Wirus FB - IMG-UD7365E.jpg.exe

Post17 lis 2011, 18:45

Witam
Jak zwykle coś z facebooka , chyba niebawem usunę tam konto .
Plik usunąłem już, ale wcześniej go uruchomiłem niestety, dlatego postanowiłem wstawić logi.
Czy ktoś wie coś więcej na temat tej aplikacji ? Czy ona tylko spamuje ?
Czy zmienia nazwę i miejsce lokalizacji po odpaleniu ? Jakiego rodzaju jest to śmieć ?

Avira w nim nic nie widzi !
Przy próbie napisania do kogoś na czacie na facebooku aplikacja oczywiście wysyła link na czat i nawet na skype !

Logi z OTL :
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Na razie wywaliłem z dysku D ( mój systemowy ) plik autorun.inf , avira go blokowała w momencie gdy chciałem
napisać do kogoś na facebooku.

Post17 lis 2011, 19:40

Na temat tej wersji infekcji z Facebooka niewiele jeszcze wiadomo, (w przeciwieństwie do poprzedniej wersji).

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - File not found [Auto | Stopped] -- -- (Updater Service for StartNow Toolbar)
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT1060933&SearchSource=13"
[2011-11-09 14:58:36 | 000,000,923 | ---- | M] () -- D:\Documents and Settings\Areecki\Dane aplikacji\Mozilla\Firefox\Profiles\fpycvurb.default\searchplugins\conduit.xml
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - File not found
O4 - HKLM..\Run: [TkBellExe] File not found
O4 - HKU\S-1-5-21-796845957-261478967-1801674531-1003..\Run: [Mngoga] D:\Documents and Settings\Areecki\Dane aplikacji\Mngoga.exe ( )
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_24)
[2011-11-13 16:46:37 | 000,000,000 | ---D | C] -- D:\Documents and Settings\Areecki\Ustawienia lokalne\Dane aplikacji\Conduit
[2011-11-17 18:03:25 | 000,200,704 | ---- | M] ( ) -- D:\Documents and Settings\Areecki\Dane aplikacji\Mngoga.exe
[2011-11-17 18:01:27 | 000,217,088 | ---- | M] ( ) -- D:\Documents and Settings\Areecki\Dane aplikacji\15A.exe
[2011-11-17 18:01:21 | 000,424,648 | ---- | M] () -- D:\Documents and Settings\Areecki\Dane aplikacji\159.exe
[2011-11-17 18:01:23 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Areecki\Dane aplikacji\kakao3

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Zainstaluj bezpieczniejszą wersję Javy >Dostępne tylko dla zarejestrowanych użytkowników

F.

Post17 lis 2011, 23:28

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Którą dokładnie javę wybrać ?
Dostępne tylko dla zarejestrowanych użytkowników
Windows x86 ~ 79,46 mb ?

Wirus dalej działa
Dostępne tylko dla zarejestrowanych użytkowników
Może to coś pomoże...

Post17 lis 2011, 23:40

Java >w podanym przeze mnie linku kliknij na "JRE Download", potem zaznacz w okienku "Accept License Agreement", potem wybierz "Windows x86 19.43 MB jre-7u1-windows-i586-s.exe" , itd.

Wirus dalej działa

No to widzisz lepiej niż ja, bo ja w nowym logu nie widzę żadnej infekcji.

Użyj jeszcze MBAM >http://www.hotfix.pl/obsluga-programu-malwarebytes-anti-malware-a55.htm
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

F.

Post17 lis 2011, 23:44

A mogę zapytać który plik trzeba usunąć by usunąć tego wirusa ?
Bo to mi wysłało samo do znajomych linka i jak ktoś wszedł w to......

Post18 lis 2011, 00:00

wg mnie, to wszystko jest już usunięte.
Teraz jedyna nadzieja w MBAM, - może wykryje coś niewidzialnego w logach.

F.

Post18 lis 2011, 00:14

Zainstalowałem Jave, może uaktywniły się wiadomości z wcześniejszych godzin.
Na razie jest spokój, 46 tysięcy plików "na razie" w malvare i czysto...
Ostatnio coś modne są te wirusy na facebooku .
62 tysiące plików i jeszcze skanuje - zainfekowanych 2 .

Post18 lis 2011, 06:35

D:\Documents and Settings\Areecki\Start Menu

Ten folder ma dokładnie tę samą datę i godzinę, co infekcja.
Systemowy folder ma odwrotną nazwę: Menu Start.
Zastanawiam się, czy to folder infekcji, czy może infekcja zmieniła nazwę folderowi Systemowemu.
Zajrzyj, co jest w tym folderze.

F.

Post18 lis 2011, 11:05

Nic tam nie ma , usunąłem ten folder , swoją drogą ciekawe spostrzeżenie

Wyniki z Malware
Dostępne tylko dla zarejestrowanych użytkowników

Jaki polecasz program antywirusowy pod tylko 1GB ram, czyli pod tego PC ?
Zawsze używałem Aviry ale ostatnio słyszę o niej kiepskie opinie.

Post18 lis 2011, 11:52

D:\documents and settings\Areecki\start menu\Programs\Startup\newmoon17.exe

To mnie zaskoczyło. Dobrze, że użyłeś MBAM.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Jaki polecasz program antywirusowy pod tylko 1GB ram

Tak, to niezbyt wiele RAM, trudno znaleźć antivirusa mogącego pracować a jednocześnie nie mulącego.
Ja polecam Avasta, ale wcale nie musisz kierować się moim wyborem.

F.

Post18 lis 2011, 12:12

Ok, dzięki wielkie za pomoc .
Wiadomo już coś ciekawego na temat tego wirusa ?

Post18 lis 2011, 22:22

Areecki pisze:Jaki polecasz program antywirusowy pod tylko 1GB ram

A ja polecam Linuksa.

Instalujesz i problem z głowy.