Wirus z Facebooka (hi. how are you)

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
issabel20

Użytkownik
Posty: 6
Rejestracja: 28 lip 2011, 10:03

Wirus z Facebooka (hi. how are you)

Post28 lip 2011, 11:46

Niestety mam tego wirusa z Facebooka. Jak można się go pozbyć?? Czy ktoś jest w stanie mi pomóc bo jak kompletnie nie ogarniam takich rzeczy :)
Ostatnio zmieniony 28 lip 2011, 11:46 przez djarta, łącznie zmieniany 1 raz.
Powód: Temat przesuwam do Bezpieczeństwa
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Wirus z Facebooka (hi. how are you)

Post28 lip 2011, 11:47

Zapoznaj się z Regulaminem działu Bezpieczeństwo i daj odpowiednie wg. jego logi.
Na górę
issabel20

Użytkownik
Posty: 6
Rejestracja: 28 lip 2011, 10:03

Wirus z Facebooka (hi. how are you)

Post28 lip 2011, 16:05

Więc moja sytuacja wygląda następująco: Na czacie na FB dostałam wiadomość od znajomego (hi. how are you. bla bla bla, wiadomo co było dalej). Z mojego konta na FB były wysyłane wiadomości o tej samej treści do innych moich znajomych, a ja nie mogłam się na nie zalogować, pokazywało eis coś takiego: Dostępne tylko dla zarejestrowanych użytkowników
Po jakimś czasie pojawiły się okienka do logowania i spróbowałam się zalogować jednak nie dało rady. I wtedy Facebook zareagował ;) nie wiem jak to nazwać ale włączyły się jakieś zabezpieczenia. Najpierw zweryfikowali moje konto, następnie pojawił się link do programu antywirusowego (McAfee Scan And Repair Release) pobrałam go, przeskanowałam komputer, potem przywrócili mi konto i wszystko było ok. Ale po kilku godzinach dowiedziałam się ze z mojego konta znowu wysyłana jest ta wiadomość, spróbowałam sie zalogować, nie dało się. Jest napisane że "nie udało się nawiązać połączenia". Trochę poczytałam na forach co robić i radzili aby skorzystać z programu Malwarebytes Anti-Malware więc to zrobiłam Dostępne tylko dla zarejestrowanych użytkowników ( tutaj log). Jednak to nic nie dało, nadal nie mogę się zalogować na swoje konto. Poza tym komputer dział raczej normalnie, nie zauważam specjalnego spowolnienia.
Za chwilę zamieszczę logi

-- 28 lip 2011, 16:04 --

logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

logii z GMER
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

tego pierwszego programu nie udało mi się pobrać ;/

-- 28 lip 2011, 16:05 --

Liczę na pomoc bo nie mam pojęcia co z tym dalej robić :)
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Wirus z Facebooka (hi. how are you)

Post28 lip 2011, 16:40

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O4 - HKLM..\Run: [avgnt] File not found
O4 - HKLM..\Run: [Cmaudio] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKU\S-1-5-21-1645522239-57989841-725345543-500..\Run: [ALLUpdate] File not found
O4 - HKU\S-1-5-21-1645522239-57989841-725345543-500..\Run: [DU Meter] File not found
O2 - BHO: (no name) - {F97DA966-F09D-4cab-BF29-75A0026986EA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKU\S-1-5-21-1645522239-57989841-725345543-500\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
IE - HKU\S-1-5-21-1645522239-57989841-725345543-500\..\URLSearchHook: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Reg Error: Key error. File not found
SRV - File not found [On_Demand | Stopped] -- -- (iPod Service)
[2011-07-26 21:03:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-07-26 21:03:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-07-26 21:02:21 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-07-26 20:56:53 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-07-26 20:54:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-07-26 20:52:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-07-26 20:52:30 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0
[2011-07-26 20:52:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0-lnk
[2011-07-27 12:15:02 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011-07-27 12:07:24 | 000,000,156 | ---- | M] () -- C:\WINDOWS\info1
[2011-07-26 21:03:30 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-07-26 21:03:30 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-07-26 21:03:30 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-07-26 21:03:28 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-07-26 21:01:32 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-07-26 20:55:32 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-07-17 03:24:22 | 004,636,907 | ---- | M] () -- C:\WINDOWS\geoiplist

:Files
C:\Documents and Settings\Administrator\Pulpit\Flash-Player.exe"
Recycled /alldrives

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Administrator\Pulpit\Flash-Player.exe" =-

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

3. Następnie usuń poszkodowanego antywirusa posługując się awaryjnym firmowym deinstalatoramem:
Dostępne tylko dla zarejestrowanych użytkowników

4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

Czyli końcowo pokazujesz:
  • Raport z usuwania OTL (po restarcie),
  • Raport z czyszczenia Ad-Remover'em,
  • Nowe logi z OTL.
Na górę
issabel20

Użytkownik
Posty: 6
Rejestracja: 28 lip 2011, 10:03

Wirus z Facebooka (hi. how are you)

Post28 lip 2011, 18:05

Raport z usuwania OTL Dostępne tylko dla zarejestrowanych użytkowników
Raport z czyszczenia Ad-Remover'em Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi z OTL Dostępne tylko dla zarejestrowanych użytkowników

pojawia mi sie tylko jeden log z OTL
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Wirus z Facebooka (hi. how are you)

Post28 lip 2011, 18:55

Dalej nie widzę przeinstalowanej Aviry.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O31 - SafeBoot: AlternateShell - services32.exe

:Files
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\0XA069D1.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\0XA069D1.DEFAULT\EXTENSIONS\ARTUR.DUBOVOY@GMAIL.COM.XPI
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\0XA069D1.DEFAULT\EXTENSIONS\STATUS4EVAR@CALIGONSTUDIOS.COM.XPI
C:\WINDOWS\VXUninstall.exe

:Commands
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Po restarcie pokaż raport z usuwania.
Na górę
issabel20

Użytkownik
Posty: 6
Rejestracja: 28 lip 2011, 10:03

Wirus z Facebooka (hi. how are you)

Post28 lip 2011, 19:37

Dostępne tylko dla zarejestrowanych użytkowników

Zapomniałam wcześniej napisać, że usunęłam Avirę wchodząc w panel sterownia/dodaj lub usuń programy. Teraz już jej tam nie widać
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Wirus z Facebooka (hi. how are you)

Post29 lip 2011, 10:02

Wszystko zostało pomyślnie usunięte.
Jeżeli Avira została przeinstalowana i działa ona prawidłowo to czas już przejść do kroków końcowych.

1. Uruchom OTL i wciśnij Sprzątanie.

2. Uruchom Ad-Remover i wciśnij UNINSTALL.

3. Aktualizacja softu/zabezpieczeń:
Internet Explorer (Version = 6.0.2900.5512)
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)


4. Do wyczyszczenia punkty przywracania systemu: Dostępne tylko dla zarejestrowanych użytkowników

5. Zalecam ponowne PEŁNE SKANOWANIE SYSTEMU za pomocą MalwareBytes. Przed skanowaniem zaaktualizuj ręcznie bazę wirusów. Usuń to co znajdzie i wklej raport końcowy po czyszczeniu.
Na górę
issabel20

Użytkownik
Posty: 6
Rejestracja: 28 lip 2011, 10:03

Wirus z Facebooka (hi. how are you)

Post30 lip 2011, 19:09

Dostępne tylko dla zarejestrowanych użytkowników
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Wirus z Facebooka (hi. how are you)

Post30 lip 2011, 19:16

MBAM powinnien usunąć to co znalazł.
To wszystko. Temat do zamknięcia?
Na górę
issabel20

Użytkownik
Posty: 6
Rejestracja: 28 lip 2011, 10:03

Wirus z Facebooka (hi. how are you)

Post31 lip 2011, 14:02

Jeżeli już wszystko jest ok to tak :)
Bardzo dziękuję za pomoc :)
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości