Wirus z facebooka

[meg28]

Mój system to vista 32 bit. Na FB otrzymałam wiadomość od znajomego o ciekawym filmie z moim udziałem, otrzymałam link, który otworzyłam. Otworzona strona podobna do strony youtube za wyjątkiem adresu poprosiła mnie o instalację dodatku Adobe Flash Player, który nie pochodził ze strony producenta a po ściągnięciu anti-virus avg wykrył konia trojańskiego, którego przeniósł do przechowalni. Bardzo proszę o sprawdzenie logów.
GMER
http://wklej.org/id/579735/

OTL
http://wklej.org/id/579745/

EXTRAS
http://wklej.org/id/579748/

ANTI-MALWARE
http://wklej.org/id/579754/

[kominekl]

Odinstaluj -> pdfforge Toolbar, MarketResearch, Search Settings, Ask Toolbar, 50 FREE MP3s +1 Free Audiobook!,. Ogólnie to masz szczęście. Antywirus zablokował drogę wirusowi , dostał się tylko jeden plik. . Możesz opróżnić kwarantannę antywirusa i Malwarabytes (jednak jeszcze go nie usuwaj).

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- -- (NIHardwareService)
IE - HKU\S-1-5-21-2044775212-447502082-407128720-1000\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.5\pdfforgeToolbarIE.dll (Spigot, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: File not found
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-2044775212-447502082-407128720-1000..\Run: [TOSCDSPD] File not found
[2011-08-20 12:35:00 | 000,001,036 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011-08-20 12:05:00 | 000,001,058 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2044775212-447502082-407128720-1000UA.job
[2011-08-20 11:45:13 | 000,001,032 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011-08-19 23:37:25 | 000,000,432 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{2CEE0712-9E32-47EF-A2A7-30CF7F427623}.job
[2011-08-19 23:05:00 | 000,001,006 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2044775212-447502082-407128720-1000Core.job
@Alternate Data Stream - 152 bytes -> C:\ProgramData\TEMP:0B4227B4

:Files
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
C:\Windows\lsb_un20.exe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"00TCrdMain"=-
"Google EULA Launcher"=-
"NeroFilterCheck"=-
"RtHDVCpl"=-
"SearchSettings"=-
"SmoothView"=-
"topi"=-
"Toshiba Registration"=-
[HKEY_USER\S-1-5-21-2044775212-447502082-407128720-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[meg28]

pdfforge Toolbar i 50 FREE MP3s +1 Free Audiobook! te 2 odinstalowane, to Ask Toolbar wystąpił błąd i nie dał się odinstalować a
tych nie było na liście programów,
log z usuwania
http://wklej.org/id/579822/

i nowe logi
OTL
http://wklej.org/id/579833/

EXTRAS
http://wklej.org/id/579836/

i jeszcze mam pytanie po stworzeniu pierwszych logów gmera i otl znów włączyłam defoggerem sterowniki chyba to nie miało wpływu na nowe logi otl?? i co zrobić z tymi plikami w kwarantannie anti-malware?? Dzięki wielkie za szybką pomoc!! Pzdr

[kominekl]

W takim razie usunę to skryptem . Musisz opróżnić kwarantanne Malwarebytes (naciskasz usuń na wszystkie elementy, które usunęłaś, nie przywróć!).

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

SRV - [2011-06-24 17:30:48 | 000,393,112 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
IE - HKU\S-1-5-21-2044775212-447502082-407128720-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
IE - HKU\S-1-5-21-2044775212-447502082-407128720-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=616163"
@Alternate Data Stream - 152 bytes -> C:\ProgramData\TEMP:0B4227B4
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:0B4227B4

:Files
C:\Program Files\Application Updater

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[meg28]

ok zrobione nowe logi

log usuwania
http://wklej.org/id/579884/

OTL
http://wklej.org/id/579891/

EXTRAS
http://wklej.org/id/579893/

z malware i avg kwarantanna opróżniona czy już jest ok wszystko ????

[kominekl]

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Reg
[HKEY_USERS\S-1-5-21-2044775212-447502082-407128720-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. W OTL -> Sprzątanie.

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) -> http://www.programosy.pl/program,internet-explorer.html.
Przeczyść dysk i rejestr CCleaner`em -> http://www.programosy.pl/program,ccleaner.html.
Wykonaj pełne skanowanie (wcześniej wykonałaś tylko szybkie, a to różnica) Malwarebytes`em Anti-Malware -> http://www.programosy.pl/program,malwarebytes-anti-malware.html, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję programu do odczytu .PDF -> Adobe Reader 8 - Polish i zainstaluj najnowszą -> http://www.programosy.pl/program,adobe-reader-6.html.
Odinstaluj starą wersję Java`y -> Java(TM) 6 Update 6, bo masz już najnowszą Java(TM) 6 Update 26.

Teraz to już wszystko . Jeśli coś znajdzie Malwarebytes (a pewnie tak właśnie będzie) to usuń i daj raport .

[meg28]

log z usuwania
http://wklej.org/id/579945/

log z dokładnego skanu malware
http://wklej.org/id/580057/

Wszystko inne z ww listy pomyślnie zainstalowane:)
mam nadzieję, że teraz jest już wszystko ok?? :)

[evelka1166]

witam, prosze opomoc czytam te posty ale nie moge za bardzo zrozumiec wirus zamyka mi wszystko nie moge uruchomic malwarebytes zeby zrobic skan bo juz go zainfekowano

Dodano Dzisiaj, 18:25:
Wirus z facebooka prosze o pomoc co robic

[meg28]

evelka mysle ze najlepiej bedzie jak zaczniesz od tego a potem załozysz swoj temat na głownej..
obowiazkowe-zasady-wstawiania-logow-wazne-vt117887.html

[kominekl]

meg28 opróżnij kwarantannę Malwarebytes. Tak to już wszystko . evelka1166 załóż swój nowy temat z opisem problemu i wymaganymi logami.

[meg28]

Super Bardzo Dziękuję za szybką i fachową pomoc Pozdrawiam

[krab15]

tu sa moje logi i prosze o pomoc

OTL
http://wklej.org/id/583543/

EXTRAS
http://wklej.org/id/583544/

prosze pomocy

[NieWiem]

Proszę założyć swój własny temat, opisać jakoś bardziej problem i dać obowiązkowego loga z Gmera. Inaczej pomocy nie będzie.