Wirus z facebooka ufa.exe

Post21 sie 2011, 22:46

Witam!
Chyba już dosyć znany problem otworzyłem linka z facebooka, pobrałem plik i się zaczęło problem dosyć znany ale nie mogę sobie z nim poradzić.

Plik startuje jako ufa.exe - bitcoin-miner i cpu startuje na 100%
Jak go zaatakuje programem do usuwania złośliwego oprogramowania od razu restartuje mi kompa wchodzi w tryb awaryjny i się znowu restartuje.

Dodatkowo pokazuje się jeszcze dodatkowy proces pheonix.exe chyba tak się nazywa i też mi wywala cpu 100%

Błagam o pomoc i pozdrawiam!

Log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

W razie dałem TXT
Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post21 sie 2011, 23:06

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
MOD - [2011-08-21 20:33:21 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
MOD - [2011-08-21 20:27:13 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32_.exe
MOD - [2011-08-21 20:27:13 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
SRV - [2011-08-21 20:30:22 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-08-21 20:29:02 | 000,634,880 | ---- | M] () [Auto | Running] -- C:\Windows\update.2\svchost.exe -- (srviecheck)
SRV - [2011-08-21 20:28:44 | 000,355,840 | ---- | M] () [Auto | Running] -- C:\Windows\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-08-21 20:27:13 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-08-21 20:26:18 | 001,213,440 | -H-- | M] () [Auto | Running] -- C:\Windows\update.1\svchost.exe -- (wxpdrivers)
O4 - HKLM..\Run: [1735998.exe] C:\Windows\Temp\1735998.exe ()
O4 - HKLM..\Run: [3313358.exe] C:\Windows\Temp\3313358.exe ()
O4 - HKLM..\Run: [4082171.exe] C:\Windows\Temp\4082171.exe ()
O4 - HKLM..\Run: [5029857.exe] C:\Users\Paweł\AppData\Local\Temp\5029857.exe ()
O4 - HKLM..\Run: [736230.exe] C:\Users\Paweł\AppData\Local\Temp\736230.exe ()
O4 - HKLM..\Run: [99641612-loader2.exe] C:\Windows\Temp\99641612-loader2.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-21 20:31:29 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-08-21 20:31:29 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011-08-21 20:31:29 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-08-21 20:30:23 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011-08-21 20:29:03 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-08-21 20:28:46 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-08-21 20:26:50 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-08-21 22:03:58 | 000,000,292 | ---- | M] () -- C:\Windows\tasks\AutoKMS.job
[2011-08-21 22:03:53 | 000,000,734 | ---- | M] () -- C:\Windows\System32\drivers\etc\hîsts
[2011-08-21 21:36:58 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-08-21 21:36:58 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-08-21 21:36:58 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-08-21 21:36:58 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-08-21 20:34:13 | 000,000,178 | ---- | M] () -- C:\Windows\info1
[2011-08-21 20:33:21 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
[2011-08-21 20:29:00 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-08-21 20:28:06 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
[2011-08-21 20:27:13 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32_.exe
[2011-08-21 20:27:13 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
[2011-08-21 20:29:01 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist

:Commands
[emptytemp]
[resethosts]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu

Post21 sie 2011, 23:24

Dzięki za szybką odpowiedź!

Log po zabiegu:

Dostępne tylko dla zarejestrowanych użytkowników

Mam nadzieje że wszystko poszło

Strona WWW · Post21 sie 2011, 23:28

Tak wszystko wydaje się być ok, naciśnij w OTL sprzątanie to go usunie

Post21 sie 2011, 23:33

Wykonaj jeszcze mini-skrypt:

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0

:Files
C:\USERS\PAWEĹ?\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\E0Z4OSL2.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
C:\USERS\PAWEĹ?\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\E0Z4OSL2.DEFAULT\EXTENSIONS\TESTPILOT@LABS.MOZILLA.COM.XPI
C:\Windows\tasks\AutoKMS.job
C:\Windows\_system.dat

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

Klik w Wykonaj Skrypt.

Post21 sie 2011, 23:44

Wykonalem wszystko, już drugi raz się nie dam nabrać. Tyle lat udało mi się uchować bez takich akcji ale... nie zastanowiło mnie to że wiadomość w której był link, była po angielsku a dostałem ją od znajomego który ma problemy z ogarnięciem się po polsku

Jeszcze raz dzięki pozdrawiam!