SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Problem ze stroną facebook.

Tryby wyświetlania wątku
Problem ze stroną facebook.
milonga Offline
Nowicjusz
Liczba postów: 1
Liczba wątków: 1
Dołączył: 29.01.2013
Reputacja: 0
#1
29.01.2013, 15:35
Objawy zainfekowania:

Od wczoraj strona facebook''a otwiera się, ale nie można nic zrobić, nie ma możliwości otworzenia wiadomości, pokazują się ostatnie (najświeższe) wpisy, ale po zjechaniu paskiem na dół - starszych wpisów już nie ładuje. Nie ma możliwości komentowania ani polubienia. Po otworzeniu strony pojawiają mi się liczby nieodczytanych wiadomości, jaki i powiadomienia - po kliknięciu odnośnika o skomentowanym zdjęciu strona się nie ładuje.


Wykonywane działania:

Avast - nie znaleziono zagrożenia.

Logi:

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS

[Aby zobaczyć linki, zarejestruj się tutaj]



Proszę o pomoc.
Szukaj
Odpowiedz
kapitan zawada Offline
Dyskutant
Liczba postów: 362
Liczba wątków: 34
Dołączył: 09.01.2011
Reputacja: 6
#2
29.01.2013, 21:59
Korzystasz z internetu mobilnego czy normalnego? Problem może tkwić w twoim połączeniu.
"Jak to mówi premier Pawlak - uszczknąć sobie"
Norton ConnectSafe®
Strona WWW Szukaj
Odpowiedz
defacto19 Offline
Amator
Liczba postów: 72
Liczba wątków: 0
Dołączył: 24.11.2012
Reputacja: 14
#3
29.01.2013, 22:09
W logach widnieje ślad infekcji ZeroAccess:

Cytat:
[2011-05-22 19:57:04 | 000,000,000 | ---D | M]-- C:\$Recycle.bin\S-1-5-21-3482428328-4123033921-4151982305-1003\$RE42ZWW\n

Otwórz Notatnik i wklej do niego :

Cytat:
TAKEOWN /F C:\$Recycle.Bin /R /A /D Y
icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-C:\$Recycle.bin\S-1-5-21-3482428328-4123033921-4151982305-1003 /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
pause

Klik na plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą FIX.BAT

Kliknij ppm na ten plik i uruchom go jako Administrator.

Uruchom

[Aby zobaczyć linki, zarejestruj się tutaj]

i w karcie Logon odznacz poniższe pozycje:
Cytat:
O4 - HKLM..\Run: [DivXMediaServer]C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe ()
O4 - HKLM..\Run: [DivXUpdate]C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [LanguageShortcut]C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [Lexmark 6500 Series Fax Server]C:\Program Files\Lexmark 6500 Series\fm3032.exe ()
O4 - HKLM..\Run: [lxdfamon]C:\Program Files\Lexmark 6500 Series\lxdfamon.exe ()
O4 - HKLM..\Run: [lxdfmon.exe]C:\Program Files\Lexmark 6500 Series\lxdfmon.exe ()
O4 - HKLM..\Run: [NeroFilterCheck]C:\Windows\System32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKU\S-1-5-21-3482428328-4123033921-4151982305-1003..\Run: [Gadu-Gadu]D:\programy\Gadu-Gadu\gg.exe (Gadu-Gadu S.A.)
O4 - HKU\S-1-5-21-3482428328-4123033921-4151982305-1003..\Run: [Skype]D:\programy\Phone\Skype.exe (Skype Technologies S.A.)


Uruchom OTLi w sekcji własne opcje skanowania /skryptwklej:

Kod:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwrchid.sys -- (btwrchid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwavdt.sys -- (btwavdt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwaudio.sys -- (btwaudio)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=nv1&s={searchTerms}&f=4
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=GRfox000&fl=0&ptb=_YIgSxhHgSkCj3SjJxeMww&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110505120347080&tb_oid=05-05-2011&tb_mrud=05-05-2011
IE - HKU\S-1-5-21-3482428328-4123033921-4151982305-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_ss&affID=101067&mntrId=38fa55db0000000000000021635686e8
IE - HKU\S-1-5-21-3482428328-4123033921-4151982305-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=nv1&s={searchTerms}&f=4
IE - HKU\S-1-5-21-3482428328-4123033921-4151982305-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101067&mntrId=38fa55db0000000000000021635686e8
IE - HKU\S-1-5-21-3482428328-4123033921-4151982305-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=GRfox000&fl=0&ptb=_YIgSxhHgSkCj3SjJxeMww&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}
IE - HKU\S-1-5-21-3482428328-4123033921-4151982305-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110505120347080&tb_oid=04-11-2008&tb_mrud=05-05-2011&query="
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot"
FF - prefs.js..extensions.enabledItems: [email protected]:1.2.0
FF - prefs.js..extensions.enabledItems: [email protected]:2.0
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Users\Natalia\AppData\Roaming\MEDIAF~1\EXTENS~1\GENCRA~1.DLL ()
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Natalia\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found
O4 - HKU\S-1-5-21-3482428328-4123033921-4151982305-1003..\Run: [Media Finder] "C:\Program Files\Media Finder\MF.exe" /opentotray File not found
O4 - HKU\S-1-5-21-3482428328-4123033921-4151982305-1003..\Run: [Twoje TVN24] C:\Program Files\Pasek TVN24\tvn-ustawienia.exe (DreamLab Onet Sp.z o.o.)
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
[2009-09-04 17:32:43 | 000,000,088 | RHS- | C] () -- C:\ProgramData\214D5C2754.sys

:Files
C:\Users\Natalia\AppData\Roaming\mozilla\Firefox\Profiles\jdyx1t74.default\extensions\[email protected]
C:\Users\Natalia\AppData\Roaming\mozilla\firefox\profiles\jdyx1t74.default\searchplugins\aol-web-search.xml
C:\Users\Natalia\AppData\Roaming\mozilla\firefox\profiles\jdyx1t74.default\searchplugins\daemon-search.xml
C:\Users\Natalia\AppData\Roaming\mozilla\firefox\profiles\jdyx1t74.default\searchplugins\mywebsearch.xml
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij wykonaj skrypt . Zatwierdź restart komputera.

Uruchom

[Aby zobaczyć linki, zarejestruj się tutaj]

z opcji Delete .

Następnie Uruchom OTLponownie i kliknij Skanuj . Pokaż nowy log OTL.Txt oraz raport z AdwCleaner.
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 2 gości