Facebook wysyła wiadomości

[Myszor]

Witam. Na komputerze brata przez nierozwagę jego dziewczyna pobrała i włączyła jakieś dziadostwo, co nagle wysłało wiadomości z linkiem do tego dziadostwa do wszystkich dostępnych na portalu. właściwości tego pliku są w fotce pod spodem. Logi z OTL i FRST w załączniku, jeżeli potrzeba GMER'a to wykonam. Mam nadzieję, że nic się nie stanie z kontem PKO, bo brat płaci przez internet. Z tego co widzę co się dzieję na forum to nie tylko im to się trafiło, wręcz widzę, że to jakaś fala. Komputer ma 32 bitowy system Windows 7 Home Premium. 

Edit : 

Dzisiaj jak brat włączał laptopa Avast wykrył jakieś zagrożenie, nie wiem dokładnie jakie bo brat nie był w stanie tego dokładnie określić, i nie wiem czy go usunął, zaglądam do kwarantanny a tam widzę jest parę plików

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

Edytowane 26 Stycznia 2014 przez Myszor

[picasso]

W wynikach Avast widnieje usunięty delikwent uruchamiany z folderu Startup, co odpowiada temu obiektowi z opisem "Jetico" w innym temacie: KLIK. Wnioskuję, że raporty zostały wytworzone już post factum, gdyż w podanych logach nie widać oznak czynnej infekcji. Do wykonania będą czynności dodatkowe związane z usuwaniem plików źródłowych infekcji Facebook oraz szczątków adware:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\Paweł\AppData\Roaming\Babylon
C:\Users\Paweł\AppData\Roaming\DSite
C:\Users\Paweł\AppData\Roaming\Systweak
C:\Users\Paweł\Downloads\Photo-023.JPEG-FACEBOOK.COM (2).exe
C:\Users\Paweł\Downloads\Photo-023.JPEG-FACEBOOK.COM.exe
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss&mntrId=2A934C0F6E66EE05
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. W Google Chrome:

• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.babylon.com
• Ustawienia > karta Rozszerzenia > odinstaluj InfoBird Pro, jeśli nie wiesz co to jest
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[Myszor]

Wszystko wykonałem, TFC wyczyścił ponad 2GB Logi w załączniku.

FRST.txt

Fixlog_29-01-2014_10-44-56.txt

AdwCleanerS0.txt

[picasso]

2GB Temp to nie aż tak dużo, tu były sytuacje z czyszczeniem 20GB Tempów! I kończymy:

 

1. Poprawki. Otwórz Notatnik i wklej w nim:

 

C:\Users\Paweł\AppData\Roaming\{cfa6d4ba-66f7-abb1-460e-8940cfa6d4ba}
C:\Users\Paweł\AppData\Local\InfoBirdPro.crx
CHR HKLM\...\Chrome\Extension: [icanoneicgaahjbilcgdmnhoocddknbl] - C:\Users\PAWE~1\AppData\Local\InfoBirdPro.crx [2013-08-06]
CHR HKCU\...\Chrome\Extension: [icanoneicgaahjbilcgdmnhoocddknbl] - C:\Users\PAWE~1\AppData\Local\InfoBirdPro.crx [2013-08-06]
SearchScopes: HKLM - DefaultScope value is missing.
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wyniki fixlog.txt. A po tym już:

 

2. Przez SHIFT+DEL skasuj FRST i foldery:

 

C:\FRST

C:\Users\Paweł\Downloads\FRST-OlderVersion

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do aktualizacji poniższe pozycje: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (Version: 11.9.900.117 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Reader 9.1 - Polish (Version: 9.1.0 - Adobe Systems Incorporated)

Java 7 Update 25 (Version: 7.0.250 - Oracle)

Mozilla Firefox 25.0.1 (x86 pl) (Version: 25.0.1 - Mozilla)

 

 

.

[Myszor]

Operację w FRST wykonałem, log w załączniku.

Fixlog_30-01-2014_12-00-00.txt

[picasso]

Podpięcie innego użytkownika pod temat usunęłam. Skrypt wykonany, toteż możesz już przejść do ostatecznych zadań.

[Myszor]

Witam, wszystkie aktualizacje jakie się dało wykonałem Windows Update nie wykrywa nic nowego. Ale napotkałem się na pewien problem, w trakcie usuwanie niepotrzebnych programów wykryło mi jakiegoś Malware.