Wirus, który rozsyła linki na portalu Facebook

[bugis666]

Witam. Jak w temacie, mam problem z wirusem, który rozsyła linki przez czat na portalu facebook. Proszę o pomoc w rozwiązaniu problemu. W załącznikach logi.

 

Pozdrawiam!!!

FRST.txt

Addition.txt

Shortcut.txt

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

O ile problem nadal aktualny:

 

Nie widzę tej infekcji w starcie, ona czasem się ukrywa, ale log z GMER nie pokazuje takiego pliku. Czy przypadkiem to ESET już czegoś nie usunął? Jest za to na dysku powiązany folder infekcji {8f413187-885b-8157-7fc6-10658f413187} w Roaming, dodatkowo też szczątki adware (głównie w Google Chrome). Do wdrożenia:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {3CFD207E-8C9C-44C4-90FC-C774A18F44AC} - \FoxTab No Task File
HKU\S-1-5-21-2285667046-1895705801-4136989982-1000\...\Policies\Explorer: []
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
Filter-x32: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
Filter-x32: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
Filter-x32: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
CHR HKLM\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\Bugis\AppData\Local\foxtab_speeddial.crx [2013-11-03]
CHR HKCU\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\Bugis\AppData\Local\foxtab_speeddial.crx [2013-11-03]
CHR HKLM-x32\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\Bugis\AppData\Local\foxtab_speeddial.crx [2013-11-03]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
S3 MSICDSetup; \??\F:\CDriver64.sys [X]
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\GreatSoft
C:\ProgramData\InstallMate
C:\Users\Bugis\AppData\Roaming\{8f413187-885b-8157-7fc6-10658f413187}
C:\Users\Bugis\AppData\Roaming\AVG
C:\Users\Bugis\AppData\Roaming\Mozilla
File: C:\Windows\system32\winhttp.dll
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins\@pandonetworks.com/PandoWebPlugin /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj adware Foxtab Speed Dial, ShopDrop
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.