Wirus z facebooka - koobface

[emilka9229]

Niestety zablokowali mi konto na facebooku ze względu na bezpieczeństwo. Powodem był wirus koobface. Wykonałam pełne skanowanie wszystkich dysków programem Malwarebytes, ale nie wyszukało mi żadnych wirusów. Bardzo proszę o pomoc w jego usunięciu.
To moje logi:

OTL.Txt :

http://www.wklej.org/id/611852/

Extras.Txt :

http://www.wklej.org/id/611853/

Ponieważ mam Windowsa XP dodaje jeszcze jeden log tj. Gmer : http://www.wklej.org/id/611935/

[wojtas]

w dodaj usuń odinstaluj :


Wru! 1.1.3, BearShare,Foxit Toolbar, Betty's Beer Bar, My Global Search Bar, Przyspiesz Komputer, SpeedUp Toolbar, Winamp Toolbar

po tym:

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
PRC - [2011-10-21 15:49:56 | 000,166,400 | ---- | M] () -- C:\Documents and Settings\admin\Ustawienia lokalne\Temp\tmp61.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb&sysid=2
IE - HKU\S-1-5-21-1004336348-115176313-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://google.bearshare.com/pl
IE - HKU\S-1-5-21-1004336348-115176313-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb&sysid=2
IE - HKU\S-1-5-21-1004336348-115176313-839522115-1003\..\URLSearchHook: {0D52B2CA-C02E-4EC1-8E80-0A5CD2A640BD} - No CLSID value found
IE - HKU\S-1-5-21-1004336348-115176313-839522115-1003\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found
IE - HKU\S-1-5-21-1004336348-115176313-839522115-1003\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - D:\programy\AskSearch\bin\DefaultSearch.dll ()
FF - prefs.js..browser.search.defaultenginename: "SpeedUp Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
FF - prefs.js..extensions.enabledItems: radiobar@toolbar:1.0.0
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: D:programy\GamersFirst\LIVE!\nplivelauncher.dll File not found
[2010-09-10 17:47:43 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\5rg2hw5i.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2011-09-28 16:22:31 | 000,000,000 | ---D | M] (Free Lunch Design Community Toolbar) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\5rg2hw5i.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}
[2010-01-13 15:54:00 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\5rg2hw5i.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
[2010-03-03 19:14:03 | 000,000,000 | ---D | M] (RadioBar Toolbar) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\5rg2hw5i.default\extensions\radiobar@toolbar
[2010-03-01 19:20:13 | 000,001,747 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\5rg2hw5i.default\searchplugins\ask.uk.xml
[2008-12-29 01:53:24 | 000,001,633 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\5rg2hw5i.default\searchplugins\Ask.xml
[2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\5rg2hw5i.default\searchplugins\BearShareWebSearch.xml
[2011-03-21 17:12:00 | 000,000,937 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\5rg2hw5i.default\searchplugins\conduit.xml
O3 - HKLM\..\Toolbar: (SpeedUp Toolbar) - {005B8FC3-0F7E-45DD-8A2F-E352D67EDBFC} - D:\programy\SpeedUpToolbar\IEToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - D:\programy\AskBarDis\bar\bin\askBar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1004336348-115176313-839522115-1003\..\Toolbar\ShellBrowser: (Foxit Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - D:\programy\AskBarDis\bar\bin\askBar.dll File not found
O3 - HKU\S-1-5-21-1004336348-115176313-839522115-1003\..\Toolbar\WebBrowser: (Foxit Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - D:\programy\AskBarDis\bar\bin\askBar.dll File not found
O3 - HKU\S-1-5-21-1004336348-115176313-839522115-1003\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll File not found
O3 - HKU\S-1-5-21-1004336348-115176313-839522115-1003\..\Toolbar\WebBrowser: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll File not found
O4 - HKLM..\Run: [BearFlix] "D:\pulpit\bearflix.exe" /pause File not found
O4 - HKLM..\Run: [Windows Terminal Services] C:\WINDOWS\system32\wmpdtk32.exe ()
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [EA Core] "D:programy\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [Free Download Manager] "D:\programy\Free Download Manager\fdm.exe" -autorun File not found
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [fsm] File not found
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [GoD] "E:\GOD\GoD\GoD.exe" /tray File not found
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [MSConfig] C:\Documents and Settings\admin\dpf.exe ()
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [PowerBar] File not found
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [Software Informer] "D:programy\Software Informer\softinfo.exe" -autorun File not found
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [Skype] "C:\Documents and Settings\admin\Pulpit\Phone\Skype.exe" /nosplash /minimized File not found
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [Software Informer] "D:programy\Software Informer\softinfo.exe" -autorun File not found
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [uTorrent] "D:\programy\uTorrent\uTorrent.exe" File not found
O4 - HKU\S-1-5-21-1004336348-115176313-839522115-1003..\Run: [Wru] D:\programy\Wru\Wru.exe File not found
O8 - Extra context menu item: Pobierz plik wideo we Free Download Manager - file://D:\programy\Free Download Manager\dlfvideo.htm File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk = File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\GamersFirst LIVE!.lnk = File not found
O8 - Extra context menu item: Pobierz wszystkie pliki w Free Download Manager - file://D:\programy\Free Download Manager\dlall.htm File not found
O8 - Extra context menu item: Pobierz zaznaczone w Free Download Manager - file://D:\programy\Free Download Manager\dlselected.htm File not found
O18 - Protocol\Handler\speeduptoolbar {A59E71FA-63AB-4695-B7B0-7B97BAA3CF9E} - D:\programy\SpeedUpToolbar\IEToolbar.dll File not found
[2011-10-19 17:52:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\SpeedUp Toolbar
[2011-10-19 17:26:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\SpeedUpToolbar
[2011-10-19 17:26:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Przyspiesz Komputer
[2011-10-19 17:26:05 | 000,000,000 | ---D | C] -- D:programy\Przyspiesz Komputer
[2011-10-14 19:59:18 | 000,333,312 | ---- | C] (YourCompany) -- C:\Documents and Settings\admin\bm.exe
[2011-10-14 19:55:15 | 000,047,109 | -H-- | M] () -- C:\WINDOWS\System32\userdiff.sav
[2011-10-21 15:48:51 | 000,000,288 | ---- | M] () -- C:\WINDOWS\Tasks\iMeshNAG.job
[2011-10-14 19:55:15 | 000,047,109 | -H-- | M] () -- C:\Documents and Settings\admin\userdiff.sav
[2011-10-14 19:55:15 | 000,033,792 | -H-- | M] () -- C:\Documents and Settings\admin\dpf.exe
[2011-10-14 02:54:58 | 000,144,896 | -HS- | M] () -- C:\WINDOWS\System32\wmpdtk32.exe
[2010-03-01 19:20:21 | 000,085,070 | ---- | C] () -- D:programy\Search Toolbar
[2009-05-06 16:22:22 | 001,262,888 | ---- | C] () -- D:programy\Winamp Toolbar
@Alternate Data Stream - 916324 bytes -> C:\WINDOWS\Temp:temp
@Alternate Data Stream - 85 bytes -> C:\Documents and Settings\admin\Pulpit\c8ea9b8423.jpeg:VsoSummaryInformation

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + Nowy log z Gmera

daj też log z Ad Remover ( opcja Skan )

[emilka9229]

Logi:

OTL.Txt: http://www.wklej.org/id/612219/

Gmer: http://www.wklej.org/id/612262/

Ad Remover: http://www.wklej.org/id/612224/

Raport z czyszczenia: http://www.wklej.org/id/612220/

[wojtas]

uruchom Ad-remover z opcji Clean


Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:Files
D:\Mozilla Firefox\plugins\NPMyGlSh.dll

:Commands
[resethosts]
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu


Zaktualizuj zabezpieczenia:
>>> Internet Explorer 8
>>> Service Pack 3
>>> Java™ 6
>>> Adobe Flash Player


napisz jak sytuacja z komputerem

[emilka9229]

tutaj jest raport z czyszczenia, który mi się włączył w notatniku po restarcie komputera: http://www.wklej.org/id/613026/

mam pytanie co do tej aktualizacji zabezpieczeń, tzn. mam po prostu ściągnąć je z tych linków? Pytam, bo szczerze mówiąc wgl się w tym wszystkim nie orientuje aaa no i jak mam skasować ten stan przywracania systemu i kiedy to zrobić? xD kurcze, jak to mówią: 'kto pyta nie błądzi'

[wojtas]

masz ściągnąć i zainstalować

rób wszystko zgodnie z kolejnością podaną w gwiazdkach .. w linku masz opisane jak skasować stan dla Windowsa XP, na koniec zrób aktualizację

[emilka9229]

kurczę, no jakoś nie mogę zainstalować tych zabezpieczeń z linków, bo jakieś błędy mi wyskakują. Tak w ogóle to chciałam się dowiedzieć czy instalowanie tego jest konieczne, bo w przeciągu może tygodnia będę odinstalowywała system i instalowała Windowsa 7. Po prostu interesuje mnie usunięcie tego facebookowego wirusa i oczywiście odzyskanie konta na Facebooku do tego czasu, o ile to w ogóle możliwe

[wojtas]

najlepiej to zrobić ale jeśli nie możesz to ok...

jakiś problem jeszcze jest ? możesz opisać konkretnie wszystko ?
jak tak do daj nowe logi ? skan Malwarebytes coś znalazł?

[emilka9229]

Malwarebytes nic nie znalazł...

podaje nowe logi:
OTL.Txt: http://www.wklej.org/id/614071/
Extras.Txt: http://www.wklej.org/id/614072/
Gmer: http://www.wklej.org/id/614288/

Wirus został usunięty? jeśli tak to czemu nadal nie mogę wejść na facebooka?
teraz to już mi chodzi tylko o odblokowanie tego nieszczęsnego facebooka, bo innych problemów z kompem nie dostrzegam ;p komputer przestał się sam restartować... wszystko chodzi jak należy

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
CHR - plugin: My Global Search Plugin Stub (Enabled) = D:\Mozilla Firefox\plugins\NPMyGlSh.dll
O3 - HKLM\..\Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-
"C:\WINDOWS\system32\wmpdtk32.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\BearFlix\bearflix.exe"=-
''C:\pulpit\bearflix.exe"=-
"D:\pulpit\bearflix.exe"=-
"C:\Program Files\BearShare\BearShare.exe"=-
"C:\WINDOWS\system32\wmpdtk32.exe"=-

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .
odinstaluj Free_Lunch_Design Toolbar, SpeedUp Toolbar, Winamp Toolbar

napisz co konkretnie z Facebookiem się dzieję, sprawdzałaś na innej przeglądarce ?

[emilka9229]

raport z czyszczenia: http://www.wklej.org/id/614389/

gdy prubuję się zalogować na facebooku pokazuje się komunikat mówiący:

"Ze względów bezpieczeństwa twoje konto jest tymczasowo niedostępne. Niestety wydaje się, że Twój komputer jest zainfekowany przez wirusa. Nie martw się. Pomożemy Ci znaleźć i usunąć zainfekowane pliki."

Próbując logować się w innych przeglądarkach jest to samo próbowałam też zalogować się na innym komputerze, ale to też nic nie dało

[wojtas]

Próbując logować się w innych przeglądarkach jest to samo próbowałam też zalogować się na innym komputerze, ale to też nic nie dało

czyli wychodzi na to że nie jest to wina komputera , napisz do nich meila...

[emilka9229]

No i chyba innego wyjścia nie znajdę. Napiszę do nich... a Tobie dziękuję za pomoc Pozdrawiam!