Wirus z Facebooka

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
outlaw2-5

Użytkownik
Posty: 3
Rejestracja: 25 lip 2011, 10:58

Wirus z Facebooka

Post26 lip 2011, 10:38

Witam, jak widze nie jestem jedyną ofiarą ludzkiej głupoty kliknięcia w ten link.
Objawy jakie dotychczas zauważyłem to:
- NOD działa i aktualizuje baze danych ale nie mam do niego dostępu
- czasami wyskakuje okno "program l1rezerv.exe" przestał działać bądź nie odpowiada, coś w ten deseń. Wtedy do wyboru 'zakończ teraz' co skutkuje wyłączeniem laptopa lub 'anuluj' i komputer działa dalej.
- nie można wejść na facebooka

logi OTL:
OTL.txt: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Prosze o pomoc ;)
Na górę
Awatar użytkownika
deFco247

Ekspert
Posty: 371
Rejestracja: 02 sty 2011, 17:27
Kontaktowanie:
Skontaktuj się z deFco247

Wirus z Facebooka

Post26 lip 2011, 11:32

Sam NOD wygląda mi tu na uszkodzony, gdyż 2 jego usługi wykazują brak pliku + brak głównego procesu:
SRV - File not found [Auto | Stopped] -- -- (ekrn)
SRV - File not found [On_Demand | Stopped] -- -- (EhttpSrv)
O4 - HKLM..\Run: [egui] File not found
Konieczna zapewna będzie jego reinstalka.

1. W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:
:OTL
SRV - [2011-07-26 01:19:19 | 000,348,672 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\9109.exe -- (srvbtcclient)
SRV - [2011-07-25 20:11:15 | 000,256,000 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-07-25 12:36:36 | 000,495,616 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-07-23 16:05:19 | 001,185,792 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-2-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [WOOTASKBARICON] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
[2011-07-23 16:27:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-07-23 16:27:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-07-23 16:27:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-07-23 16:21:39 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-07-23 16:19:36 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-07-23 16:16:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-07-23 16:15:19 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-07-23 16:15:16 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0-lnk
[2011-07-23 16:15:16 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0
[2011-07-23 16:27:10 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-07-23 16:27:09 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-07-23 16:27:08 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-07-23 16:21:56 | 000,114,176 | ---- | C] () -- C:\WINDOWS\systemup.exe
[2011-07-23 16:21:01 | 000,232,960 | ---- | C] () -- C:\WINDOWS\l1rezerv.exe
[2011-07-23 16:19:45 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-07-23 16:19:44 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-07-23 16:19:44 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-07-23 16:19:36 | 000,000,180 | ---- | C] () -- C:\WINDOWS\info1
[2011-07-23 16:17:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok

:Reg
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.tray-2-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-

:Commands
[emptytemp]
[emptyflash]
Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.


2. Z poziomu Dodaj/usuń programu usuń następujące śmieci/adware:
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar

Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.
Na górę
outlaw2-5

Użytkownik
Posty: 3
Rejestracja: 25 lip 2011, 10:58

Wirus z Facebooka

Post26 lip 2011, 13:03

wykonałem ten skrypt, komp się zrestartował ale raportu żadnego nie widzę, jestem zielony w tych sprawach, on powinien się gdzieś znajdować?
Na górę
Awatar użytkownika
deFco247

Ekspert
Posty: 371
Rejestracja: 02 sty 2011, 17:27
Kontaktowanie:
Skontaktuj się z deFco247

Wirus z Facebooka

Post26 lip 2011, 18:02

Raport powinien wyskoczyć w Notatniku po restarcie.
Jeśli tak się nie stało, to można go znaleźć w folderze C:\_OTL\MovedFiles.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości