Wirus Facebook

[Rafiss]

Objawy zainfekowania:
Zaczęło się od jakiegoś linku na Facebooku. Wyświetliła się informacja: "Twoje konto zostało tymczasowo zablokowane, ponieważ wykryliśmy na Twoim komputerze złośliwe oprogramowanie. Złośliwe oprogramowanie próbuje uzyskać dostęp do Twoich danych osobowych, spowalnia połączenie i możę powodować podczas korzystania z Facebooka inne problemy. Twój komputer może zostać zainfekowany złośliwym oprogramowaniem po kliknięciu lub udostępnieniu linków mających charakter spamu."

Przeglądarka Chrome przestała działać (jeśli chodzi o Facebook), a po ściągnięciu Firefoxa niby działa ale strasznie wolno chodzi. Ogólnie cały komputer zwolnił i się przycina.

Wykonywane działania:
Komp był skanowany Avastem. Niby on coś pokazuje ale nie daje rady usunąć.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

- OTL.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

- Extras.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

- Info.txt - RSIT

[Aby zobaczyć linki, zarejestruj się tutaj]

- Log.txt - RSIT

Dziękuję za sprawdzenie

[tachion]

Odinstaluj:

Yontoo
Adobe Reader zastąp Foxit Readerem

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {154d339e-ccaa-49a5-9b38-6878ad4220bc}
IE - HKLM\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://search.searchamong.com/searchview.php?source=b352e604db984ca58beca13ded3ca415&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.searchamong.com/searchview.php?source=b352e604db984ca58beca13ded3ca415&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.searchamong.com/searchview.php?source=b352e604db984ca58beca13ded3ca415&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119585&tt=190313_wo2&babsrc=HP_ss&mntrId=60C5001109DADCE2
IE - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.searchamong.com/searchview.php?source=b352e604db984ca58beca13ded3ca415&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.searchamong.com/searchview.php?source=b352e604db984ca58beca13ded3ca415&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\..\SearchScopes,DefaultScope = {154d339e-ccaa-49a5-9b38-6878ad4220bc}
IE - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119585&tt=190313_wo2&babsrc=SP_ss&mntrId=60C5001109DADCE2
IE - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://search.searchamong.com/searchview.php?source=b352e604db984ca58beca13ded3ca415&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=C1215312-9352-40F0-A791-478DFB041FB7&apn_sauid=1E0E67CF-D986-4BCC-9C3E-3E2AAF2E32F9
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=60c553f6000000000000001109dadce2"
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0
O3 - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Denzi] C:\Program Files\Denzi\Denzi.exe (www.denzi.com)
O4 - HKU\S-1-5-21-1844237615-1715567821-725345543-1001..\Run: [Smart Driver Updater] C:\Program Files\Smart Driver Updater\SDULauncher.exe (Avanquest Software)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1844237615-1715567821-725345543-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
[2013-04-02 22:58:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
[2013-04-02 22:57:25 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy 2
[2013-03-08 10:18:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2013-03-08 10:18:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Justyna K\Dane aplikacji\Babylon
[1999-03-01 23:30:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask
@Alternate Data Stream - 143 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:AD022376

:Files
C:\Documents and Settings\Justyna K\Dane aplikacji\Mozilla\Firefox\Profiles\971kku5d.default\searchplugins\askcom.xml
C:\Documents and Settings\Justyna K\Dane aplikacji\Mozilla\Firefox\Profiles\971kku5d.default\searchplugins\BrowserProtect.xml
C:\Documents and Settings\Justyna K\Dane aplikacji\Mozilla\Firefox\Profiles\971kku5d.default\searchplugins\delta.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml

:Commands
[EMPTYTEMP]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Przedstaw raport z wykonania OTLi AdwCleaner

[Rafiss]

Logi po skrypcie i czyszczeniu:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

- OTL.txt
Extras się nie wygenerował

AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Sprawdź czy w firefoxie dodatki/rozszerzenia i wtyczki jest plugin yontoojeśli tak to go wyłącz