Facebook'owy wirus

[kondziioPL]

Witam,
mam dziwne przeczucie że w moim kompie siedzi coś złego, niby nie dzieje się nic złego ale ludzie mówią mi że na facebooku z mojego konta wysyłane są jakieś wirusy. Treść wiadomości wygląda następująco "hi, i jakiś link z wirusem". Ja nic takiego nie rozsyłam. Proszę sprawdzić też czy nie ma jakiś badziewi w moim komputerze. Na komputerze działa Norton Internet Security, komputer był skanowany Malwarebytes Anti-Malware ale nic nie wykrył.

Logi:
OTL http://wklej.org/id/703269/
Extras http://wklej.org/id/703270/
TDSKiller http://wklej.org/id/703273/
RSIT http://wklej.org/id/703276/
MBRcheck http://wklej.org/id/703277/

[adamsik]

Daj log z GMER'a http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html

[kondziioPL]

Na Windows 7 64bit, ten program chyba nie działa najlepiej. Mam puste okienko, nawet jak kliknę "szukaj" to nic nie znajduję.

[adamsik]

Dobra ja się na tym super nie znam ale wiem tyle co z doświadczenia przyjdzie mati to Ci sprawdzi logi i pomoże.
Puste okienko masz po ściągnięciu czy po odpaleniu?

[kondziioPL]

http://img21.otofotki.pl/obrazki/sh252_gmer.png

[kominekl]

Odinstaluj Malwarebytes Anti-Malware, jeśli zgodziłeś się na wersje testową.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2912975821-3514601545-274534835-1000\..\URLSearchHook: {0F3DC9E0-C459-4a40-BCF8-747BD9322E10} - C:\Program Files (x86)\DeviceVM\SmartView\AddressBarSearch.dll (DeviceVM, Inc.)
IE - HKU\S-1-5-21-2912975821-3514601545-274534835-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2912975821-3514601545-274534835-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK
IE - HKU\S-1-5-21-2912975821-3514601545-274534835-1000\..\SearchScopes\{14933ABC-8004-4185-B495-94EA54F3BBB1}: "URL" = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A6976579318&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A6976579318&q={searchTerms}
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Konrad\AppData\Local\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Konrad\AppData\Local\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)

:Files
C:\Users\Konrad\AppData\Local\Google\Update
C:\Users\Konrad\Desktop\mbam-setup-1.60.1.1000.exe
C:\ProgramData\{8533ADFA-85F0-4dc1-946A-2A0BA58E78E3}
C:\Windows\tasks\*.job

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589.

[kondziioPL]

Log z usuwania http://wklej.org/id/703342/
Nowy OTL http://wklej.org/id/703346/
Nowy Extras http://wklej.org/id/703347/

Autoruns
http://www3.zippyshare.com/v/80369459/file.html

[kominekl]

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy rdpclip, RtHDVCpl, RunDLLEntry, CTSyncService, SmartviewAgent, StartCCC, SunJavaUpdateSched, UpdReg, XFastUsb, Microsoft Windows, Microsoft Windows, OscarEditor, Adobe PDF Link Helper, Java(tm) Plug-In 2 SSV Helper, Java(tm) Plug-In SSV Helper, Skype Browser Helper, wszystko z zakładki Task Scheduler (oprócz Norton`a), SkypeUpdate, WinDefend, MSICDSetup i msacm.vorbis.

Następnie odinstaluj - >System Requirements Lab.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\Users\Konrad\AppData\Local\Temp
C:\Users\Konrad\AppData\Roaming\Malwarebytes
C:\ProgramData\Malwarebytes
C:\Program Files\trend micro
C:\rsit
C:\Program Files (x86)\SystemRequirementsLab
C:\Users\Konrad\SystemRequirementsLab
C:\Program Files (x86)\Temp

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[mateo8898]

Następnie odinstaluj - >System Requirements Lab.

Przecież to w żaden sposób nie jest szkodliwe, to wtyczka stąd http://www.systemrequirementslab.com/cyri/intro.aspx

[kondziioPL]

w Autorun's większość rzeczy dało się usunąć.

System Requirements Lab. odinstalowałem bo i tak mi nie było to potrzebne.
Przy wklejeniu skryptu do OTL kliknąłem Wykonaj Skrypt i wywaliło mi komunikat że system napotkał poważny błąd i zrestartuje się w ciągu 1 minuty. Po restarcie wyskoczył mi log z usuwania OTL.

Log z usuwania http://wklej.org/id/703669/
Nowy OTL http://wklej.org/id/703677/
Nowy Extras http://wklej.org/id/703678/

Zauważyłem też że teraz nie mogę w Chrome przewijać strony Scrollem.

[mateo8898]

W OTL wklej:

:OTL
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
[2012-03-06 19:48:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\v9Soft
[2012-03-06 19:48:13 | 000,001,994 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deinstalator Strony V9.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"V9Software"=-

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Zainstaluj SP1 http://www.instalki.pl/programy/downloa ... ack_1.html

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... rer_9.html

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

[kondziioPL]

Bardzo dziękuje wszystkim za pomoc. Muszę jeszcze coś wykombinować żebym mógł znowu scrollem przewijać w chroome.

[kominekl]

System Requirements Lab nie jest szkodliwe, ale dla 99% użytkowników zbędne.