Wirus z Facebooka...

[adamulik]

Hej, niestety mam tego wirusa. Tylko ze on nie jedynie pisze po ludziach, ale takze resetuje mi komputer co kilka minut, wlacza w trybie awaryjnym, by po chwili znow resetowac. Mam netbooka - bez napedu - wiec nie mam nawet teraz jak go sformatowac. Prosilbym o pomoc.

[XMan]

Przeskanuj komputer programem Malwarebytes Anti-Malware.
Pełne skanowanie.
Obsługa programu Malwarebytes' Anti-Malware.
Wrzuć z niego logi.
Dodatkowo po skanowaniu p/w programem wymagane logi :
bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html

[adamulik]

Tutaj log z Malwarebytes Anti-Malware
Dostępne tylko dla zarejestrowanych użytkowników

Niestety podczas gdy w otl lub gmer klikam na ,,skanuj'' to natychmiast sie wylacza... i nie moge nic zrobic.

[filutka78]

Dostępne tylko dla zarejestrowanych użytkowników
śledź ten powyższy temat, bo sytuacja podobna

[adamulik]

Nie, u mnie jest kompletnie inna sytuacja. Nie jasno sie wyslowilem, przepraszam. ,,natychmiast sie wylacza'' - znaczylo program, nie komputer. Po scanie przez Malwarebytes i usunieciu zainfekowanych plikow ( niektorych nie mozna bylo) stalo sie cos nowego. A mianowicie : Komputer juz sie nie resetuje, dostepu do fb nadal nie mam, a gdy chce otworzyc Malwarebytes, OTL lub Gmer to wyskakuje, ze nie mam do nich dostepu i nie moge ich otworzyc (tak jakbym nie byl administartorem? ). Natomiast wszystkie inneprogramy dzialaja jak dawniej. Reinstall Malwarebytes nie skutkuje, bo za pierwszym razem sie otwiera, klikam skanuj, sie wylacza program, i znow nie mam dostepu. Co jest...(?)

[filutka78]

to tak wygląda, jakby był Bootkit ZeroAcces.
Niestety, nie dałeś logów, więc trudno ocenić, czy tak jest, czy też może istnieje inne przyczyna.

1) Daj log z TDSSKiller >http://www.hotfix.pl/instrukcja-obslugi-tdsskiller-a341.htm

2) Daj log z MBRCheck >http://www.hotfix.pl/wykrywanie-rootkitow-w-sektorze-mbr-mbrcheck-exe-a340.htm

3) Daj log z Dostępne tylko dla zarejestrowanych użytkowników

F.

[adamulik]

wiec tak - po sciagnieciu tdssKiller rozpoczalem skan, po 15 sekundach sie wylaczyl, a teraz, gdy chce go wlaczyc, to nie moge(brak uprawnien?) - tak samo otl, gmer czy malwarebytes. Natomiast MBRCheck - Dostępne tylko dla zarejestrowanych użytkowników A Webroot AntiZeroAccess wynik negatywny, czyli wszystko clean.

P.S Przepraszam, za dluga nieobecnosc, ale system caly dzien uruchamial sie w trybie awaryjnym i nie moglem wejsc na internet. Teraz nagle jakims cudem ,,normalnie'' sie odpalil.

[filutka78]

PhysicalDrive0 Unknown MBR code

Niestety, ten wynik nie jest miarodajny, bo masz netbooka, a on ma chyba ukrytą partycję Recovery, stąd ten "unknowMBR", bo to fabrycznie jest taki MBR.
Czyli wiemy, że nic nie wiemy.

2840 C:\Windows\update.tray-10-0\svchost.exe
2880 C:\Windows\update.tray-14-0\svchost.exe

Ale nawet MBRCheck widzi, że infekcja z Facebooka jest dalej aktywna!
Niestety, bez logu OTL nic nie możemy zrobić.

Spróbuj użyć ComboFix >http://www.hotfix.pl/uzytkowanie-programu-combofix-a41.htm

F.

[djarta]

1076 C:\Windows\787458295:139923665.exe

To nie możliwe, że Webroot AntiZeroAcces nic nie wykrył bo Rootkit ZeroAcces jest załadowany (jego proces).
Tak jak napisała @filutka78 - proszę o wykonanie logu z ComboFixa i pokazanie go. (być może ComboFix nie będzie dział w Trybie normalnym więc próbój go uruchamiać w Trybie Awaryjnym [F8 przed bootem Windows'a])

[adamulik]

Aaaa zapomnialem. Mam log Otl sprzed 2 dni(jak jeszcze ten program mi sie uruchamial), ale to przed skanowaniem malwarebytes i usunieciem nim wirusow. Dostępne tylko dla zarejestrowanych użytkowników.

[filutka78]

Najważniejsze teraz, to usunięcie ZeroAcces, bo oo wszystko inne blokuje.

1) Uruchom >>Dostępne tylko dla zarejestrowanych użytkowników. W oknie wklej:

C:\WINDOWS\787458295

Klik w Create.
Daj z tego log.

2) Zrestartuj komputer.

3) Użyj ComboFix.

4) ściągnij od nowa OTL, ale umieść go tym razem w innej lokalizacji, i zod razu przy ściąganiu zmień mu nazwę.

5) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O31 - SafeBoot: AlternateShell - services32.exe
[2011/10/27 18:31:18 | 000,048,016 | -HS- | C] () -- C:\windows\System32\c_61201.nl_
[2011/10/27 17:36:16 | 000,232,960 | ---- | C] () -- C:\windows\l1rezerv.exe
[2011/10/27 17:35:31 | 005,589,370 | ---- | C] () -- C:\windows\phoenix.rar
[2011/10/27 17:35:31 | 000,182,617 | ---- | C] () -- C:\windows\ufa.rar
[2011/10/27 17:35:30 | 001,075,284 | ---- | C] () -- C:\windows\rpcminer.rar
[2011/10/27 17:12:46 | 000,380,416 | ---- | C] () -- C:\windows\systemup.exe
[2011/10/27 17:11:04 | 000,000,000 | ---- | C] () -- C:\windows\787458295
[2011/10/27 17:09:29 | 000,000,225 | ---- | C] () -- C:\windows\info1
[2011/10/27 17:06:08 | 004,636,907 | ---- | C] () -- C:\windows\geoiplist
[2011/10/27 17:06:06 | 000,904,792 | ---- | C] () -- C:\windows\geoiplist.rar
[2011/10/27 17:06:06 | 000,246,272 | ---- | C] () -- C:\windows\unrar.exe
[2011/10/27 17:02:38 | 000,000,000 | ---- | C] () -- C:\windows\loader2.exe_ok
[2011/10/27 17:02:36 | 000,258,048 | ---- | C] () -- C:\windows\sysdriver32_.exe
[2011/10/27 17:02:21 | 000,263,680 | ---- | C] () -- C:\windows\sysdriver32.exe
[2011/10/28 13:44:20 | 000,000,734 | ---- | M] () -- C:\windows\System32\drivers\etc\hîsts
[2011/10/27 17:36:07 | 000,232,960 | ---- | M] () -- C:\windows\l1rezerv.exe
[2011/10/27 17:35:31 | 005,589,370 | ---- | M] () -- C:\windows\phoenix.rar
[2011/10/27 17:35:31 | 000,246,272 | ---- | M] () -- C:\windows\unrar.exe
[2011/10/27 17:35:31 | 000,182,617 | ---- | M] () -- C:\windows\ufa.rar
[2011/10/27 17:35:30 | 001,075,284 | ---- | M] () -- C:\windows\rpcminer.rar
[2011/10/27 17:29:17 | 000,380,416 | ---- | M] () -- C:\windows\systemup.exe
[2011/10/27 17:06:06 | 000,904,792 | ---- | M] () -- C:\windows\geoiplist.rar
[2011/10/27 17:03:17 | 000,000,000 | ---- | M] () -- C:\windows\loader2.exe_ok
[2011/10/27 17:02:21 | 000,263,680 | ---- | M] () -- C:\windows\sysdriver32.exe
[2011/10/27 17:02:21 | 000,258,048 | ---- | M] () -- C:\windows\sysdriver32_.exe
[2011/10/27 16:40:33 | 001,198,080 | ---- | M] (Cronosoft) -- C:\windows\services32.exe
[2011/10/28 00:23:22 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-14-0-lnk
[2011/10/28 00:23:22 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-14-0
[2011/10/27 17:35:32 | 000,000,000 | ---D | C] -- C:\windows\ufa
[2011/10/27 17:35:32 | 000,000,000 | ---D | C] -- C:\windows\rpcminer
[2011/10/27 17:35:32 | 000,000,000 | ---D | C] -- C:\windows\phoenix
[2011/10/27 17:34:15 | 000,000,000 | -H-D | C] -- C:\windows\update.7.1
[2011/10/27 17:32:51 | 000,000,000 | -H-D | C] -- C:\windows\update.5.0
[2011/10/27 17:30:16 | 000,000,000 | -H-D | C] -- C:\windows\update.8.1
[2011/10/27 17:25:44 | 000,000,000 | -H-D | C] -- C:\windows\update.2
[2011/10/27 17:21:21 | 000,000,000 | -HSD | C] -- C:\windows\System32\%APPDATA%
[2011/10/27 17:02:10 | 000,000,000 | ---D | C] -- C:\windows\av_ico
[2011/10/27 17:00:28 | 000,000,000 | -H-D | C] -- C:\windows\update.1
[2011/10/27 16:59:48 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-10-0-lnk
[2011/10/27 16:59:48 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-10-0
[2011/10/27 16:42:57 | 001,198,080 | ---- | C] (Cronosoft) -- C:\windows\services32.exe
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Program Files\uTorrentBar_DE\tbuTor.dll (Conduit Ltd.)
O2 - BHO: (MyPlayCity Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Program Files\uTorrentBar_DE\tbuTor.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (MyPlayCity Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-4159039374-4143841151-2063890905-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\S-1-5-21-4159039374-4143841151-2063890905-1000\..\Toolbar\WebBrowser: (uTorrentBar_DE Toolbar) - {C840E246-6B95-475E-9BD7-CAA1C7ECA9F2} - C:\Program Files\uTorrentBar_DE\tbuTor.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-4159039374-4143841151-2063890905-1000\..\Toolbar\WebBrowser: (MyPlayCity Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [1051990.exe] C:\Windows\Temp\1051990.exe ()
O4 - HKLM..\Run: [4269397.exe] C:\Users\Adasko\AppData\Local\Temp\4269397.exe ()
O4 - HKLM..\Run: [5177071.exe] C:\Windows\Temp\5177071.exe ()
O4 - HKLM..\Run: [9232958.exe] C:\Windows\Temp\9232958.exe ()
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [l1rezerv.exe] C:\windows\l1rezerv.exe ()
O4 - HKLM..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey File not found
O4 - HKLM..\Run: [sysdriver32.exe] C:\windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-10-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-14-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe (Cronosoft)
SRV - [2011/10/28 00:04:19 | 001,944,576 | ---- | M] () [Auto | Running] -- C:\Windows\update.2\svchost.exe -- (srviecheck)
SRV - [2011/10/27 17:34:14 | 000,380,928 | ---- | M] () [Auto | Running] -- C:\windows\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011/10/27 17:32:49 | 000,978,432 | ---- | M] () [Auto | Running] -- C:\Windows\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011/10/27 17:02:21 | 000,263,680 | ---- | M] () [Auto | Running] -- C:\windows\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011/10/27 16:40:33 | 001,202,176 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\Windows\update.1\svchost.exe -- (wxpdrivers)
SRV - [2011/06/17 10:52:04 | 000,045,056 | ---- | M] () [Auto | Stopped] -- C:\ProgramData\QuestScan\questscan139.exe -- (QuestScan Service)
MOD - [2011/10/27 17:36:07 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
MOD - [2011/10/27 17:29:17 | 000,380,416 | ---- | M] () -- C:\Windows\systemup.exe

:Files
C:\WINDOWS\787458295

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[adamulik]

hmm daje wiec log t DummyCreator Dostępne tylko dla zarejestrowanych użytkowników I resetuje, byc moze zaraz powroce ^^

-- 31 paź 2011, 21:55 --

log z combofix Dostępne tylko dla zarejestrowanych użytkowników

-- 31 paź 2011, 22:27 --

po reboocie wyskoczylo mi to Dostępne tylko dla zarejestrowanych użytkowników a teraz Otl tak powiedzial tak Dostępne tylko dla zarejestrowanych użytkowników

-- 31 paź 2011, 22:37 --

i ok, juz facebook dziala. To znaczy, ze po wszystkim? Czy cos jeszcze tam u mnie siedzi? Jesli juz jest ok, to dziekuje wam bardzo

[filutka78]

c:\windows\$NtUninstallKB59257$ . . . . Nicht in der Lage zu löschen

ComboFix nie był w stanie usunąć tego elementu Bootkita ZeroAcces.
Ściągnij -->Dostępne tylko dla zarejestrowanych użytkowników.
wklej do niego ten tekst:

Kod: Zaznacz cały

Files to delete:
c:\windows\$NtUninstallKB59257$



Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Zobaczymy, czy Avenger sobie z tym poradzi?

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\.cdrom]
"ImagePath"="\*"

Nie wiem, czy ta kropka przed "cdrom" to specjalnie wstawiona przez ComboFix, czy nie?

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
>rozwiń ten klucz,klikając na (+):
>(+)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services >
zobacz, czy nazwa usługi to ".cdrom" czy "cdrom"
a jeśli bez kropki, to zrobisz to:
>zaznacz: cdrom >
>w okienku po prawej zaznacz: ImagePath>>prawoklik>>Modyfikuj>>w okienku, które wyskoczy wpisz: system32\DRIVERS\cdrom.sys >OK
>zwiń ten klucz, klikając na (-).

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - File not found [Auto | Stopped] -- -- (wlidsvc)
SRV - File not found [On_Demand | Stopped] -- -- (sftvsa)
SRV - File not found [Auto | Stopped] -- -- (SeaPort)
SRV - File not found [Auto | Stopped] -- -- (cvhsvc)
IE - HKLM\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - No CLSID value found
IE - HKU\S-1-5-21-4159039374-4143841151-2063890905-1000\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - No CLSID value found

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

2011-10-28 03:19 . 2009-07-13 23:11 35328 ----a-w- c:\windows\system32\drivers\npfs.sys
2011-10-28 02:55 . 2011-06-15 22:31 338944 ----a-w- c:\windows\system32\drivers\afd.sys

Te pliki Systemowe były modyfikowane, więc jeszcze raz użyj "Webrot AntiZeroAcces" oraz TDSSKiller.
Pokaż ich raporty.

F.

[adamulik]

avenger Dostępne tylko dla zarejestrowanych użytkowników

-- 31 paź 2011, 23:51 --

w ,,Regedit'' cdrom jest z kropka. Moze temu ze mam netbooka?

[filutka78]

No tak, pomyliłam plik z folderem, więc następna próba:
>>Avenger
wklej do niego ten tekst:

Kod: Zaznacz cały


Folders to delete:
c:\windows\$NtUninstallKB59257$



Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.

cdrom jest z kropka. Moze temu ze mam netbooka?

nie mam netbuka, ale wydaje mi się, że jednak powinno być bez kropki.
Prawdę mówiąc, to nawet nie wiem, czy netbook ma napęd CD/DVD?
.
F
.