Wirus - automatyczne wysyłanie wiadomości na facebooku

[patryk96]

Witam. Ostatnio przez własną głupotę kliknąłem nieznanego pochodzenia link, który okazał się źródłem wirusa. Wirus automatycznie wysyła wiadomości do znajomych na moim koncie, których treścią jest właśnie ten link. Proszę o pomoc w rozwiązaniu problemu i usunięciu tego badziewia. Skanowałem już kompa programami "Eset online scanner" oraz "Dr. Web CureIt", lecz nie pomogło.

 

Logi z OTL:

http://wklejto.pl/146996

http://www.wklejto.pl/146997

 

Z racji tego, że użyłem narzędzia Defogger wklejam dodatkowy, wymagany log:

http://www.wklejto.pl/146998

 

Log z GMER:

http://www.wklejto.pl/147003

[picasso]

Uruchamiałeś jakiś skrypt do OTL = o jakiej zawartości? Jest w starcie wpis infekcji:

 

O4 - HKU\S-1-5-21-1292428093-329068152-1801674531-1003..\Run: [MSConfig] C:\Documents and Settings\Patryk\jrtl.exe ()

 

Poza tym drobne adware od wtyczki vShare. Będę także czyścić szczątki Firefox i COMODO.

 

 

1. Przez Dodaj/Usuń programy odinstaluj adware Contextual Tool Extrafind, vSharetv. Otwórz Google Chrome i odmontuj w Rozszerzeniach vShare.tv plugin.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1292428093-329068152-1801674531-1003..\Run: [MSConfig] C:\Documents and Settings\Patryk\jrtl.exe ()
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=2b51a124-2848-11e2-8276-00195b8a043d&q={searchTerms}"
IE - HKU\S-1-5-21-1292428093-329068152-1801674531-1003\..\SearchScopes\{293C00FE-E5AD-49E0-831D-8C5BE67D5936}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-1292428093-329068152-1801674531-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=2b51a124-2848-11e2-8276-00195b8a043d&q={searchTerms}"
IE - HKU\S-1-5-21-1292428093-329068152-1801674531-1003\..\SearchScopes\{8EEAC88A-079B-4b2c-80C1-7836F79EB40A}: "URL" = "http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo"
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Files
C:\Program Files\Mozilla Firefox
C:\Documents and Settings\All Users\Dane aplikacji\CPA_VA
C:\Documents and Settings\LocalService\Dane aplikacji\GeekBuddyRSP
C:\WINDOWS\System32\drivers\sfi.dat
@C:\WINDOWS\Temp:temp
rd /s /q "C:\Documents and Settings\Patryk\Doctor Web" /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 26 Lutego 2013 przez picasso
26.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso