WIRUS z facebooka hi.how are you?

Post27 lip 2011, 19:22

Ciekawośc to jednak pierwszy stopień do piekła- mam tego wirusa z facebooka o ktorym coraz głośniej. Co robić? czy da sie go jakos odinstalowac?

Post27 lip 2011, 20:04

Każdy przypadek infekcji ma być rozpatrywany w osobnym wątku. Ten temat już zgłosiłem do przeniesienia, więc nie zakładaj nowego.

Pobierz OTL z jednego z tych linków:
- Dostępne tylko dla zarejestrowanych użytkowników
- Dostępne tylko dla zarejestrowanych użytkowników
Uruchom narzędzie dwuklikiem i ustaw jak na tym obrazku: Dostępne tylko dla zarejestrowanych użytkowników
Uruchom skan przyciskiem Skanuj/Scan.
Po zakończonym skanie wklej obydwa raporty na jedną z tych stron: Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników lub Dostępne tylko dla zarejestrowanych użytkowników,
a tutaj wstaw linki do obydwu wklejek.

Post27 lip 2011, 20:46

deFco247 pisze:Każdy przypadek infekcji ma być rozpatrywany w osobnym wątku.

Nie zawsze tak było.

// Było, było
// Przenoszę do Bezpieczeństwa.
// djarta

Post27 lip 2011, 21:17

Dostępne tylko dla zarejestrowanych użytkowników

-- 27 lip 2011, 21:14 --

wkleiłam dwa na jednej stronie

-- 27 lip 2011, 21:17 --

tu są osobno:
Extras.txt
Dostępne tylko dla zarejestrowanych użytkowników
i OTL.txt
Dostępne tylko dla zarejestrowanych użytkowników

Post28 lip 2011, 11:46

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O4 - HKU\S-1-5-21-790525478-1645522239-1417001333-500..\Run: [ares] File not found
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O4 - HKLM..\Run: [2459163.exe] File not found
O4 - HKLM..\Run: [2931745.exe] File not found
O4 - HKLM..\Run: [4941667.exe] File not found
O4 - HKLM..\Run: [8612793-loader2.exe] File not found
O4 - HKLM..\Run: [8642805.exe] File not found
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
[2011-07-14 22:20:49 | 000,000,000 | ---D | M] (Zynga Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\oxfglnvf.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
SRV - File not found [On_Demand | Stopped] -- -- (ALG)
[2011-07-23 21:54:45 | 000,000,180 | ---- | M] () -- C:\WINDOWS\info1
[2011-07-23 21:54:43 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-07-23 21:54:43 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-07-23 21:54:43 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-07-23 21:54:42 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-07-23 21:54:37 | 000,114,176 | ---- | M] () -- C:\WINDOWS\systemup.exe
[2011-07-23 21:52:23 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
[2011-07-23 21:50:16 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-07-23 21:45:04 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-07-23 21:44:33 | 000,247,296 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
[2011-07-23 21:44:33 | 000,247,296 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011-07-23 21:32:06 | 001,185,792 | ---- | M] () -- C:\WINDOWS\services32.exe
[2011-07-17 03:24:20 | 004,636,907 | ---- | M] () -- C:\WINDOWS\geoiplist
[2011-07-23 21:41:06 | 000,001,050 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011-07-23 21:41:05 | 000,001,046 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
O31 - SafeBoot: AlternateShell - services32.exe

:Files
C:\WINDOWS\update.2
C:\WINDOWS\update.1
C:\WINDOWS\update.tray-7-0
C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\Flash-Player.exe"

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\Flash-Player.exe" =-
"C:\WINDOWS\update.1\svchost.exe" =-
"C:\WINDOWS\update.tray-7-0\svchost.exe" =-
"C:\WINDOWS\update.2\svchost.exe" =-

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. W aplecie panelu sterowania (Dodaj lub usuń programy) do deinstalacji śmieć: AKSoftware

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Podłącz wszystkie urządzenia przenośne (pendrive / komórki / mp3 / dyski przenośne) i użyj USBFix z opcji DELETION.
Pokaż raport z usuwania (wszystko opisane jest w poradniku)!

5. Następnie usuń poszkodowanego antywirusa posługując się awaryjnymi firmowym deinstalatorem Dostępne tylko dla zarejestrowanych użytkowników.

6. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

Czyli końcowo pokazujesz:
Raport z usuwania OTL (po restarcie),
Raport z czyszczenia Ad-Remover'em,
Raport z czyszczenia USBFixem,
Nowe logi z OTL.

Post02 sie 2011, 13:14

po krotkim wypadzie jestem znow.
i tak, to jest raport po restarcie:
Dostępne tylko dla zarejestrowanych użytkowników

-- 02 sie 2011, 12:09 --

raport z ad-remover:
Dostępne tylko dla zarejestrowanych użytkowników

-- 02 sie 2011, 13:01 --

raport z usbfix:
Dostępne tylko dla zarejestrowanych użytkowników

-- 02 sie 2011, 13:13 --

nowe ligi z OTL.Txt:
Dostępne tylko dla zarejestrowanych użytkowników
i Extras.txt:
Dostępne tylko dla zarejestrowanych użytkowników

-- 02 sie 2011, 13:14 --

Dobra, Wszystko zrobione. Co teraz?

Post02 sie 2011, 13:36

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O34 - HKLM BootExecute: (aswBoot.exe /A:"*" /L:"1045" /KBD:2 /dir:"C:\Program Files\AVAST Software\Avast") - File not found

Klik w Wykonaj Skrypt.

2. W OTL wciśnij przycisk Sprzątanie.

3. Uruchom Ad-Remover i wciśnij UNINSTALL.

4. Uruchom USBFix i wciśnij UNINSTALL.

5.

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 14

Zweryfikuj aktualną wersję Flash poprzez otworzenie strony Dostępne tylko dla zarejestrowanych użytkowników w przeglądarkach Firefox i Internet Explorer. Najnowsza wersja do instalacji to Dostępne tylko dla zarejestrowanych użytkowników
Aktualizacja liska -> Dostępne tylko dla zarejestrowanych użytkowników
Starszą Java odinstaluj i wstaw najnowszą Dostępne tylko dla zarejestrowanych użytkowników(Download JRE > wybór jednego z instalatorów o nazwie "Windows x86...").
Adobe Shockwave jest już w wersji Dostępne tylko dla zarejestrowanych użytkowników.

6. Do wyczyszczenia punkty przywracania systemu: Dostępne tylko dla zarejestrowanych użytkowników

7. Zalecam PEŁNE SKANOWANIE SYSTEMU za pomocą MalwareBytes Anti-Malware. Przed skanowaniem zaaktualizuj ręcznie bazę wirusów. Usuń to co znajdzie i wklej raport końcowy po czyszczeniu.

Post02 sie 2011, 16:02

ok, dużo tego.
zaczynam.

-- 02 sie 2011, 14:54 --

ok, dużo tego.
zaczynam.

-- 02 sie 2011, 16:01 --

dobra, chyba wszystko juz zrobione.
raport po skanowaniu:
Dostępne tylko dla zarejestrowanych użytkowników

-- 02 sie 2011, 16:02 --

wykryło mi kilka plików z trojanem

Post02 sie 2011, 20:17

Folder update.5.0 i update.tray-7-0-lnk do kasacji, obydwa znajdują się w katalogu Windows'a.
To wszystko, temat do zamknięcia?

Post03 sie 2011, 18:07

tak, dzieki wielkie. temat zamkniety