Wirus z facebooka

[BigDamian]

Witam, już jakiś czas temu padłem ofiarą nieznośnego wirusa który wysyła różne "dziwne" linki do moich znajomych oraz spmauje ich tablice. Szukałem informacji na temat tego wirusa i wywnioskowałem że jedynym rozwiązaniem jest stworzenie odpowiedniego skryptu który się go pozbędzie, jako iż moja wiedza na temat komputera ogranicza się do odpalenia jakiejś gierki raz na miesiąc zgłaszam się do was po pomoc.

 

 

Logi:

1) http://wklej.org/id/1006523/ - OTL,

2) http://wklej.org/id/1006524/ - Extras,

3) http://wklej.org/id/1006529/ - MBR, niestety chyba tutaj coś źle zrobiłem.

 

 

 

 

 

[picasso]

Użyłeś wersję mini MBR.exe, przestarzałą i niezgodną z system 64-bit. Pożądanym logiem jest tu pełny skan pod kątem rootkit w GMER (pełne wsparcie dla systemu 64-bit).

 

Prócz infekcji zasadniczej jest tu też i adware. Przechodząc do usuwania wszystkiego:

 

1. Przez Panel sterowania odinstaluj AVG Security Toolbar. W Google Chrome: w Rozszerzeniach odinstaluj Browese2ssaaviee, BrowSee2Save + w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń Conduit z listy.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKU\S-1-5-21-2568257617-2582006854-758019418-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
IE - HKU\S-1-5-21-2568257617-2582006854-758019418-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=113480&tt=120812_bandext_3212_8&babsrc=SP_ss&mntrId=203fcba3000000000000ac728961ac11
IE - HKU\S-1-5-21-2568257617-2582006854-758019418-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={BD4AC766-AE62-4F8A-ACDC-232252AD080C}&mid=e5a49a7b3d594e4fa9ab53bca76874f9-bf2b335bac1e0fa4556d40dd5ef085c54e60b9a2&lang=pl&ds=ik011&pr=&d=2012-09-23 15:25:08&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-2568257617-2582006854-758019418-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKU\S-1-5-21-2568257617-2582006854-758019418-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6R8R2agZuX&i=26
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension
O2 - BHO: (Browese2ssaaviee) - {00F3B3F9-7330-727D-36EC-5F70CC994B57} - C:\ProgramData\Browese2ssaaviee\513a1c02b2e11.dll ()
O2:64bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKU\S-1-5-21-2568257617-2582006854-758019418-1000\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O3 - HKU\S-1-5-21-2568257617-2582006854-758019418-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3 - HKU\S-1-5-21-2568257617-2582006854-758019418-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [sweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [sessionInit] C:\Users\Damian\init.exe File not found
O4 - HKU\S-1-5-21-2568257617-2582006854-758019418-1000..\Run: [MSConfig] C:\Users\Damian\dlnf.exe (TODO: )
O7 - HKU\S-1-5-21-2568257617-2582006854-758019418-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1
O20 - AppInit_DLLs: (c:\progra~3\browse~1\23787~1.43\{16cdf~1\browse~1.dll) - File not found
 
:Files
C:\Windows\SysWow64\48741.exe
C:\Windows\SysWow64\6875.exe
C:\Windows\SysWow64\308794.exe
C:\Windows\SysWow64\37804.exe
C:\Windows\SysWow64\86931.exe
C:\Windows\SysWow64\296911.exe
@C:\Windows\temp:temp
C:\Users\Damian\AppData\Roaming\java_u.jar
C:\Users\Damian\AppData\Roaming\Babylon
C:\Users\Damian\AppData\Roaming\dist1
C:\Users\Damian\AppData\Roaming\OpenCandy
C:\Users\Damian\Local Settings
C:\ProgramData\Browese2ssaaviee
C:\Program Files (x86)\SweetIM
C:\Program Files (x86)\Mozilla Firefox
C:\Users\Damian\AppData\Roaming\mozilla
sc config "PLAY ONLINE. RunOuc" start= demand /C
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"BrowserMngr Start Page"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
"BrowserMngrDefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 19 Maja 2013 przez picasso
19.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso