Wirus z facebooka

Post23 lip 2011, 11:27

Witam.
Otóż mam bardzo uciążliwy problem z nowym wirusem z facebooka, którego ściągnąłem w czwartek wieczorem. Chodziło o napisanie do mnie wiadomości przez kumpla "Hi, how are you?", "wanna laugh?", i dalej już sami wiecie. Działania tego wirusa chyba nie muszę opisywać (spowolnienie komputera do minimum i problem z netem). Próbowałem wielu sposobów aby się go pozbyć, niestety bezskutecznie

Wg. rad ściągnąłem program Malwarebytes, ale po ściągnięciu i instalacji nawet nie mogę go otworzyć (na chwilkę klepsydra i dalej d***). Próbowałem zatem w trybie awaryjnym zrobić to samo, niestety po pojawieniu się pulpitu włącza się restart systemu. Na koniec ściągnąłem OTL i zrobiłem logi. Nie jestem ekspertem w tej dziedzinie, dlatego proszę Was o pomoc. Nie wiedziałem dokładnie gdzie to napisać, ale myślę, że jeśli jest odpowiedniejszy temat to mnie przekierujecie

Oto logi z OTL:
OTL.Txt Dostępne tylko dla zarejestrowanych użytkowników
Extras.Txt Dostępne tylko dla zarejestrowanych użytkowników

Post23 lip 2011, 12:11

Przede wszystkim zasada ograniczonego zaufania do wszystkiego, co pojawia się na tego typu serwisach społecznościowych.

Ciężki przypadek się tu szykuje, gdyż jest dużo rzeczy do usuwania.

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
SRV - [2011-07-23 10:26:08 | 000,502,272 | ---- | M] () [Auto | Running] -- H:\WINDOWS\update.2\2507.exe -- (srviecheck)
SRV - [2011-07-22 10:53:09 | 000,340,992 | ---- | M] () [Auto | Running] -- H:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-07-22 10:52:10 | 000,249,344 | ---- | M] () [Auto | Running] -- H:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-07-21 23:29:27 | 001,178,112 | -H-- | M] () [Auto | Running] -- H:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/"
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O3 - HKU\S-1-5-21-1229272821-1644491937-725345543-1005\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O4 - HKLM..\Run: [18004073-loader2.exe] H:\WINDOWS\TEMP\18004073-loader2.exe ()
O4 - HKLM..\Run: [37499554-loader2.exe] H:\WINDOWS\TEMP\37499554-loader2.exe ()
O4 - HKLM..\Run: [5504884.exe] H:\WINDOWS\TEMP\5504884.exe ()
O4 - HKLM..\Run: [avast] File not found
O4 - HKLM..\Run: [sysdriver32.exe] H:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] H:\WINDOWS\sysdriver32_.exe ()
O31 - SafeBoot: AlternateShell - services32.exe

:Files
H:\WINDOWS\update.tray-7-0-lnk
H:\WINDOWS\update.tray-7-0
H:\WINDOWS\update.2
H:\WINDOWS\update.5.0
H:\WINDOWS\update.1
H:\WINDOWS\update.tray-8-0-lnk
H:\WINDOWS\update.tray-8-0
H:\WINDOWS\info1
H:\WINDOWS\l1rezerv.exe
H:\WINDOWS\phoenix.rar
H:\WINDOWS\unrar.exe
H:\WINDOWS\ufa.rar
H:\WINDOWS\rpcminer.rar
H:\WINDOWS\systemup.exe
H:\WINDOWS\geoiplist.rar
H:\WINDOWS\geoiplist
H:\Program2.RPT
H:\WINDOWS\services32.exe
H:\WINDOWS\System32\drivers\etc\hosts|H:\WINDOWS\System32\drivers\etc\hîsts /replace

:Commands
[emptytemp]
[emptyflash]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

[2011-07-22 23:22:34 | 000,000,000 | --SD | C] -- H:\ComboFix

Próbowałeś użyć Combofix bez wspomnienia o tym, co jest nie dopuszczalne. Używać tego narzędzia można tylko i wyłącznie za zgodą osoby obeznanej z jego możliwościami. Jeśli log został utworzony, to również go pokaż.

Post23 lip 2011, 13:19

No dostałem nauczkę. Ale po trzeźwemu pewnie nigdy bym tego nie ściągnął ;p a ComboFixa użyłem, ponieważ kiedyś na forum ktoś go polecał i nawet chyba z niego wtedy dobrze skorzystałem. No ale już wiem, żeby nie tykać

Raport z usuwania OTL Dostępne tylko dla zarejestrowanych użytkowników

Nowe logi:
OTL.Txt Dostępne tylko dla zarejestrowanych użytkowników
Extras.Txt Dostępne tylko dla zarejestrowanych użytkowników

Post23 lip 2011, 17:07

Większość z tego co dałem na usuwanie została skasowane.

Zastanawia mnie również to:

SRV - File not found [Auto | Stopped] -- -- (wuauserv)

Brakujący plik odpowiedzialny za działanie Aktualizacji automatycznych. Nie wiem, czy to wina infekcji, czy po prostu masz jakiś przerobiony system?

1. Wyłącz wszystkie przeglądarki internetowe.
Odinstaluj poprzez Dodaj/usuń programy następujące śmieci/adware:

"BearShare MediaBar" = MediaBar
"Winamp Toolbar" = Winamp Toolbar for Internet Explorer

2. W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
O4 - HKLM..\Run: [74189320-loader2.exe] File not found
O4 - HKLM..\Run: [94953053-loader2.exe] File not found

:Reg
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"H:\WINDOWS\update.1\svchost.exe"=-
"H:\WINDOWS\services32.exe"=-
"H:\WINDOWS\update.tray-8-0\svchost.exe"=-
"H:\WINDOWS\update.tray-8-0-lnk\svchost.exe"=-
"H:\WINDOWS\update.2\svchost.exe"=-
"H:\WINDOWS\update.2\2507.exe"=-
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

:Files
H:\WINDOWS\ufa
H:\WINDOWS\rpcminer
H:\WINDOWS\phoenix
H:\WINDOWS\av_ico
H:\WINDOWS\loader2.exe_ok

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania po wykonaniu powyższego skryptu.

3. Po restarcie uruchom OTL ponownie, wklej w jego okno ten tekst:

wuauserv.dll /s /md5

Kliknij Skanuj i pokaż powstały raport.

Post24 lip 2011, 13:26

Nie wiem co znaczy "przerobiony", myślę, że to może z powodu infekcji. Usunąłem te programy. Przesyłam raporty:

raport po usuwaniu przez OTL Dostępne tylko dla zarejestrowanych użytkowników
raport po skanowaniu Dostępne tylko dla zarejestrowanych użytkowników

-- 23 lip 2011, 22:12 --

Chcę jeszcze dodać, że po ostatnich wskazówkach wszystko o wiele lepiej pracuje

-- 24 lip 2011, 13:26 --

Wciąż jeszcze mam problem z tym wirusem. Normalnie już korzystałem z internetu, kiedy dzisiaj zauważyłem, że mój komputer znowu zaczął wysyłać te śmieszne wiadomości na fb do moich znajomych. Szybko się wylogowałem, żeby nie zarazić innych. Również np. przy uruchamianiu systemu na pulpicie pojawiają się komunikaty związane z avastem (coś o 16-bitowym podsystemie MS-DOS-) oraz o deamonie toolsie lite (że nie jest zgodny z moim systemem czy coś takiego). Antywirusy też ogólnie cały czas nie chodzą. Kiedy chce je włączyć pojawia się czerwony kwadrat z informacją, że niby wszystko jest ok. Nie mogę też wyszukiwać plików poprzez opcje: wyszukaj --> pliki i foldery. Poza tym internet i komputer śmiga całkiem nieźle

więc dziekuje bardzo za pomoc i proszę jeszcze tylko o dokończenie sprawy

Post24 lip 2011, 15:29

Ja tu już infekcji nie widzę. Zaktualizuj bazy sygnatur Malwarebytes i wykonaj nim PEŁNY skan.
Jeśli cokolwiek zostanie wykryte, pokaż z niego raport.

Wejdź w Edytor rejestru (Start -> Uruchom... -> regedit)
Przejdź do gałęzi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters.
Napisz tu co jest zawarte w wartości ServiceDll.

Post24 lip 2011, 16:16

Źródło pliku: C:\WINDOWS\system32\wuauserv.dll

Niestety pozostałe problemy ciągle są. Najbardziej martwi mnie to wysyłanie tych wiadomości z mojego konta na fb, bo dzięki temu inne komputery mogą mieć te same problemy, co ja. Poza tym antywirusy nie chcą chodzić, a malwarebytes od samego początku nie mogę odpalić, nie wiem dlaczego.

Post25 lip 2011, 10:21

-> H:\WINDOWS\System32\proc-1037709799.bin <- ten plik do usunięcia SHIFT + DEL.

Pokaż nam nowe logi z OTL.

Post25 lip 2011, 11:17

Witam

Mam ten sam problem z tym paskudnym wirusem. Pytanie moje brzmi czy mogę postępować ze wszystkim tak samo jak zostało to opisane przez was wyżej?

// Zasady działu >>> bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html
// Zrób własny temat, daj odpowiednie logi
// djarta

Post25 lip 2011, 11:53

SRV - File not found [Auto | Stopped] -- -- (wuauserv)

Masz Windowsa na dysku H a tutaj z tego co piszesz, ścieżka jest do dysku C

Start - Uruchom - wpisujesz regedit i Enter

Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

Dwuklik na wartość ServiceDll zmieniasz C:\WINDOWS\system32\wuauserv.dll na H:\WINDOWS\system32\wuauserv.dll

Poza tym antywirusy nie chcą chodzić, a malwarebytes od samego początku nie mogę odpalić, nie wiem dlaczego.

Spróbuj uruchomić Malwarebytes w trybie awaryjnym windows Jeśli się uda wykonaj pełny skan i raport na forum jak prosi deFco247 Nowe logi OTL jak to nie zadziała. Tylko proszę zaznaczyć także opcje Wszyscy Użytkownicy w OTL przed wykonaniem skanu bo w ostatnim logu jest

Boot Mode: Normal | Scan Mode: Current user

-- 25 lip 2011, 11:23 --

outlaw2-5 pisze:Witam

Mam ten sam problem z tym paskudnym wirusem. Pytanie moje brzmi czy mogę postępować ze wszystkim tak samo jak zostało to opisane przez was wyżej?

Załóż własny temat i pokaż logi OTL zgodnie z regulaminem bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html

Post25 lip 2011, 12:05

1. A jak mam usunać ten plik, który podałeś?

2. Zmieniłem ten dysk z C na H (rzeczywiście windowsa mam na dysku H), co dalej?

3. Nie mogę otworzyć Malwarebytesa nawet w trybie awaryjnym, bo gdy tylko pokaże się pulpit po chwili znowu włącza się restart systemu

Post25 lip 2011, 12:07

Nowe logi OTL jak to nie zadziała. Tylko proszę zaznaczyć także opcje Wszyscy Użytkownicy w OTL przed wykonaniem skanu bo w ostatnim logu jest

Boot Mode: Normal | Scan Mode: Current user

Post25 lip 2011, 12:32

1. Nowe logi:
Dostępne tylko dla zarejestrowanych użytkowników

2.Udało mi się włączyć podstawowy tryb awaryjny (wcześniej próbowałem tylko tryb awaryjny z obsługą sieci), ale niestety malwarebytes reagowął tak samo jak w normalnym trybie tzn. w ogóle nie reagował. Kliknąłem dwukrotnie, na chwilkę klepsydra i to tyle w temacie.

-- 25 lip 2011, 12:32 --

Chcę jeszcze dodać, że przy próbie zamknięcia systemu wyskakuje okno z zamykaniem tego programu H:\WINDOWS\l1rezerv.exe i jeszcze jednego, ale nie pamiętam teraz jak się nazywał.

Post25 lip 2011, 12:36

Infekcja powróciła i to w jeszcze większej ilości.

Normalnie już korzystałem z internetu, kiedy dzisiaj zauważyłem, że mój komputer znowu zaczął wysyłać te śmieszne wiadomości na fb do moich znajomych.

Więc wyloguj się z Facebooka.

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:Processes
killallprocesses

:OTL
SRV - [2011-07-24 13:02:40 | 000,247,296 | ---- | M] () [Auto | Running] -- H:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/"
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="
O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - File not found
O4 - HKLM..\Run: [1250502.exe] H:\WINDOWS\TEMP\1250502.exe ()
O4 - HKLM..\Run: [13379328-loader2.exe] H:\Documents and Settings\Kreisen07\Ustawienia lokalne\temp\13379328-loader2.exe ()
O4 - HKLM..\Run: [15125164-loader2.exe] H:\Documents and Settings\Kreisen07\Ustawienia lokalne\temp\15125164-loader2.exe ()
O4 - HKLM..\Run: [39290684-loader2.exe] H:\WINDOWS\TEMP\39290684-loader2.exe ()
O4 - HKLM..\Run: [59064948-loader2.exe] H:\Documents and Settings\Kreisen07\Ustawienia lokalne\temp\59064948-loader2.exe ()
O4 - HKLM..\Run: [76893324-loader2.exe] H:\WINDOWS\TEMP\76893324-loader2.exe ()
O4 - HKLM..\Run: [8613147.exe] H:\WINDOWS\TEMP\8613147.exe ()
O4 - HKLM..\Run: [86691508-loader2.exe] H:\WINDOWS\TEMP\86691508-loader2.exe ()
O4 - HKLM..\Run: [88703855-loader2.exe] H:\WINDOWS\TEMP\88703855-loader2.exe ()
O4 - HKLM..\Run: [9992729.exe] H:\Documents and Settings\Kreisen07\Ustawienia lokalne\temp\9992729.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] H:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] H:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] H:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] H:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [w_distrib.exe] H:\WINDOWS\update.3\svchost.exe ()
O31 - SafeBoot: AlternateShell - services32.exe
[2011-07-25 09:24:47 | 000,000,000 | -H-D | C] -- H:\WINDOWS\update.3
[2011-07-24 13:06:16 | 000,000,000 | -H-D | C] -- H:\WINDOWS\update.5.0
[2011-07-24 13:03:41 | 000,000,000 | -H-D | C] -- H:\WINDOWS\update.2
[2011-07-24 13:03:11 | 000,000,000 | ---- | M] () -- H:\WINDOWS\loader2.exe_ok
[2011-07-24 13:03:01 | 000,000,202 | ---- | C] () -- H:\WINDOWS\info1

:Commands
[emptytemp]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

Post25 lip 2011, 12:50

1. Z facebooka jestem już wylogowany i nie zaloguje się ponownie, dopóki nie będę miał pewności, że już jest wszystko wyczyszczone.

2. Raport z usuwania OTL Dostępne tylko dla zarejestrowanych użytkowników

3. Nowe logi:
OTL.Txt Dostępne tylko dla zarejestrowanych użytkowników
Extras.Txt Dostępne tylko dla zarejestrowanych użytkowników