Facebook - Your Computer Needs to Be Cleaned

[kulturap]

Witam, mam tę samą sytuację z facebookiem.

 

Prosiłbym o pomoc i z góry dziękuję za zainteresowanie tematem.

 

Dzięki za ogarnięcie, oto oryginały.

 

Oto logi z FRST:

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Na przyszłość konfiguracja FRST obowiązująca tu na forum: KLIK. Opcje Lista BCD, MD5 sterowników i Pliki z 90-dni nie miały być zaznaczone. To funkcje pod szczególne infekcje, rzadko tu spotykane (niektóre stare i nie widziane od dawna). O zaznaczenie którejś z tych opcji prosi w określonych warunkach pomagający, gdy widzi podstawy do takiego kroku.

 

 

W podanych tu raportach nie ma żadnych oznak infekcji powiązanej ze zgłoszeniami Facebooka, tylko mikro odpadki starych adware (nie mające związku). Działania do wykonania:

 

1. W kwestii Facebooka:

- Do wglądu ten artykuł: KLIK. Czy uruchomiłeś skan F-Secure, który ma odblokować dostęp?

- Na Facebooku sprawdź sekcję autoryzowanych aplikacji. Usuń stamtąd wszystkie nierozpoznane, nieużywane aplikacje.

 

2. Deinstalacje:

- Przesadziłeś z oprogramowaniem zabezpieczającym, albo odinstaluj wszystko od AVG, albo Norton Internet Security.

- Odinstaluj również Adobe Flash Player 21 NPAPI, Adobe Reader X (10.1.3) MUI, Java 7 Update 65. Pierwszy to wersja dla nieistniejącego tu Firefoxa, pozostałe to stare niebezpieczne wersje. Później zainstalujesz najnowsze z tego topiku: KLIK.

 

3. Usunięcie szczątków adware i pustych wpisów wtyczek z Google Chrome:

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres searchgol.com, przestaw na "Otwórz stronę nowej karty".
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres searchgol.com.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Pozostała kosmetyka (puste wpisy, czyszczenie Temp). Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-4228095435-3539589198-294085663-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=9AB61A67B090FA81&affID=119357&tt=240913_238&tsp=5016
SearchScopes: HKU\S-1-5-21-4228095435-3539589198-294085663-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9AB61A67B090FA81&affID=119357&tt=240913_238&tsp=5016
SearchScopes: HKU\S-1-5-21-4228095435-3539589198-294085663-1002 -> {60590C88-1622-486E-B747-262962D8010E} URL =
BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> Brak pliku
HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe"
HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe"
HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
Task: {0173BA3A-62CA-4CE4-8B68-FA41A70D014C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {022446F3-F44D-49B6-B64E-2930990CDD3D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {099DC917-FCFF-4010-9149-3AE2D2A1F2CC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {0F8BF956-42B3-434A-920D-C4005B8A0E70} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {2E0EEE15-74FA-49C2-936F-8846C8DDB0B5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {313CC494-4308-4EAE-A7C7-0A82FB7A6F26} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
Task: {3238624B-FF69-47B2-AD6C-2ED6B15331FD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {3514D013-2EE0-449D-9D13-D3EA3B1E096F} - System32\Tasks\{77E25B86-A7DB-4F2B-AEE9-B7DFD207E190} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.102&LastError=12007
Task: {41D9D908-59C9-4DBE-A804-C40FC9168477} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {49EB086F-D186-4DE0-9E25-636C892335DB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {5CF4E911-9E21-4B33-8ADF-D298121AAC2C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {758FA601-1399-4AD2-B5E6-B2FBD949DB5C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {7FBBAD64-06D1-444B-ADB1-D5018F7CB5D9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {868F374A-109D-4319-AA2D-04ED6F636B2A} - System32\Tasks\AVG_SYS_TASK_0216piz_DELETE => C:\ProgramData\Avg_Update_0216piz\AVG-Secure-Search-Update_0216piz.exe [2016-02-16] ()
Task: {8F584FFE-D25B-47D8-84AE-3E5D39BCF09B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {A47527C4-AA50-4E5A-95CA-942F810215C8} - \Program aktualizacji online firmy Adobe. -> Brak pliku 
Task: {A97D287B-7F35-4286-B695-9480E901C595} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku 
Task: {AD9F89CA-388B-4640-AA02-10A08993C9E7} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {B3094D41-2DC4-4FD0-9339-59B0292A3282} - System32\Tasks\SAgent => C:\Program Files\Samsung\S Agent\CommonAgent.exe
Task: {BA50F2BB-DB69-4C51-8A8B-C44E001976D5} - System32\Tasks\{E64E5FCE-FD12-4B20-B0ED-CC381AB52BBE} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.1.0.105&LastError=404
RemoveDirectory: C:\ProgramData\DSearchLink
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak wygląda sytuacja po przeprowadzeniu kroków z punktu 1.

[kulturap]

A więc tak, jeśli o punkt 1, u mnie chciał ściągnąć eset'a, jednak ja nie podejmowałem żadnych kroków z tym związanych.

Nie miałem żadnej niepokojącej aplikacji, ale i tak wyłączyłem wszystkie, które były, nie rozwiązało to problemu.
I u mnie nie było wylogowania, po prostu chciałem się zalogować i nagle już nie mogłem. 

Wykonałem resztę kroków, z facebookiem bez zmian.


Edit:
Zalogowałem się poprzez opcję karty incognito, zdziwieniu memu nie ma końca w tym momencie.

FRST.txt

Fixlog.txt

[picasso]

Zalogowałem się poprzez opcję karty incognito, zdziwieniu memu nie ma końca w tym momencie.

Czy obecnie normalne logowanie bez trybu incognito nadal zwraca ten komunikat?

 

 

Fix FRST uruchomiłeś aż trzy razy, co było bez sensu. Fix jest jednorazowego użytku i nie przetworzy ponownie tego samego. I drobne poprawki na szczątki po deinstalacjach. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox
RemoveDirectory: C:\Program Files (x86)\Norton Internet Security
RemoveDirectory: C:\Program Files (x86)\NortonInstaller
RemoveDirectory: C:\ProgramData\F-Secure
RemoveDirectory: C:\Users\M\AppData\Local\F-Secure
RemoveDirectory: C:\Users\M\AppData\Local\FSDART

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[kulturap]

Problem z logowaniem już nie występuje w ogóle.
Tak zrobiłem go 3 razy, gdyż AVG podczas naprawy wykrywał FRST jako zagrożenie i go usuwał, wyłączyłem AVG i dałem FRST przeprowadzić proces do końca.
Wraz z pojawieniem się problemu z logowaniem, gdy chciałem wejść na jakąkolwiek stronę na fb niezalogowanym, pojawiał się mechanizm bezpieczeństwa (jpg w załączniku).
Mimo pozbycia się problemu, mechanizm bezpieczeństwa nadal występuje, nie wiem, czy to rzeczywiście narzędzie facebooka, czy nie.

W każdym bądź razie pozbyłem się uciążliwego problemu, gdyż udostępniałem treści na moim funpage'u, a one nagle zniknęły wraz z pojawieniem się problemu z logowaniem, aktualnie wróciło wszystko do stanu pierwotnego, więc bardzo dziękuję za pomoc!
 

Fixlog.txt

[picasso]

Mechanizm captcha jest generowany przez Facebooka: KLIK. Podczas jakich akcji on się pojawia, tzn. czy wysyłasz jakąś konkretną treść z linkiem URL?

 

Ostatni Fix FRST pomyślnie wykonany. Na koniec poczęstuj się DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[kulturap]

Tak wysyłam konkretną treść z linkiem URL, ale jakikolwiek link by to nie był odnoszący się do facebookowej strony pojawia się ten mechanizm.
Częstuję się i czyszczę.
Ponownie dzięki bardzo!

[picasso]

Skoro wysyłasz link, to jest odpowiedź dlaczego pojawia się ten komunikat. Wg opisu ten mechanizm może generować też fałszywe alarmy i pojawiać się dla bezpiecznych URL.