Wirus z Facebooka

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Przem44

Użytkownik
Posty: 1
Rejestracja: 27 lip 2014, 13:52

Wirus z Facebooka

Post27 lip 2014, 15:44

Mam kłopot z facebookiem, otrzymałam wiadomość z moim zdjęciem pod jakimś linkiem kliknęłam i otworzyła się zakładka pod nazwa YOU TUBE ale to nie było YOU TUBE co poznałam po linku.
Zaczęło się coś pobierać i otworzyłam to.
Okazało się że to wirus który wysłał do wszystkich moich znajomych ten sam link.
Zaczęłam szperać w internecie i znalazłam program OTL zeskanowałam i włączył się notatnik
Oto pierwszy:
Dostępne tylko dla zarejestrowanych użytkowników
i drugi:
Dostępne tylko dla zarejestrowanych użytkowników
No i co dalej ?
Ostatnio zmieniony 27 lip 2014, 15:58 przez XMan, łącznie zmieniany 1 raz.
Powód: korekta pisowni, przeniosłem temat z działu Problemy --> Bezpieczeństwo
Na górę
Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:
Skontaktuj się z djkamil09061991

otl

Post27 lip 2014, 15:45

Dziś też ktoś mi wysłał taką wiadomośc na FB :) po pierwsze nie wchodz w takie linki bo to logiczne iż nie jest to prawdziwe, dodatkowo ani niczego nie pobieraj, tym bardziej nie otwieraj :)

Przem44 pisze:no i co dalej????????

czekaj na sprawdzenie logów.
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Wirus z Facebooka

Post27 lip 2014, 16:34

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:processes
killallprocesses

:OTL
O33 - MountPoints2\{100ec91e-a7d3-11e1-ab14-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{100ec91e-a7d3-11e1-ab14-806e6f6e6963}\Shell\AutoRun\command - "" = D:\setup.exe /autorun
O33 - MountPoints2\{100ec91e-a7d3-11e1-ab14-806e6f6e6963}\Shell\directx\command - "" = D:\DirectX\dxsetup.exe
O33 - MountPoints2\{100ec91e-a7d3-11e1-ab14-806e6f6e6963}\Shell\setup\command - "" = D:\setup.exe
O27 - HKLM IFEO\bitguard.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\bprotect.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\bpsvc.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\browserdefender.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\browserprotect.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\browsersafeguard.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\dprotectsvc.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\jumpflip: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\protectedsearch.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\searchinstaller.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\searchprotection.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\searchprotector.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\searchsettings.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\searchsettings64.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\snapdo.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\stinst32.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\stinst64.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\umbrella.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\utiljumpflip.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\volaro: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\vonteera: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\websteroids.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O27 - HKLM IFEO\websteroidsservice.exe: Debugger - C:\Windows\SysWow64\tasklist.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-186679200-3264304541-2348910629-1000..\Run: [iLivid] "C:\Users\klik\AppData\Local\iLivid\iLivid.exe" -autorun File not found
O4 - HKU\S-1-5-21-186679200-3264304541-2348910629-1000..\Run: [MSConfig] "C:\Users\klik\enktkhfb.exe" File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKLM..\Run: [UsageTemp] C:\Users\klik\AppData\Local\Temp\UsageTemp.exe ()
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKLM..\Run: [fst_pl_14] File not found
O4 - HKLM..\Run: [fst_pl_19] File not found
O3 - HKLM\..\Toolbar: (no name) - {d1dac034-9fd9-4c13-a388-d2e10e57707f} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-186679200-3264304541-2348910629-1000\..\Toolbar\WebBrowser: (no name) - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No CLSID value found.
O2 - BHO: (no name) - {d1dac034-9fd9-4c13-a388-d2e10e57707f} - No CLSID value found.
O2 - BHO: (Shopping Suggestion) - {F6C07882-D703-4DD5-905A-2C4E815A5066} - C:\Users\klik\AppData\Roaming\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4\Shopping Suggestion.dll File not found
O2 - BHO: (DefaultTab Browser Helper) - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Users\klik\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabBHO.dll File not found
CHR - homepage: Dostępne tylko dla zarejestrowanych użytkowników ... 81-322&t=4
CHR - plugin: Error reading preferences file
IE - HKU\S-1-5-21-186679200-3264304541-2348910629-1000\..\URLSearchHook: {D8278076-BC68-4484-9233-6E7F1628B56C} - No CLSID value found
IE - HKU\S-1-5-21-186679200-3264304541-2348910629-1000\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-186679200-3264304541-2348910629-1000\..\SearchScopes\{1B9D2FAE-5481-4328-95D5-A1ED89694C64}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-186679200-3264304541-2348910629-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7NDKB_plPL575
IE - HKU\S-1-5-21-186679200-3264304541-2348910629-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników ... nrs=AG6&q={searchTerms}
IE - HKU\S-1-5-21-186679200-3264304541-2348910629-1000\..\SearchScopes\{B132AA42-1E9C-464C-AEC1-7C15ADB4142C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników ... trgb=IE&q={searchTerms}&psv=
IE - HKU\S-1-5-21-186679200-3264304541-2348910629-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników ... 27-322&t=4
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników ... U9UFJU9&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników ... UFJU9UFJU9
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników ... U9UFJU9&q={searchTerms}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników ... nrs=AG6&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników ... UFJU9UFJU9
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników ... U9UFJU9&q={searchTerms}
[2014-07-03 11:25:47 | 000,000,000 | -HSD | C] -- C:\Users\klik\AppData\Local\EmieUserList
[2014-07-03 11:25:47 | 000,000,000 | -HSD | C] -- C:\Users\klik\AppData\Local\EmieSiteList
[2013-09-16 18:45:27 | 052,129,792 | -H-- | C] (Bitcoin project) -- C:\Users\klik\obgtylem.exe
@Alternate Data Stream - 1673164 bytes -> C:\Users\klik\Local Settings:init

:Files
C:\Windows\tasks\*.job
C:\Users\klik\AppData\Roaming\clear.fiMVPSDK20
netsh firewall reset /C
rd /s /q "C:\Users\klik\AppData\Local\Temp" /C

:Commands
[emptyflash]
[emptyjava]
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[S1].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wklej nowe logi z OTL.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości