Wirus z Facebooka "HI, wanna laugh"

Post24 sie 2011, 09:57

A wiec mam problem z tym wirusem.

OTL.exe
Dostępne tylko dla zarejestrowanych użytkowników

Extras.exe
Dostępne tylko dla zarejestrowanych użytkowników

Post24 sie 2011, 11:13

EDIT:
Teoretycznie możesz wykonać te poniższe zalecenia, ale w logu widzę wpisy, które kojarzą mi się z Rootkitem "ZeroAcces", a to znaaaaaacznie gorsze niż infekcja z Facebooka.
Tego Rootkita możnaby usunąć, ale ja nie potrafiłabym podać naprawy tego, co ten Rootkit zniszczył w Systemie.
Jeśli okaże się, że jest ten Rootkit, to odeślę Cię na inne Forum, gdzie @Picasso poda Ci, co i jak naprawić.
Tak więc najpierw sprawdzimy, czy jest ten Rootkit:
DaJj log z Webroot AntiZeroAccess >Dostępne tylko dla zarejestrowanych użytkowników

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011/08/23 16:56:33 | 000,640,512 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
MOD - [2011/08/22 17:19:32 | 000,359,936 | ---- | M] () -- C:\WINDOWS\update.5.0\svchost.exe
MOD - [2011/08/22 17:19:01 | 000,142,336 | ---- | M] () -- C:\WINDOWS\systemup.exe
MOD - [2011/08/19 15:10:14 | 000,235,520 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
MOD - [2011/08/19 15:05:22 | 000,386,560 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
MOD - [2011/08/19 15:01:12 | 000,263,680 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
MOD - [2011/08/19 14:42:14 | 001,215,488 | -H-- | M] () -- C:\WINDOWS\update.tray-8-0\svchost.exe
MOD - [2011/08/19 14:42:14 | 001,215,488 | -H-- | M] () -- C:\WINDOWS\update.tray-10-0\svchost.exe
SRV - [2011/08/23 16:56:33 | 000,640,512 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011/08/22 17:19:32 | 000,359,936 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011/08/19 15:05:22 | 000,386,560 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011/08/19 15:01:12 | 000,263,680 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Norton Safe Web Lite) - {30CEEEA2-3742-40E4-85DD-812BF1CBB83D} - File not found
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [2136699.exe] C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\2136699.exe ()
O4 - HKLM..\Run: [3157616.exe] C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\3157616.exe ()
O4 - HKLM..\Run: [420379.exe] C:\WINDOWS\TEMP\420379.exe ()
O4 - HKLM..\Run: [4303079.exe] C:\WINDOWS\TEMP\4303079.exe ()
O4 - HKLM..\Run: [5292708.exe] C:\WINDOWS\TEMP\5292708.exe ()
O4 - HKLM..\Run: [5596414-loader2.exe] C:\WINDOWS\TEMP\5596414-loader2.exe ()
O4 - HKLM..\Run: [9439146.exe] C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\9439146.exe ()
O4 - HKLM..\Run: [992406.exe] C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\992406.exe ()
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] File not found
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-8-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] C:\WINDOWS\update.tray-9-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico2] C:\WINDOWS\update.tray-10-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O4 - HKCU..\Run: [MSMSGS] File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011/08/19 15:10:47 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011/08/19 15:10:47 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011/08/19 15:10:47 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011/08/19 15:08:47 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011/08/19 15:06:21 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011/08/19 15:05:24 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011/08/19 15:00:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011/08/19 14:58:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011/08/19 14:58:09 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-10-0-lnk
[2011/08/19 14:58:09 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-10-0
[2011/08/19 14:58:08 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0-lnk
[2011/08/19 14:58:08 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0
[2011/08/19 14:58:06 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0-lnk
[2011/08/19 14:58:06 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0
[2011/08/22 17:19:18 | 000,142,336 | ---- | C] () -- C:\WINDOWS\systemup.exe
[2011/08/19 15:11:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\3571547730
[2011/08/19 15:10:46 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011/08/19 15:10:45 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011/08/19 15:10:44 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011/08/19 15:10:18 | 000,235,520 | ---- | C] () -- C:\WINDOWS\l1rezerv.exe
[2011/08/19 15:08:08 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011/08/19 15:06:11 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011/08/19 15:06:09 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011/08/19 15:06:09 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011/08/19 15:05:23 | 000,000,202 | ---- | C] () -- C:\WINDOWS\info1
[2011/08/19 15:03:19 | 000,258,048 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
[2011/08/19 15:01:17 | 000,263,680 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe
[2011/08/19 14:42:27 | 001,215,488 | ---- | C] () -- C:\WINDOWS\services32.exe
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\3571547730:2910920235.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.tray-9-0\svchost.exe"=-
"C:\WINDOWS\update.tray-10-0\svchost.exe"=-
"C:\WINDOWS\update.tray-8-0\svchost.exe"=-
"C:\WINDOWS\update.tray-9-0-lnk\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\sysdriver32_.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Ściągnij >Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Post24 sie 2011, 11:30

Mialas racje, jest ten rootkit.

Post24 sie 2011, 11:43

Wklejaj logi wszystkie, OTL , Ad-Remover i Webroot AntiZeroAccess.

Post24 sie 2011, 11:46

W takim razie odsyłam Cię na forum >>Dostępne tylko dla zarejestrowanych użytkowników
W tytule tematu tam napisz, że ma Rootkit "ZeroAcces" + infekcja z Facebooka
Oczywiście od razu też dołącz log z Webroot AntiZeroAccess.
Wątpię, by tu ktoś potrafił podać naprawę tego wszystkiego, co uszkodził Rootkit.
Powodzenia.
(tam czasami trzeba długo czekać na odpowiedź - nic na to nie poradzę)

F.

Post24 sie 2011, 14:54

Rootkita udalo mi sie juz skasowac i zrobilem to co napisalas, ale jak wpisuje ten skrypt to znika wszystko nie ma ikonek i paska startu tylko widac tapete, a komputer sie nie wylacza.

Post24 sie 2011, 15:04

Pokaż nowe logi z OTL.

Post24 sie 2011, 15:30

OTL Dostępne tylko dla zarejestrowanych użytkowników

Post24 sie 2011, 16:06

Podejmujemy usuwanie, to jest dopiero początek...

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
SRV - File not found [Auto | Stopped] -- -- (YahooAUService)
SRV - File not found [Unknown | Stopped] -- -- (NSL)
SRV - File not found [Auto | Stopped] -- -- (NeroRegInCDSrv)
SRV - File not found [On_Demand | Stopped] -- -- (McComponentHostService)
SRV - File not found [Auto | Stopped] -- -- (McAfee SiteAdvisor Service)
SRV - File not found [Auto | Stopped] -- -- (AntiVirWebService)
SRV - File not found [Auto | Stopped] -- -- (AntiVirService)
SRV - File not found [Auto | Stopped] -- -- (AntiVirSchedulerService)
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\3571547730:2910920235.exe
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - File not found
O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - File not found
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-ytbm"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-ytbm"
FF - prefs.js..browser.search.param.yahoo-type: "${8}"

:Files
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-436374069-261478967-1801674531-1004UA.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
C:\WINDOWS\tasks\Norton Security Scan for user.job
C:\WINDOWS\3571547730
C:\WINDOWS\System32\c_42953.nl_
@C:\WINDOWS\3571547730:2910920235.exe
netsh winsock reset /C

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

2. Klik w Wykonaj Skrypt. Jeżeli po ok 10 minutach nie pojawi się notatnik - reset komputera, jeżeli pojawi się to wyłącz notatnik, wyłącz komputer i po 2 włącz ponownie komputer i wklej nowe logi z OTL + usuwanie.

Post24 sie 2011, 16:32

Nie pokazal sie notatnik, zresetowalem komputer, sprobowalem jeszcze raz, ale teraz OTL sie wylacza po paru sek. Komputer sie nie zawiesza.

Post24 sie 2011, 16:58

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:Files
C:\WINDOWS\3571547730
C:\WINDOWS\System32\c_42953.nl_
@C:\WINDOWS\3571547730:2910920235.exe
netsh winsock reset /C

Klik w Wykonaj Skrypt. Tak samo - jak wyświetli się raport to daj mi go jak nie to restart i pisz czy notatnik się pojawił czy nie.

Post24 sie 2011, 17:10

Nie pojawil sie. I znowu tylko przez pare sekund bylo widac prace programu a potem sie wylaczyl.

Post24 sie 2011, 17:21

No OK, to robimy inaczej.
Ściągnij ComboFixa z tego linka -> Dostępne tylko dla zarejestrowanych użytkowników
zrestartuj komputer i wejdź w Tryb Awaryjny. (F8 przed bootem Windows'a).
Uruchom go tam i czekaj na log.

Post24 sie 2011, 18:58

Po kilku probach wreszcie mi sie udalo
Dostępne tylko dla zarejestrowanych użytkowników

Post24 sie 2011, 19:17

Otwórz notatnik i wklej do niego ten tekst:

KillAll::

File::
c:\windows\system32\c_42953.nl_
c:\windows\3571547730:2910920235.exe

Folder::
C:\WINDOWS\3571547730
c:\windows\$NtUninstallKB19541$
C:\WINDOWS\3571547730:

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\527ee1d4]

ADS::
c:\windows\3571547730:2910920235.exe
c:\windows\$NtUninstallKB19541$:SummaryInformation

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--------> Obrazek

Ma się rozpocząć usuwanie (i powstanie log na końcu). Daj ten log.