Witam wszystkich.
Od niedawna bardzo zaczął mi się mulić komputer...
Po skanie antywirusem wykryłem że jest za to odpowiedzialny plik ufa.exe pochodzący z Facebooka.
Czy wiecie jak go usunąć ?
Ufa.exe - wirus z Facebooka ?
-
- Posty: 20
- Rejestracja: 13 lut 2011, 13:41
Ufa.exe - wirus z Facebooka ?
Ostatnio zmieniony 26 lis 2011, 22:49 przez XMan, łącznie zmieniany 1 raz.
Powód: zmieniłem tytuł tematu, poprawiłem pisownię, dodałem polskie znaki diakrytyczne.
Powód: zmieniłem tytuł tematu, poprawiłem pisownię, dodałem polskie znaki diakrytyczne.
- greh
- Posty: 2879
- Rejestracja: 24 sty 2009, 17:34
- Lokalizacja: Racibórz
- Kontaktowanie:
Ufa.exe - wirus z Facebooka ?
- Pobierz OTL z jednego z tych linków:
- Dostępne tylko dla zarejestrowanych użytkowników
- Dostępne tylko dla zarejestrowanych użytkowników
- Dostępne tylko dla zarejestrowanych użytkowników - Uruchom narzędzie dwuklikiem i ustaw jak na tym obrazku: Dostępne tylko dla zarejestrowanych użytkowników
- Uruchom skan przyciskiem Skanuj/Scan.
- Po zakończonym skanie wklej obydwa raporty na jedną z tych stron: Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników lub Dostępne tylko dla zarejestrowanych użytkowników,
a tutaj wstaw linki do obydwu wklejek.
Dostępne tylko dla zarejestrowanych użytkowników
Zignorowanie PW od moda powoduje chorobę, zwaną żółtaczką.
Ludzie! Piszcie po polsku. Jest różnica czy robisz komuś ŁASKĘ, czy LASKE.
Zignorowanie PW od moda powoduje chorobę, zwaną żółtaczką.
Ludzie! Piszcie po polsku. Jest różnica czy robisz komuś ŁASKĘ, czy LASKE.
- XMan
- Posty: 13385
- Rejestracja: 30 lis 2008, 00:40
Ufa.exe - wirus z Facebooka ?
Przeskanuj komputer programem Malwarebytes Anti-Malware.
Pełne skanowanie.
Obsługa programu Malwarebytes' Anti-Malware.
Po skanowaniu wrzuć z niego logi.
Dodatkowo logi zgodnie z tym regulaminem :
bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html
Tak jak pisze p/w @greh.
Czekaj za odpowiedzią fachowców z działu Bezpieczeństwo.
Pełne skanowanie.
Obsługa programu Malwarebytes' Anti-Malware.
Po skanowaniu wrzuć z niego logi.
Dodatkowo logi zgodnie z tym regulaminem :
bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html
Tak jak pisze p/w @greh.
Czekaj za odpowiedzią fachowców z działu Bezpieczeństwo.
-
- Posty: 20
- Rejestracja: 13 lut 2011, 13:41
Ufa.exe - wirus z Facebooka ?
TO są komunikaty jakie OTL wskazał po skanie prosze
Otl.txt Dostępne tylko dla zarejestrowanych użytkowników
extras.txt Dostępne tylko dla zarejestrowanych użytkowników
Otl.txt Dostępne tylko dla zarejestrowanych użytkowników
extras.txt Dostępne tylko dla zarejestrowanych użytkowników
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Ufa.exe - wirus z Facebooka ?
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
F.
:OTL
MOD - [2011-11-14 16:51:01 | 000,347,648 | ---- | M] () -- C:\WINDOWS\update.5.0\2817.exe
MOD - [2011-11-02 18:17:19 | 000,257,024 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
MOD - [2011-10-30 16:03:28 | 001,942,528 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
SRV - [2011-11-14 16:51:01 | 000,347,648 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\2817.exe -- (srvbtcclient)
SRV - [2011-11-02 18:17:19 | 000,257,024 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-10-30 16:03:28 | 001,942,528 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-10-30 15:59:41 | 001,109,504 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2342185&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2342185&SearchSource=2&q="
[2011-10-05 10:50:26 | 000,000,927 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\3yirhp9c.default\searchplugins\conduit.xml
O4 - HKLM..\Run: [6281243.exe] C:\WINDOWS\TEMP\6281243.exe ()
O4 - HKLM..\Run: [7730934.exe] C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\7730934.exe ()
O4 - HKLM..\Run: [8884491.exe] C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\8884491.exe ()
O4 - HKLM..\Run: [8924644.exe] C:\WINDOWS\TEMP\8924644.exe ()
O4 - HKLM..\Run: [9949935.exe] C:\WINDOWS\TEMP\9949935.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe (Cronosoft)
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Admin\fswagz.exe) -C:\Documents and Settings\Admin\fswagz.exe ()
O31 - SafeBoot: AlternateShell - services32.exe
[2011-11-26 23:11:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-11-26 23:10:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-11-26 23:10:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-10-30 16:08:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-10-30 16:08:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-10-30 16:08:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-10-30 16:04:12 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-10-30 16:03:30 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-10-30 16:00:06 | 001,109,504 | ---- | C] (Cronosoft) -- C:\WINDOWS\services32.exe
[2011-10-30 16:00:04 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-11-27 10:36:49 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-11-02 18:17:19 | 000,257,024 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
[2011-11-02 18:17:19 | 000,257,024 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011-10-30 16:08:49 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-10-30 16:08:40 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-10-30 16:08:14 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-10-30 16:03:30 | 000,000,136 | ---- | C] () -- C:\WINDOWS\info1
[2011-10-30 16:03:22 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-10-30 16:03:20 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-10-30 16:03:20 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-10-30 16:01:24 | 000,257,024 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
[2011-10-30 16:01:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011-10-30 16:00:58 | 000,257,024 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-
:Commands
[emptyflash]
[emptytemp]
[resethosts]
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
F.
-
- Posty: 20
- Rejestracja: 13 lut 2011, 13:41
Ufa.exe - wirus z Facebooka ?
tu jeszcze Log z programu Malwarebytes Anti-Malware
Dostępne tylko dla zarejestrowanych użytkowników
EDIT:
rapotr otl.txt(2)
Dostępne tylko dla zarejestrowanych użytkowników
raport usunięcia:
Dostępne tylko dla zarejestrowanych użytkowników
zgodnie z radą filutka ; )
Dostępne tylko dla zarejestrowanych użytkowników
EDIT:
rapotr otl.txt(2)
Dostępne tylko dla zarejestrowanych użytkowników
raport usunięcia:
Dostępne tylko dla zarejestrowanych użytkowników
zgodnie z radą filutka ; )
- kominekl
- Posty: 5855
- Rejestracja: 27 lis 2011, 14:25
- Kontaktowanie:
Ufa.exe - wirus z Facebooka ?
Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (podaj o OTL.txt i Extras.txt), gdyż w pliku Extras.txt zawarty jest zapis z -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List, który jest potrzebny).
:OTL
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
:Files
C:\Program Files\Google\Update
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"=-
[HKEY_USERS\S-1-5-21-1060284298-1993962763-842925246-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus SX200 Series"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (podaj o OTL.txt i Extras.txt), gdyż w pliku Extras.txt zawarty jest zapis z -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List, który jest potrzebny).
-
- Posty: 20
- Rejestracja: 13 lut 2011, 13:41
Ufa.exe - wirus z Facebooka ?
extras teraz sie nie pokazało
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
- kominekl
- Posty: 5855
- Rejestracja: 27 lis 2011, 14:25
- Kontaktowanie:
Ufa.exe - wirus z Facebooka ?
Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL, wykonane dokładnie wedle tej instrukcji -> http://www.hotfix.pl/obsluga-programu-otl-a143.htm.
:OTL
SRV - File not found [On_Demand | Stopped] -- -- (gupdatem) Usługa Google Update (gupdatem)
SRV - File not found [Auto | Stopped] -- -- (gupdate) Usługa Google Update (gupdate)
FF - prefs.js..browser.search.defaultthis.engineName: "Hero Fighter Customized Web Search"
:Services
gupdatem
gupdate
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL, wykonane dokładnie wedle tej instrukcji -> http://www.hotfix.pl/obsluga-programu-otl-a143.htm.
-
- Posty: 20
- Rejestracja: 13 lut 2011, 13:41
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Ufa.exe - wirus z Facebooka ?
Wg mnie - jest OK.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
F.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
F.
- kominekl
- Posty: 5855
- Rejestracja: 27 lis 2011, 14:25
- Kontaktowanie:
Ufa.exe - wirus z Facebooka ?
filutka78 pisze:Wg mnie - jest OK.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
F.
Według mnie właściwie też

Wejdź jeszcze do klucza -> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] i odnajdź tam oraz usuń wpis -> "C:\Documents and Settings\Admin\Moje dokumenty\Pobieranie\Flash-Player.exe".
Wykonaj czynności końcowe.
Zaktualizuj IE do najnowszej wersji (nawet, jeśli go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.
Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję programu do odczytu .PDF -> Adobe Reader 9.4.6 - Polish i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.
Odinstaluj starą wersję Java`y -> Java(TM) 6 Update 29 i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.
To wszystko

Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Bing [Bot] i 4 gości