Wirus atakuje konto FB i firefoxa

[lordmtk]

Witam, na FB wkradł sie wirus podajacy sie za wtyczke adobe do youtube. Efektem tego jest to ze mam cały czas jakas reklame w oknie firefoxa dodam ze w google chrome nie ma tej reklamy. Wirus atakuje moje konto FB i rozsyła sie dalej jako moje wpisy. Wiekszych problemów w pracy systemu nie zaobserwowałem a jako laik nie bardzo wiem co moze sie dziac czego nie widze. Niestety użyłem Combofixa a raportu nie mam i nie wiem czy uzywac go ponownie by go dostarczyć? dostarczam logi OTL i Extras. Prosze o pomoc, ewentualne instrukcje... z góry dziękuje za pomoc.

 

http://wklej.to/Qdd02

 

http://wklej.to/MeXCn

 

raport uzupełniajacy :

 

Results of screen317's Security Check version 0.99.31

Windows 7 x64 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

Windows Firewall Enabled!

Avira Free Antivirus

McAfee Security Scan Plus

WMI entry may not exist for antivirus; attempting automatic update.

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Secunia PSI (2.0.0.4003)

Java™ 6 Update 31

Adobe Flash Player 11.1.102.55

Adobe Reader X (10.1.2)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

``````````End of Log````````````

[Landuss]

To już chyba trzeci temat na forum z dzisiaj z podobnym problemem. Na razie nie wiadomo dokładnie o co tutaj chodzi bo logi są czyste w każdym z przypadków. U ciebie jest podobnie, tylko drobne odpadki sponsoringowe.

 

1. Odinstaluj pasek sponsoringowy uTorrentBar Toolbar

 

2. Otwórz opcje w Google Chrome i ustaw jako domyślna przeglądarkę Google.

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-1976457439-2809240323-2117537754-1001\..\URLSearchHook: {8c5878d0-6106-423b-aaa8-144c143dbf44} - No CLSID value found
FF - prefs.js..browser.search.defaultthis.engineName: "Bitlord 1.2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2830765&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/406"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=179&systemid=406&sr=0&q="
[2012/01/20 10:22:09 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2012/01/01 16:30:12 | 000,000,925 | ---- | M] () -- C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\searchplugins\conduit.xml
O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found.
O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo Layers Runtime\YontooIEClient.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - !{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1976457439-2809240323-2117537754-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found
O4 - HKU\S-1-5-21-1976457439-2809240323-2117537754-1001..\Run: [AdobeBridge]  File not found
[2011/12/06 11:53:28 | 000,000,000 | ---D | M] -- C:\Users\Stasiek\AppData\Roaming\Babylon
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

[Grisza]

Pozwolę się wtrącić. Być może jakaś pseudoaplikacja facebookowa powoduje rozsyłanie spamu. Najlepiej sprawdzić to tak: w prawym górnym rogu ekranu, obok przycisku Strona główna, jest strzałeczka, klikasz, następnie Ustawienia konta --> Aplikacje i wywalasz wszystkie, które nie są ci znane a zwłaszcza te dołączone niedawno.

[lordmtk]

OTL

 

http://wklej.to/xGpkV

 

http://wklej.to/61BEs

 

AdwCleaner

 

http://wklej.to/nXkgX

 

 

po wykonaniu skryptu i restarcie taki efekt:

 

All processes killed

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-1976457439-2809240323-2117537754-1001\Software\Microsoft\Internet Explorer\URLSearchHooks\\{8c5878d0-6106-423b-aaa8-144c143dbf44} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c5878d0-6106-423b-aaa8-144c143dbf44}\ not found.

Prefs.js: "Bitlord 1.2 Customized Web Search" removed from browser.search.defaultthis.engineName

Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2830765&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl

Prefs.js: "http://www.searchqu.com/406" removed from browser.startup.homepage

Prefs.js: "http://dts.search-results.com/sr?src=ffb&appid=179&systemid=406&sr=0&q=" removed from keyword.URL

C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\searchplugin folder moved successfully.

C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\modules folder moved successfully.

C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\META-INF folder moved successfully.

C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\defaults folder moved successfully.

C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\components folder moved successfully.

C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\chrome folder moved successfully.

C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} folder moved successfully.

C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\searchplugins\conduit.xml moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6C680BAE-655C-4E3D-8FC4-E6A520C3D928}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6C680BAE-655C-4E3D-8FC4-E6A520C3D928}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\!{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\!{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1976457439-2809240323-2117537754-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Easybits Recovery not found.

Registry value HKEY_USERS\S-1-5-21-1976457439-2809240323-2117537754-1001\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge not found.

C:\Users\Stasiek\AppData\Roaming\Babylon folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56475 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Guest

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 804 bytes

->Flash cache emptied: 56475 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

User: Stasiek

->Temp folder emptied: 5861928 bytes

->Temporary Internet Files folder emptied: 194629 bytes

->Java cache emptied: 311180 bytes

->FireFox cache emptied: 80346391 bytes

->Google Chrome cache emptied: 357375667 bytes

->Flash cache emptied: 8177651 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 608 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50333 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 431.00 mb

 

 

OTL by OldTimer - Version 3.2.33.2 log created on 02282012_204249

 

Files\Folders moved on Reboot...

C:\Users\Stasiek\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 

Registry entries deleted on Reboot...

 

Pozwolę się wtrącić. Być może jakaś pseudoaplikacja facebookowa powoduje rozsyłanie spamu. Najlepiej sprawdzić to tak: w prawym górnym rogu ekranu, obok przycisku Strona główna, jest strzałeczka, klikasz, następnie Ustawienia konta --> Aplikacje i wywalasz wszystkie, które nie są ci znane a zwłaszcza te dołączone niedawno.

 

Założylem nowe konto, czyściutkie, zero aplikacji... atakuje spamem dalej chociaz powiem że dzis nie zanotowałem... Znajomy wszedł na swoje konto i bez kontaktu z linkiem zostało zainfekowane od strony komputera.

[picasso]

Efektem tego jest to ze mam cały czas jakas reklame w oknie firefoxa dodam ze w google chrome nie ma tej reklamy.

 

Tu jednak raczej jest coś w preferencjach Firefox, a OTL jest niedostatecznym raportem (weryfikuje tylko podstawowe miejsca). Podobny przypadek i pomógł reset przeglądarki, mimo że w logu brak oznak naruszeń: KLIK. Czyli coś było w ustawieniach Firefox. Przekopiuj na Pulpit plik:

 

C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\prefs.js

 

Zapakuj do ZIP i dostarcz tu link.

 

 

.

[lordmtk]

http://www.sendspace...bb1756ee62ac159 mam nadzieje ze o to chodziło, moja niewiedza zaskakuje również mnie:)

 

FB póki co nie daje oznak, reklama i owszem.

[picasso]

W pliku prefs.js owszem widzę śmietnik, ale to już pokazuje AdwCleaner. Śmietnik zrobił pasek narzędziowy Conduit. Upewnij się, że Firefox jest zamknięty. Uruchom AdwCleaner z opcji Delete. Sprawdź czy reklamy nadal się pokazują w Firefox. Wygeneruj nowy log z AdwCleaner z opcji Search.

 

 

 

.

[lordmtk]

Log Opcja SEARCH

 

# AdwCleaner v1.500 - Logfile created 03/01/2012 at 18:06:33

# Updated 23/02/2012 by Xplode

# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)

# User : Stasiek - STASIEK-HP

# Running from : C:\Users\Stasiek\Downloads\adwcleaner.exe

# Option [search]

 

 

***** [services] *****

 

 

***** [Files / Folders] *****

 

 

***** [H. Navipromo] *****

 

 

***** [Registry] *****

 

 

***** [Registry (x64)] *****

 

 

***** [internet Browsers] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Registry is clean.

 

-\\ Mozilla Firefox v10.0.2 (pl)

 

Profile : nwf14k2e.default

File : C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\prefs.js

 

[OK] File is clean.

 

-\\ Google Chrome v17.0.963.56

 

File : C:\Users\Stasiek\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] File is clean.

 

*************************

 

AdwCleaner[R1].txt - [26140 octets] - [28/02/2012 21:15:00]

AdwCleaner[s1].txt - [26060 octets] - [01/03/2012 17:55:33]

AdwCleaner[R2].txt - [1012 octets] - [01/03/2012 18:06:33]

 

 

########## EOF - C:\AdwCleaner[R2].txt - [1140 octets] ##########

 

 

 

 

Opcja Delete pokazała taki raport :

 

http://wklej.to/gLvtj

 

 

Reklama nadal jest aktywna w Firefox. FB ciocho, nic nie rozsyła.

[picasso]

Reklama nadal jest aktywna w Firefox. FB ciocho, nic nie rozsyła.

 

Pokaż na obrazku jak ona wygląda.

[lordmtk]

http://www.sendspace.pl/file/f57bcdaddca99ad9baf42b6

[picasso]

Uruchom Firefox w trybie bezpiecznym i sprawdź czy reklama nadal występuje. Klawisz z flagą Windows + R i w Uruchom wklej polecenie:

 

"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode

[lordmtk]

Potwierdzam brak reklamy w trybie bezpiecznym.

[picasso]

To teraz do wyboru:

- albo wykonujesz diagnostykę stopniowo włączając zdeaktywowane w trybie bezpiecznym elementy, aż wychwycisz który tworzy problem

- albo resetujesz Firefox w trybie bezpiecznym na stałe

 

 

 

 

[lordmtk]

No to restart na stałe. Niestety tutaj tez będę potrzebował pomocy...

[picasso]

W jakim sensie "potrzebna pomoc"? Po prostu uruchamiasz tryb bezpieczny przez komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode , Firefox wtedy zadaje pytanie czy zmiany wprowadzić na stałe czy tymczasowo, wybierasz opcję stałego resetu.

[lordmtk]

Zrobione. Reklamy brak. Spamu na FB brak. Jeśli to wszystko to chciałbym serdecznie podziękować za pomoc, nigdy bym tego sam nie ogarnął. DZIĘKI WIELKIE! Świetny, profesjonalny portal.

[picasso]

Wykonaj czynności końcowe:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie (skasuje z dysku OTL i jego kwarantannę) + w AdwCleaner uruchom Uninstall (skasuje z dysku narzędzie i jego raporty).

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.