trojan agent wirus z fb

[ghost717]

no to tak ... kumpela "wysłała" mi link do jakiś zdjęć, a ja głupi oczywiście weszłem w niego... pobrało jakąś aplikacje .exe byłem jeszcze głupszy i weszłem w nią plik zniknął z dysku, wchodze na fb... i dostaje komunikat, że na moim koncie zaszła próba phisingu, przechodze proces weryfikacji konta ? (sprawdzenia że jest moje ), zmieniam hasło i się okazuje że "wysłałem" pare wiadomości z podobnym linkiem do znajomych, szukam w necie czegoś na ten temat i się okazuje, że jest to wina popularnego wira na fb.

http://www.wklej.eu/index.php?id=aae136dde5
http://www.wklej.eu/index.php?id=cb85aeb2f7

Chodzi o ten plik C:\Users\Dawid\zhjb.exe przy próbie usunięcia go, tworzy się automatycznie na nowo... jakies porady?
Teraz już niby nie wysyła wiadomości do innych, ale samo wiadomość posiadania go na dysku mnie irytuje tym bardziej, że w skanerach wywala mi, że jest trojan agent...

[mateo8898]

Odinstaluj: Sopcast Ask Toolbar. Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=51&cf=7c8d066a-3681-11e2-8d50-b870f4fba085
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{6BA7933C-191C-47A2-AD80-50514880D577}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=6fb93c8e-713d-11e1-aaf2-b870f4fba085&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=51&cf=7c8d066a-3681-11e2-8d50-b870f4fba085
IE - HKCU\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?src=sp&aff=51&cf=7c8d066a-3681-11e2-8d50-b870f4fba085&q={searchTerms}
IE - HKCU\..\SearchScopes\{6BA7933C-191C-47A2-AD80-50514880D577}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=6fb93c8e-713d-11e1-aaf2-b870f4fba085&q={searchTerms}
IE - HKCU\..\SearchScopes\{71E9A87F-C5C3-4AD6-B5AE-740D9C295704}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=23C97337-3827-4B7A-B9C9-F12B2609C871&apn_sauid=13F89269-4F08-4FD3-84C2-60656316E6DA
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKCU\..\SearchScopes\{BE85EDE1-0E23-43DB-94AF-FFD59B27D12A}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112555&tt=060612_6_&babsrc=SP_ss&mntrId=d00131c100000000000016de2b282cbc
IE - HKCU\..\SearchScopes\{EB911C40-0DB4-421A-8F96-15FF8615EA3E}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.
O4 - HKCU..\Run: [MSConfig] C:\Users\Dawid\zhjb.exe ()
O8:64bit: - Extra context menu item: Search the Web - Reg Error: Value error. File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
[2012-12-26 15:52:32 | 000,000,270 | ---- | M] () -- C:\Windows\tasks\DLL-files.com Fixer_UPDATES.job

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL + brakujący log z TDSSKiller http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292

[ghost717]

no właśnie problem mam też z usunięciem tego sopcasta... ale spróbuje

[mateo8898]

Jeśli będzie problem z jego odinstalowaniem to użyj AdwCleaner otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p139531 z opcji Usuń i podaj utworzony log.

[ghost717]

http://www.wklej.eu/index.php?id=75c2b640ac log z usuwania Adw

teraz robie skany OTL i tym killerem

mam pyt... czemu miałem usunąć tego toolbara po sopcascie? coś on powodował?

OTL i extras
http://www.wklej.eu/index.php?id=606096f87d
http://www.wklej.eu/index.php?id=219197c296

dobra to z automatu toolbar utorrent się włączyl już go ogarnąlem i usunąłem

TDSSkiller
http://www.wklej.eu/index.php?id=8c9ac21189

[mateo8898]

W AdwCleaner Odinstaluj.

OTL jednak nie może tego ruszyć, więc inaczej.

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Files to delete:
C:\Users\Dawid\zhjb.exe

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Następnie w OTL wklej:

:OTL
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012-11-25 15:05:57 | 000,000,000 | ---D | M] (uTorrentControl_v2) -- C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6}

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"=-

[/quote]
Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

[ghost717]

zrobiłem to czyszczenie avengerem, resety był, ale żaden avenger.txt mi nie powstał i do tego dalej ten podejrzany plik znajduje się w c:\users\Dawid

log po wykonaniu skryptu
http://www.wklej.eu/index.php?id=6d8c95c982

po skanowaniu OTL, system zaliczył zwieche, restart nieunikniony
logi
http://www.wklej.eu/index.php?id=b8f9e2041d
http://www.wklej.eu/index.php?id=aa124132b6

[mateo8898]

Pobierz BlitzBlank http://www.instalki.pl/programy/downloa ... Blank.html (uruchom go z prawokliku Uruchom jako administrator) przejdź do karty Script i wklej:

DeleteFile:
C:\Windows\SysWow64\drivers\yooumvi.sys
C:\Users\Dawid\zhjb.exe

DeleteRegValue:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSConfig

Klikasz Execute Now i zatwierdzasz restart. Podajesz log, który powstanie z usuwania oraz nowe logi z OTL.

[ghost717]

Szczerze to ściągnąłem tego Malwarebytes Anti-Malware i nim skana zrobiłem i usunąłem ten plik C:\users\Dawid bo ten OTL to zaczął powielac już ten plik.

tu logi
http://www.wklej.eu/index.php?id=cad89101f8

jakieś sprzeciwy? czy juz wszystko cacy?

[mateo8898]

No nie cacy, bo Malwarebytes usunął jeden plik, a są co najmniej dwa do wywalenia, więc wykonaj instrukcje z poprzedniego posta.