Wirus facebook & flash player

[gugu]

Witam,

 

dopadł mnie wirus, z którym nie mogę sobie poradzić.

Na facebooku pojawił mi się film, do którego trzeba było zainstalować flash playera, który okazał się wirusem.

Po zainstalowaniu tego "flash playera" zablokowało się moje konto na facebooku i z mojego konta porozsyłało wiadomości do innych, konto po tym odzyskałem, ale teraz co chwile samo konto lajkuje za mnie różne tureckie strony, lub użytkowników i mimo ich usuwania się to powtarza. Potem zaczęła wariować przeglądarka, między innymi przełączając mi zwykłe google.pl, na adres tr-google.com (używam Google Chrome). W menedżerze plików przeglądarki włączone jest rozszerzenie o nazwie flash player i razem z nim włącza się wtyczka shockwave flash, kiedy je wyłączę to chwilowo Chrome działa ok, obie wyglądają na fałszywe, więc pewnie odpowiadają za to.

Próbowałem usunięcia Chrome'a i wszystkich jego danych i ponownej reinstalacji i za każdym razem włącza się ponownie ten fałszywy flash player i uruchamiają się jakieś dziwne reklamy i strony (nie wiem jak to możliwe, skoro instaluje czystą wersję, bez ustawień?).

 

Załączam logi i proszę o pomoc!

 

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Uruchamiałeś jakiś skrypt do OTL = co to było, jaką miał zawartość? Pokaż, bo to ważne. A w systemie nie widzę żadnego oczywistego trojana, ale adware owszem jest (MyWebSearch i SweetIM).

 

W menedżerze plików przeglądarki włączone jest rozszerzenie o nazwie flash player i razem z nim włącza się wtyczka shockwave flash, kiedy je wyłączę to chwilowo Chrome działa ok, obie wyglądają na fałszywe, więc pewnie odpowiadają za to.

Próbowałem usunięcia Chrome'a i wszystkich jego danych i ponownej reinstalacji i za każdym razem włącza się ponownie ten fałszywy flash player i uruchamiają się jakieś dziwne reklamy i strony (nie wiem jak to możliwe, skoro instaluje czystą wersję, bez ustawień?).

 

Prezentujesz log po usunięciu Google Chrome (OTL nie wykrywa jego konfiguracji), więc nic nie można powiedzieć czy wtyczki rzeczywiście są fałszywe. Co do nawrotu problemu reklam po reinstalacji, są następujące możliwości:
- Google Chrome odinstalowane niepełnie. Np. widzę tu w logu conajmniej katalog C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.
- Google Chrome ma włączoną synchronizację z serwerem i po instalacji ustawienia są ładowane z serwera. W takiej sytuacji nic nie da czyszczenie lokalnego Google Chrome, należy wyłączyć synchronizację i poczekać, aż z serwera zostaną usunięte dane.
- Wpływ wymienionego wyżej adware.

Na razie czyszę oczywiste wejścia adware. Akcja:

1. Przez Panel sterowania odinstaluj adware SweetIM Toolbar for Internet Explorer 4.2, SweetIM for Messenger 3.6.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
SRV - [2012-01-22 16:37:45 | 000,034,320 | ---- | M] (MyWebSearch.com) [Auto | Running] -- C:\PROGRA~2\MYWEBS~1\bar\1.bin\mwssvc.exe -- (MyWebSearchService)
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKU\S-1-5-21-904257741-2250506218-2533763600-1000\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - No CLSID value found
IE - HKU\S-1-5-21-904257741-2250506218-2533763600-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=ec3b7323000000000000b4749f7193d4
IE - HKU\S-1-5-21-904257741-2250506218-2533763600-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O3 - HKU\S-1-5-21-904257741-2250506218-2533763600-1000\..\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.
O3 - HKU\S-1-5-21-904257741-2250506218-2533763600-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~2\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w /h File not found
O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\PROGRA~2\MYWEBS~1\bar\1.bin\mwsoemon.exe (MyWebSearch.com)
O4 - HKU\S-1-5-21-904257741-2250506218-2533763600-1000..\Run: [MyWebSearch Email Plugin] C:\PROGRA~2\MYWEBS~1\bar\1.bin\mwsoemon.exe (MyWebSearch.com)
O4 - HKU\S-1-5-21-904257741-2250506218-2533763600-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O4 - HKU\S-1-5-21-904257741-2250506218-2533763600-1000..\Run: [Twoje TVN24] File not found
O4 - Startup: C:\Users\szczuro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SAM.lnk = File not found
O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html ()
O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html ()

:Files
C:\PROGRA~2\MYWEBS~1
C:\Program Files (x86)\Mozilla Firefox
C:\Windows\SysWow64\searchplugins
C:\Windows\SysWow64\Extensions
C:\Windows\tasks\DSite.job
C:\Users\szczuro\AppData\Roaming\Babylon
C:\Users\szczuro\AppData\Roaming\DSite
C:\Users\szczuro\AppData\Roaming\OpenCandy
C:\Users\szczuro\AppData\Roaming\Systweak

:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner.



.

[gugu]

Próbując samemu poradzić sobie z problemem uruchamiałem wcześniej skrypt o następującej treści:
 

:files
%windir%\rpcminer
%windir%\phoenix
%windir%\ufa
%windir%\av_ico
%windir%\update.*
%windir%\System32\drivers\etc\hîsts
%windir%\phoenix.rar
%windir%\rpcminer.rar
%windir%\ufa.rar
%windir%\l1rezerv.exe
%windir%\geoiplist
%windir%\geoiplist.rar
%windir%\info1
%windir%\RECYCLER
%windir%\sysdriver32_.exe
%windir%\sysdriver32.exe
%windir%\unrar.exe
%windir%\loader2.exe_ok
%windir%\systemup.exe

:Services
ddservice
wxpdrivers
srvbtcclient
srviecheck
srvsysdriver32

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"w_distrib.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico8"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico1"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico2"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico3"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico4"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico5"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico6"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico7"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"71244908-loader2.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"l1rezerv.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32_.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"systemup"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wxpdrv"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srvbtc1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\sysdriver32.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\systeminfog]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SERVICES32.EXE]

:Commands
[emptyflash]
[emptytemp]
[resethosts]

 

 

Adware, o którym wspomniałeś, nie znalazłem w Panelu Sterowania, być może jakoś stamtąd zostały usunięte podczas skanowań, które wykonywałem. Znalazłem natomiast folder w Program Files o nazwie SweetIM i go usunąłem.
 

Przy okazji zainstalowałem Chrome'a, żeby był widoczny. Co ciekawe, tym razem wygląda na to, że nie uruchomiły się te rozszerzenia o których wspominałem i przeglądarka chyba? działa ok.

Zrobiłem te kroki, które napisałeś i załączam logi.

AdwCleanerS1.txt

06032013_003643.txt

OTL.Txt

[picasso]

Próbując samemu poradzić sobie z problemem uruchamiałem wcześniej skrypt o następującej treści:

 

Ten skrypt do OTL, który uruchamiałeś, z pewnością nie zrobił nic. To skrypt pisany dla starej infekcji (sprzed kilku lat) na 32-bitowym systemie. Takich infekcji z Facebooka jest mnóstwo, od tamtego czasu powstało multum wersji wydarzeń. Na przyszłość: nie bierz skryptów z innych tematów, każdy skrypt jest robiony dla konkretnego systemu i tego co w nim widać.

 

 

Adware, o którym wspomniałeś, nie znalazłem w Panelu Sterowania, być może jakoś stamtąd zostały usunięte podczas skanowań, które wykonywałem. Znalazłem natomiast folder w Program Files o nazwie SweetIM i go usunąłem.

 

Ad "wspomniałeś" = jestem kobietą. Adware SweetIM był na liście zainstalowanych (widocznie wpisy ukryte) i usuwał je AdwCleaner. W logu OTL było:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}" = SweetIM Toolbar for Internet Explorer 4.2

"{A81A974F-8A22-43E6-9243-5198FF758DA1}" = SweetIM for Messenger 3.6

 

AdwCleaner ciął te klucze (i wiele innych wpisów relatywnych do SweetIM):

 

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A81A974F-8A22-43E6-9243-5198FF758DA1}

 

 

Przy okazji zainstalowałem Chrome'a, żeby był widoczny. Co ciekawe, tym razem wygląda na to, że nie uruchomiły się te rozszerzenia o których wspominałem i przeglądarka chyba? działa ok.

 

W takim układzie problem stanowiło adware MyWebSearch, które usuwałam. Ja wątpię, że problemem były wtyczki Adobe Flash, ich wyłączenie mogło mieć tylko taki związek, że po prostu reklamy adware zrobione w technice Flash nie mogły być wyświetlane. W obecnym Google Chrome wtyczka Flash ma status włączony:

 

========== Chrome ==========
 

CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\27.0.1453.94\PepperFlash\pepflashplayer.dll

 

 

Co do akcji, to wykonane, zostały poprawki:

 

1. W konfiguracji Google Chrome nadal widać wtyczkę adware MyWebSearch (teraz już nieaktywna, bo mój skrypt OTL + AdwCleaner na spółkę załatwiły komponenty):

 

========== Chrome ==========
 

CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files (x86)\MyWebSearch\bar\1.bin\NPMyWebS.dll

 

Usunięcie tego wymaga już bezpośredniej edycji pliku Preferences. Skopiuj na Pulpit ten plik:

 

C:\Users\szczuro\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj tu link. Plik zedytuję i podeślę do podmiany.

 

2. Korekta domyślnych wyszukiwarek IE nadpisanych przez AdwCleaner i usunięcie ostatniego z kluczy Firefox. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

 

 

.

Edytowane 2 Lipca 2013 przez picasso
2.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso