Wirus wysyła wiadomości na Facebooku

[bodorek]

Witam
Niechcący kliknąłem w link na Facebook prowadzący widocznie do wirusa, który wysyła bez ograniczeń do moich znajomych zainfekowany link, proszę o pomoc

OTL: http://www.wklej.org/id/1129054/
Extras: http://www.wklej.org/id/1129056/
 

FRST: http://wklej.org/id/1129104/

Addidion: http://wklej.org/id/1129105/

GMER: http://wklej.org/id/1129188/

 

GMER jest niekompletny, ponieważ podczas skanowania wystąpił błąd

 

Z góry dzięki

[picasso]

Przyczyna błędu GMER: KLIK. Więc to już zostaw. I podaję instrukcje usuwania infekcji oraz adware:

 

1. Otwórz Notatnik i wklej w nim:

 

(Wsys Co., Ltd.) C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe
R2 WsysSvc; C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe [303680 2013-08-22] (Wsys Co., Ltd.)
HKLM\...\Run: [tuto4pc_pl_16] - [x]
HKLM\...\Run: [upt4pc_pl_16.exe] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_16\upt4pc_pl_16.exe -runhelper
HKLM\...\Run: [] - [x]
HKCU\...\Run: [dso32] - C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\dsoqq.exe [115712 2010-06-05] () 
HKCU\...\Run: [General Downloader] - C:\Program Files\General Downloader\GD.exe
MountPoints2: {0594a038-0370-11e3-b9f1-806d6172696f} - D:\yqq8eqil.exe
MountPoints2: {0594a03a-0370-11e3-b9f1-806d6172696f} - C:\yqq8eqil.exe
MountPoints2: {423782f1-0688-11e3-a472-000df039bc2e} - F:\q9.cmd
MountPoints2: {532df860-1306-11e3-a493-000df039bc2e} - G:\q9.cmd
MountPoints2: {bc164b81-0364-11e3-a463-001b241512fa} - G:\yqq8eqil.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=F4F4000DF039BC2E&affID=119357&tsp=4986
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST980811AS_5LY389M5XXXX5LY389M5&ts=1377163884
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST980811AS_5LY389M5XXXX5LY389M5&ts=1377163884
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST980811AS_5LY389M5XXXX5LY389M5&ts=1377163884
URLSearchHook: UsProvider Class - {539F76FD-084E-4858-86D5-62F02F54AE86} - C:\Program Files\Minibar\Minibar.dll (KangoExtensions)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST980811AS_5LY389M5XXXX5LY389M5&ts=1377173801
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=F4F4000DF039BC2E&affID=119357&tsp=4986
BHO: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files\Tepfel\WebCakeIEClient.dll (Let Them Eat Web-Cake LLC)
BHO: MinibarBHO - {AA74D58F-ACD0-450D-A85E-6C04B171C044} - C:\Program Files\Minibar\Minibar.dll (KangoExtensions)
BHO: Help the General-Search Project - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\DOCUME~1\ADMINI~1\DANEAP~1\GENERA~1\EXTENS~1\GenCrawl.dll ()
CHR HKLM\...\Chrome\Extension: [fjoijdanhaiflhibkljeklcghcmmfffh] - C:\Program Files\Tepfel\WebCakeLayers.crx
CHR HKLM\...\Chrome\Extension: [gkcbebbklfkjeocpmoamnopdllfekind] - C:\Documents and Settings\Administrator\Dane aplikacji\General Downloader\Extensions\gdchrome.crx
CHR HKLM\...\Chrome\Extension: [pcidejejpblipcjpnkfkddlkmgndblch] - C:\Documents and Settings\Administrator\Dane aplikacji\General Downloader\Extensions\GenCrawler.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\DSite\UPDATE~1\UPDATE~1.EXE
Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\Dealply\UPDATE~1\UPDATE~1.EXE
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\BrowserDefender
C:\Documents and Settings\All Users\Dane aplikacji\DealPlyLive
C:\Documents and Settings\All Users\Dane aplikacji\eSafe
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Administrator\Dane aplikacji\0D0S1L2Z1P1B0T1P1B2Z
C:\Documents and Settings\Administrator\Dane aplikacji\0F1F1C2Y1H1P1C0I0T
C:\Documents and Settings\Administrator\Dane aplikacji\BabSolution
C:\Documents and Settings\Administrator\Dane aplikacji\Babylon
C:\Documents and Settings\Administrator\Dane aplikacji\Dealply
C:\Documents and Settings\Administrator\Dane aplikacji\General Downloader
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla
C:\Documents and Settings\Administrator\Dane aplikacji\SlrPlugins
C:\Documents and Settings\Administrator\Dane aplikacji\WinZipper
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\avgchrome
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\eorezo
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\DealPlyLive
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Lollipop
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Minibar
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_16
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\*.exe
C:\Program Files\DealPly
C:\Program Files\DealPlyLive
C:\Program Files\Play
C:\Program Files\Minibar
C:\Program Files\Mozilla Firefox
C:\Program Files\WinZipper
C:\autorun.inf
C:\yqq8eqil.exe
D:\autorun.inf
D:\yqq8eqil.exe
CMD: netsh firewall reset
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{AAA38851-3CFF-475F-B5E0-720D3645E4A5}" /f
Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware AppsHat Mobile Apps, Web-Cake 3.00, Zip Opener Packages.

 

3. Google Chrome ma uszkodzone preferencje. Zrób następujące akcje w Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń strony tam otwierane, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż obecny URL stamtąd
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci (o ile będą)
• Ustawienia > karta Historia > wyczyść

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowe logi: skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner.

 

Odpowiadasz mi oczywiście już kolejnym poście. Nie edytuj już pierwszego posta, bo kolejnośćoperacji musi być zachowana.

 

 

 

.

[bodorek]

Przepraszam za bałagan w temacie. Więc:

 

fixlog.txt: http://wklej.org/id/1129230/

AdwCleaner: http://wklej.org/id/1129231/

FRST: http://wklej.org/id/1129232/

Niekompletny GMER przed użyciem kodu: http://wklej.org/id/1129188/

USBFix: Brak dostępu, aczkolwiek jeśli będzie niezbędny, to postaram sie wrzucić

[picasso]

To jest log AdwCleaner z funkcji Szukaj, proszę o log z funkcji Usuń (AdwCleaner[s0].txt).

 

 

Niekompletny GMER przed użyciem kodu

Zaszły różne zmiany. Ponów skan GMER. Podaj mi tyle ile się nagra (nie zważaj na błąd "Brak dysku").

 

 

USBFix: Brak dostępu, aczkolwiek jeśli będzie niezbędny, to postaram sie wrzucić

Co to konkretnie znaczy? Co widzisz / gdzie / podczas jakich operacji?

 

 

.

[bodorek]

Kolejność zamieszczania logów, to kolejność wykonywania operacji
Oto i USBFix, antywirusy uważają go za wirusa: http://wklej.org/id/1129238/
AdwCleaner [s0]: http://wklej.org/id/1129254/
AdwCleaner [R1]: http://wklej.org/id/1129255/
GMER: http://wklej.org/id/1129371/

[picasso]

Ten GMER kompletniejszy i widać w nim ukryty w autostarcie fałszywy trojański "lsass.exe". To wyjaśnia pierwsze dziwne odczyty w OTL i niekompletnym GMER ("znikający" lsass systemowy, w GMER oznaczony jako ukryty). Kolejne podejście:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\lsass.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\*.dll
C:\Documents and Settings\Administrator\Dane aplikacji\DSite

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przejdź w Tryb normalny Windows. Otwórz Google Chrome i doczyść adware:

- Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres isearch.babylon.com, przestaw na "Otwórz stronę nowej karty"

- Ustawienia > karta Historia > wyczyść

 

3. Zrób nowy skan FRST (bez Addition) i GMER. Dołącz plik fixlog.txt.

 

 

USBFix, antywirusy uważają go za wirusa

Fałszywy alarm.

 

 

 

.

[bodorek]

Fixlog: http://wklej.org/id/1129860/

FRST: http://wklej.org/id/1129861/

GMER: http://wklej.org/id/1129862/

[picasso]

Wygląda na to, że infekcja została pomyślnie usunięta. Kolejne czynności:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności zrób pełny skan w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową bez rezydenta). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.