ss&mntrId=be5d5a9d000000000000f46d044cc316"
IE - HKU\S-1-5-21-1877497007-275049486-2694924158-1000\..\SearchScopes\{3CFF6E8B-91E8-40CA-B8F3-4AFD39C7DAC0}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-1877497007-275049486-2694924158-1000\..\SearchScopes\{4109BAFD-51B6-41ED-A0E3-0F3106841877}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=&apn_ptnrs=^PV&apn_dtid=^YYYYYY^YY^PL&apn_uid=3a7f4e15-710c-41d8-9392-06551a81d55d&apn_sauid=3054CE66-C247-42C2-9DB4-919E0D0F5631"
IE - HKU\S-1-5-21-1877497007-275049486-2694924158-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searcerms}"
IE - HKU\S-1-5-21-1877497007-275049486-2694924158-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={0D53CB48-C18F-4B66-98B1-F2CB5AB5756E}&mid=0e078348033a4647939bfc5b999ab8a2-312679b5987818b777d8faf079f60231481b9062&lang=pl&ds=xn011&pr=sa&d=2012-12-25 14:44:05&v=13.3.0.17&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-1877497007-275049486-2694924158-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Files
C:\Users\Mirka\AppData\Roaming\OpenCandy
C:\Users\Mirka\AppData\Roaming\mozilla
C:\Program Files (x86)\mozilla firefox
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz GMER. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[nomomom]

okazalo sie ze moj brat lubi "korzystac" z mojego fejsa, wiec pewnie wirus siedzi na jego kompie, logi:

 

OTL: http://www.wklej.org/id/945335/

Extras: http://www.wklej.org/id/945337/

[picasso]

Na swoim kompie

 

Masz wykonać zadane wcześniej polecenia i przedstawić raporty wynikowe.

 

 

Na kompie brata

 

Infekcja jest (sfałszowany wpis "MSConfig"), adware też (min. search.certified-toolbar.com), więc z kolei tu działania:

 

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, Babylon Chrome Toolbar, Babylon toolbar, Browser Manager, Optimizer Pro, Protected Search 1.1, WxDownload Expansion, wxDownload Fast 0.6.0.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-3427517850-623358102-1741283838-1000..\Run: [MSConfig] C:\Users\Mati\rzbt.exe ()
O4 - HKLM..\Run: []  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
IE - HKU\S-1-5-21-3427517850-623358102-1741283838-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=117064&tt=4912_4&babsrc=SP_ss&mntrId=3c8da18d000000000000000000000000"
IE - HKU\S-1-5-21-3427517850-623358102-1741283838-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={876977A2-47E4-4858-AF9F-FE2D81796DF9}&mid=e8e0ac7c52e747d09c670d47e7df75e7-a186270b6f5640320124425684b6b3c2d5c8bb6d&lang=pl&ds=xn011&pr=sa&d=2013-01-12 19:15:23&v=13.3.0.17&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-3427517850-623358102-1741283838-1000\..\SearchScopes\{C551EC01-EA07-41D1-AC7A-AB9D1C4FACBE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=1327266C-7678-4FEE-9A45-2CE608F35A46&apn_sauid=AA5D4BB8-D5B8-40AE-8B13-E422960E0DF7"
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\ProgramData\Browser Manager\2.6.1123.78\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2013-01-31 23:38:01 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
"Start Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Default_Page_URL"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
:Files
C:\Windows\tasks\OptimizerProUpdaterTask{B3721371-BBC8-4D3C-B442-D3D40D78A983}.job
C:\Users\Mati\AppData\Roaming\Mozilla
C:\Program Files (x86)\Mozilla Firefox
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadania Optimizer Pro i Protected Search.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook x64 i do okna wklej:

 

:regfind

certified
protected search
 
:folderfind
*certified*
protected search
 
:filefind
*certified*
protectedsearch*
protected search**

 

Klik w Look.

 

Dołącz też log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso