Czerwona kropka Facebook

[Suerav]

Witam,

komputer został zainfekowany przez taką złowieszczą kropkę http://scr.hu/0qca1/5ahss

prawdopodobnie chodzi o to

https://www.dobreprogramy.pl/Czerwona-kropka-szkodnik-ukryty-w-obrazku-SVG-roznosi-sie-przez-komunikator-Facebooka,News,77499.html

 

Po ręcznym usunięciu wszystkich rozszerzeń jedno wraca po każdym uruchomieniu facebooka

http://scr.hu/0qca1/kivbj

http://scr.hu/0qca1/hiiuc

 

skanowałem komputer poprzez

AdwCleaner - wykrył kilka pup - usunięte

MBAM - komunikat: http://scr.hu/0qca1/1agkm więc spróbowałem MBAR

MBAR - jednak nic nie wykrył wróciłem do MBAM - nic nie wykrył

 

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Poradnikiem z DP proszę się nie sugerować, nie wiadomo jak infekcje integruję w przeglądarce - instalacja rozszerzenia to może być zmiana zewnętrzna, a za nią może iść szereg innych zmian. Wymagana jest kompleksowa deinstalacja przeglądarki i postawienie jej na nowo. Oprócz tego system będzie sprzątany z resztek po odinstalowanym wcześniej oprogramowaniu. 

 

Rozumiem, że MBAM uruchamia się bez przeszkód? 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
HKU\S-1-5-21-3323102121-1666990563-3921265713-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
S3 Disc Soft Lite Bus Service; "d:\Program Files\DAEMON Tools Lite\DiscSoftBusService.exe" [X]
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Desktop Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Windows Store Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Desktop Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Windows Store Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Desktop Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Windows Store Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Deinstalacja programu Malwarebytes Anti-Malware.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Malwarebytes Anti-Malware.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Tools\Malwarebytes Anti-Malware Chameleon.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JetBrains\IntelliJ IDEA Community Edition 2016.2.5.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Zen\AVG.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atlassian\SourceTree\Check For Updates.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atlassian\SourceTree\SourceTree.lnk
C:\Users\Dominika\Links\studia-pk-mp-lab-projekt.lnk
C:\Users\Dominika\AppData\Roaming\Microsoft\Word\MIMJESTFAJNENO1306241710545687213\MIMJESTFAJNENO1.doc.lnk
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\15d1c012fddd7e815df3eb7c5c4b0435.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\790ca457c73f73a91368711f4278c749.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\exe_wd_1.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\Formularz zgloszenia kandydata - I stopien.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\info (1).LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\info.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\plakat-na-inaugurację.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\plan lekcji.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\Test1.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\wz13.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\wz5.LNK
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Dominika\AppData\Local\Mozilla
C:\Users\Dominika\AppData\Roaming\Mozilla
C:\Users\Dominika\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Kompleksowo przeinstaluj przeglądarkę Google Chrome:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Sprawdź również czy infekcja ustąpiła.

[Suerav]

MBAM uruchamia się normalnie i nic nie wykrywa, tamten komunikat pokazał się tylko za pierwszym razem.

Infekcja nie ustąpiła, kropka dalej się pojawia.

 

Addition.txt

FRST.txt

Fixlog.txt