Ufa.exe - wirus z Facebooka ?

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
grzyman12

Użytkownik
Posty: 20
Rejestracja: 13 lut 2011, 13:41

Ufa.exe - wirus z Facebooka ?

Post26 lis 2011, 22:49

Witam wszystkich.
Od niedawna bardzo zaczął mi się mulić komputer...
Po skanie antywirusem wykryłem że jest za to odpowiedzialny plik ufa.exe pochodzący z Facebooka.
Czy wiecie jak go usunąć ?
Ostatnio zmieniony 26 lis 2011, 22:49 przez XMan, łącznie zmieniany 1 raz.
Powód: zmieniłem tytuł tematu, poprawiłem pisownię, dodałem polskie znaki diakrytyczne.

Awatar użytkownika
greh

Globalny Moderator
Posty: 2879
Rejestracja: 24 sty 2009, 17:34
Lokalizacja: Racibórz
Kontaktowanie:

Ufa.exe - wirus z Facebooka ?

Post26 lis 2011, 22:51

Dostępne tylko dla zarejestrowanych użytkowników

Zignorowanie PW od moda powoduje chorobę, zwaną żółtaczką.
Ludzie! Piszcie po polsku. Jest różnica czy robisz komuś ŁASKĘ, czy LASKE.

Awatar użytkownika
XMan

Globalny Moderator
Posty: 13385
Rejestracja: 30 lis 2008, 00:40

Ufa.exe - wirus z Facebooka ?

Post26 lis 2011, 22:54

Przeskanuj komputer programem Malwarebytes Anti-Malware.
Pełne skanowanie.
Obsługa programu Malwarebytes' Anti-Malware.
Po skanowaniu wrzuć z niego logi.
Dodatkowo logi zgodnie z tym regulaminem :
bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html
Tak jak pisze p/w @greh.
Czekaj za odpowiedzią fachowców z działu Bezpieczeństwo.
Kto pyta - nie błądzi, kto szuka - znajduje.
Obrazek
Dostępne tylko dla zarejestrowanych użytkowników

grzyman12

Użytkownik
Posty: 20
Rejestracja: 13 lut 2011, 13:41

Ufa.exe - wirus z Facebooka ?

Post27 lis 2011, 12:58

TO są komunikaty jakie OTL wskazał po skanie prosze
Otl.txt Dostępne tylko dla zarejestrowanych użytkowników
extras.txt Dostępne tylko dla zarejestrowanych użytkowników

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Ufa.exe - wirus z Facebooka ?

Post27 lis 2011, 13:10

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
MOD - [2011-11-14 16:51:01 | 000,347,648 | ---- | M] () -- C:\WINDOWS\update.5.0\2817.exe
MOD - [2011-11-02 18:17:19 | 000,257,024 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
MOD - [2011-10-30 16:03:28 | 001,942,528 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
SRV - [2011-11-14 16:51:01 | 000,347,648 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\2817.exe -- (srvbtcclient)
SRV - [2011-11-02 18:17:19 | 000,257,024 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-10-30 16:03:28 | 001,942,528 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-10-30 15:59:41 | 001,109,504 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2342185&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2342185&SearchSource=2&q="
[2011-10-05 10:50:26 | 000,000,927 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\3yirhp9c.default\searchplugins\conduit.xml
O4 - HKLM..\Run: [6281243.exe] C:\WINDOWS\TEMP\6281243.exe ()
O4 - HKLM..\Run: [7730934.exe] C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\7730934.exe ()
O4 - HKLM..\Run: [8884491.exe] C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\8884491.exe ()
O4 - HKLM..\Run: [8924644.exe] C:\WINDOWS\TEMP\8924644.exe ()
O4 - HKLM..\Run: [9949935.exe] C:\WINDOWS\TEMP\9949935.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe (Cronosoft)
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Admin\fswagz.exe) -C:\Documents and Settings\Admin\fswagz.exe ()
O31 - SafeBoot: AlternateShell - services32.exe
[2011-11-26 23:11:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-11-26 23:10:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-11-26 23:10:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-10-30 16:08:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-10-30 16:08:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-10-30 16:08:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-10-30 16:04:12 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-10-30 16:03:30 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-10-30 16:00:06 | 001,109,504 | ---- | C] (Cronosoft) -- C:\WINDOWS\services32.exe
[2011-10-30 16:00:04 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-11-27 10:36:49 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-11-02 18:17:19 | 000,257,024 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
[2011-11-02 18:17:19 | 000,257,024 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011-10-30 16:08:49 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-10-30 16:08:40 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-10-30 16:08:14 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-10-30 16:03:30 | 000,000,136 | ---- | C] () -- C:\WINDOWS\info1
[2011-10-30 16:03:22 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-10-30 16:03:20 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-10-30 16:03:20 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-10-30 16:01:24 | 000,257,024 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
[2011-10-30 16:01:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011-10-30 16:00:58 | 000,257,024 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]


Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

grzyman12

Użytkownik
Posty: 20
Rejestracja: 13 lut 2011, 13:41

Ufa.exe - wirus z Facebooka ?

Post27 lis 2011, 14:19

tu jeszcze Log z programu Malwarebytes Anti-Malware

Dostępne tylko dla zarejestrowanych użytkowników

EDIT:
rapotr otl.txt(2)
Dostępne tylko dla zarejestrowanych użytkowników
raport usunięcia:
Dostępne tylko dla zarejestrowanych użytkowników

zgodnie z radą filutka ; )

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Ufa.exe - wirus z Facebooka ?

Post27 lis 2011, 14:30

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)

:Files
C:\Program Files\Google\Update
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"=-
[HKEY_USERS\S-1-5-21-1060284298-1993962763-842925246-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus SX200 Series"=-

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (podaj o OTL.txt i Extras.txt), gdyż w pliku Extras.txt zawarty jest zapis z -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List, który jest potrzebny).

grzyman12

Użytkownik
Posty: 20
Rejestracja: 13 lut 2011, 13:41

Ufa.exe - wirus z Facebooka ?

Post27 lis 2011, 16:00


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Ufa.exe - wirus z Facebooka ?

Post27 lis 2011, 16:23

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [On_Demand | Stopped] -- -- (gupdatem) Usługa Google Update (gupdatem)
SRV - File not found [Auto | Stopped] -- -- (gupdate) Usługa Google Update (gupdate)
FF - prefs.js..browser.search.defaultthis.engineName: "Hero Fighter Customized Web Search"

:Services
gupdatem
gupdate

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL, wykonane dokładnie wedle tej instrukcji -> http://www.hotfix.pl/obsluga-programu-otl-a143.htm.


filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Ufa.exe - wirus z Facebooka ?

Post27 lis 2011, 18:31

Wg mnie - jest OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Ufa.exe - wirus z Facebooka ?

Post30 lis 2011, 19:51

filutka78 pisze:Wg mnie - jest OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.


Według mnie właściwie też ;) .

Wejdź jeszcze do klucza -> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] i odnajdź tam oraz usuń wpis -> "C:\Documents and Settings\Admin\Moje dokumenty\Pobieranie\Flash-Player.exe".

Wykonaj czynności końcowe.

Zaktualizuj IE do najnowszej wersji (nawet, jeśli go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.
Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję programu do odczytu .PDF -> Adobe Reader 9.4.6 - Polish i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.
Odinstaluj starą wersję Java`y -> Java(TM) 6 Update 29 i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.

To wszystko ;) .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 4 gości