Facebook wirus "HI"

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
browarekhh

Użytkownik
Posty: 4
Rejestracja: 22 sie 2011, 19:54

Facebook wirus "HI"

Post22 sie 2011, 20:08

Witam,

Niestety jestem kolejna ofiarą wirusa "HI" z facebooka. Po przeczytaniu kilku postów zrobiłem skan logów z programu OTL:

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Będę wdzięczny bardzo za pomoc co z tym dalej zrobić.

Pozdrawiam
Na górę
Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:
Skontaktuj się z djkamil09061991

Facebook wirus "HI"

Post22 sie 2011, 20:15

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:
:OTL
MOD - [2011-08-22 19:23:42 | 000,137,728 | ---- | M] () -- C:\Windows\systemup.exe
MOD - [2011-08-22 19:01:10 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
MOD - [2011-08-22 18:45:18 | 001,216,000 | -H-- | M] () -- C:\Windows\update.tray-7-0-lnk\svchost.exe
MOD - [2011-08-22 18:45:18 | 001,216,000 | -H-- | M] () -- C:\Windows\update.tray-7-0\svchost.exe
MOD - [2011-08-22 18:45:18 | 001,216,000 | -H-- | M] () -- C:\Windows\update.tray-2-0\svchost.exe
SRV - [2011-08-22 19:00:18 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-08-22 18:57:39 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [3858790.exe] C:\Windows\Temp\3858790.exe ()
O4 - HKLM..\Run: [532048.exe] C:\Windows\Temp\532048.exe ()
O4 - HKLM..\Run: [7014433.exe] C:\Users\Wujek Tomasz\AppData\Local\Temp\7014433.exe ()
O4 - HKLM..\Run: [75155388-loader2.exe] C:\Windows\Temp\75155388-loader2.exe ()
O4 - HKLM..\Run: [8324727.exe] C:\Windows\Temp\8324727.exe ()
O4 - HKLM..\Run: [avast] File not found
O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-2-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-22 19:38:46 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0-lnk
[2011-08-22 19:38:46 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0
[2011-08-22 19:03:15 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-08-22 19:03:15 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011-08-22 19:03:15 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-08-22 19:00:19 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011-08-22 18:59:49 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-08-22 18:59:17 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2011-08-22 18:59:17 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-08-22 18:57:18 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011-08-22 18:55:51 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-08-22 18:55:50 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-2-0-lnk
[2011-08-22 18:55:50 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-2-0
[2011-08-22 19:23:43 | 000,000,199 | ---- | M] () -- C:\Windows\info1
[2011-08-22 19:23:42 | 000,137,728 | ---- | M] () -- C:\Windows\systemup.exe
[2011-08-22 19:03:14 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-08-22 19:03:14 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-08-22 19:03:14 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-08-22 19:03:14 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-08-22 19:01:16 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2011-08-22 19:01:10 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
[2011-08-22 18:59:15 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-08-22 18:58:11 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
[2011-08-22 18:57:39 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32_.exe
[2011-08-22 18:57:39 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
[2011-08-22 18:45:18 | 001,216,000 | ---- | M] () -- C:\Windows\services32.exe
[2011-08-22 18:59:16 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[resethosts]
[emptytemp]


Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.
Na górę
browarekhh

Użytkownik
Posty: 4
Rejestracja: 22 sie 2011, 19:54

Facebook wirus "HI"

Post22 sie 2011, 20:36

Wielkie dzięki za szybką reakcję !

Oto logi:

raport z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
OTL nowe logi: Dostępne tylko dla zarejestrowanych użytkowników
Na górę
Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:
Skontaktuj się z djkamil09061991

Facebook wirus "HI"

Post22 sie 2011, 20:39

Wklej jeszcze w OTL
:OTL
[2011-08-22 20:20:57 | 000,000,734 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hîsts

:Commands
[emptytemp]


Po wykonaniu skryptu, jeśli wszystko będzie ok naciśnij w OTL sprzątanie to go usunie i tyle ;)
Na górę
browarekhh

Użytkownik
Posty: 4
Rejestracja: 22 sie 2011, 19:54

Facebook wirus "HI"

Post22 sie 2011, 21:03

Szczerze to nie mam pojęcia jak poznać czy wszystko jest ok :>

Raport z usuwania wypluwa raport + po zapuszczeniu OTL jeszcze raz widzę znowu całą serię zapisów:

Raport z usuwanie: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników

Mógłbyś jeszcze na to zerknąć ? Czy już mogę Sprzątać ? Tak przy okazji widzisz w ogóle jakieś programy u mnie, które są totalnym syfem i lepiej żebym je odinstalował ?
Na górę
Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:
Skontaktuj się z djkamil09061991

Facebook wirus "HI"

Post22 sie 2011, 21:08

Naciśnij w OTL sprzątanie, z tego co widze masz Malwarebytes wykonaj pełne skanowanie usuń co znajdzie, wtedy będzie napewno czysto :)
Na górę
browarekhh

Użytkownik
Posty: 4
Rejestracja: 22 sie 2011, 19:54

Facebook wirus "HI"

Post22 sie 2011, 21:10

pusćiłem sprzątanie - mam nadzieję, że już wszystko będzie ok :)

Malwarebytes oczywiście zainstalowany po szkodzie ;)

Tak BTW - co to w ogóle za wirus jest, jakie szkody mógł zrobić na kompie ?

Dzięki wielkie za pomoc i szybkie ogarnięcie tematu !
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Facebook wirus "HI"

Post22 sie 2011, 21:36

Szkody już sam wiesz jakie zrobił, zablokował FB.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość