wirus z facebooka wysyła sam wiadomości

Post05 maja 2014, 14:21

Chodzi mi o to:

1. Otwórz notatnik i wklej:

R1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64; C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys [61120 2014-04-24] (StdLib)
R2 Update WiseEnhance; C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe [316704 2014-05-04] ()
R2 Util WiseEnhance; C:\Program Files (x86)\WiseEnhance\bin\utilWiseEnhance.exe [316704 2014-05-04] ()
BHO-x32: WiseEnhance - {bc8c4384-d19c-474b-a298-c90b7e5c5204} - C:\Program Files (x86)\WiseEnhance\WiseEnhancebho.dll (WiseEnhance)
C:\Program Files (x86)\WiseEnhance
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro
C:\Users\Public\Desktop\RegClean Pro.lnk
C:\Program Files (x86)\RegClean Pro
C:\Users\Gość\xobglu16.dll
C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys
C:\Users\Gość\xobglu32.dll
C:\Users\Gość\AppData\Roaming\{2b84714d-f091-b1de-51cf-64852b84714d}
C:\Users\Gość\AppData\Roaming\*.exe
C:\Users\Gość\AppData\Roaming\WB.CFG
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Post07 maja 2014, 09:16

Sorki że tak długo nie odpisywałem ale nie miałem czasu na komputer. Wczoraj odzyskałem dostęp do facebooka z drugiego komputera. Ale mimo to na tym nie chce ryzykować i się na nim nie loguje. Chce mieć 100% pewność że nie mam żadnych wirusów
fixlog.txt
Dostępne tylko dla zarejestrowanych użytkowników
Tak na marginesie co jest nie tak z moim komputerem?

Post07 maja 2014, 09:19

To idzie z Twoim komputerem, że nic się nie chce usunąć.
Tylko dlaczego? Tak jakby był on blokowany przez coś...
Antywirus nic nie krzyczy?
Daj log z ComboFixa: Dostępne tylko dla zarejestrowanych użytkowników

Post07 maja 2014, 09:31

Robie skanowanie teraz Malwarebytes i 48 wykrytych objektów(a to dopiero początek) Jakieś trojany Agent.ED Ransom.Ed i Spyware.Zeus i Zbot.
Antywirus nic nie krzyczy żadnych komunikatów....Nie wiem co się dzieje.A może format by załatwił sprawę?
Nie mam dostępu do programu Combofix bo nie mam konta administratora
Wkleje raport z Malwarebytes
Dostępne tylko dla zarejestrowanych użytkowników

Post07 maja 2014, 10:01

To już wiem dlaczego żadne usuwanie się nie wykonuje - brak uprawnień administratora.

1. Otwórz notatnik i wklej:

R1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64; C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys [61120 2014-04-24] (StdLib)
R2 Update WiseEnhance; C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe [316704 2014-05-04] ()
R2 Util WiseEnhance; C:\Program Files (x86)\WiseEnhance\bin\utilWiseEnhance.exe [316704 2014-05-04] ()
BHO-x32: WiseEnhance - {bc8c4384-d19c-474b-a298-c90b7e5c5204} - C:\Program Files (x86)\WiseEnhance\WiseEnhancebho.dll (WiseEnhance)
C:\Program Files (x86)\WiseEnhance
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro
C:\Users\Public\Desktop\RegClean Pro.lnk
C:\Program Files (x86)\RegClean Pro
C:\Users\Gość\xobglu16.dll
C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys
C:\Users\Gość\xobglu32.dll
C:\Users\Gość\AppData\Roaming\{2b84714d-f091-b1de-51cf-64852b84714d}
C:\Users\Gość\AppData\Roaming\*.exe
C:\Users\Gość\AppData\Roaming\WB.CFG
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST, tym razem PPM > ,,Uruchom jako Administrator" i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Jeżeli nie pójdzie to będzie to trzeba wykonywać albo na koncie administratora albo ... ręcznie

Post07 maja 2014, 10:06

fixlog.txt

Dostępne tylko dla zarejestrowanych użytkowników

Post07 maja 2014, 18:05

Nie możesz zalogować się do konto Administratora?

Post08 maja 2014, 18:01

Mogę tylko muszę przekonać tatę że komputer jest zawirusowany. Pokazuje mu skanowanie programem Malwarebytes a on z tego nic nie robi. Przeskanował swoim antywirusem i tam nic nie wykryło i dla niego jest ok. Napisz coś takiego by uświadomiło mu iż z komputerem jest coś nie tak

Post08 maja 2014, 18:16

Powiedz dla taty, że Antywirus jest słaby. W logach widać dużo więcej i jeżeli tego się nie usunie to może zniszczyć system.
Wymyśl coś.

Post08 maja 2014, 18:22

Napisz może co konkretnego widać w logach. Może w końcu uda mi się go przekonać. Na szczęście mój komputer jest czysty

Post08 maja 2014, 18:35

Nie wiem czy coś z tego zrozumie ale:

[2014-05-03 13:17:39 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\00057FD9.exe
[2014-05-03 12:17:48 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\00064845.exe
[2014-05-02 17:14:21 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004B885.exe
[2014-05-02 17:14:19 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004B089.exe
[2014-05-02 14:57:26 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004FF35.exe
[2014-05-02 14:57:18 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004E1D6.exe
[2014-05-02 13:27:45 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\000509DF.exe
[2014-05-02 13:27:43 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\00050270.exe
[2014-05-02 12:45:12 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004F814.exe
[2014-05-02 12:45:12 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004F7C6.exe
[2014-05-02 12:45:10 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004F121.exe
[2014-05-02 12:45:10 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004F095.exe
[2014-05-02 10:43:25 | 000,331,776 | ---- | M] ( ) -- C:\Users\Gość\AppData\Roaming\0004D558.exe
[2014-05-02 10:43:21 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004C5FC.exe
[2014-05-02 00:55:26 | 000,331,776 | ---- | M] ( ) -- C:\Users\Gość\AppData\Roaming\0072EA41.exe
[2014-05-02 00:55:24 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0072E39C.exe
[2014-05-01 23:55:19 | 000,331,776 | ---- | M] ( ) -- C:\Users\Gość\AppData\Roaming\003BE263.exe
[2014-05-01 23:55:12 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\003BC6D8.exe
[2014-05-01 22:55:05 | 000,331,776 | ---- | M] ( ) -- C:\Users\Gość\AppData\Roaming\0004BC5B.exe
[2014-05-01 22:55:03 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004B46F.exe
[2014-05-01 20:30:30 | 000,331,776 | ---- | M] ( ) -- C:\Users\Gość\AppData\Roaming\0004C9B4.exe
[2014-05-01 20:30:28 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0004C1E7.exe
[2014-05-01 13:15:38 | 000,081,920 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\000580C3.exe
[2014-05-01 13:15:35 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\00057406.exe
[2014-05-01 00:22:11 | 000,098,304 | ---- | M] ( ) -- C:\Users\Gość\AppData\Roaming\00A9F2CA.exe
[2014-05-01 00:22:10 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\00A9F0C7.exe
[2014-04-30 23:22:06 | 000,098,304 | ---- | M] ( ) -- C:\Users\Gość\AppData\Roaming\0072EFBD.exe
[2014-04-30 23:22:05 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\0072ED3D.exe
[2014-04-30 22:22:00 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\003BEA6E.exe
[2014-04-30 22:22:00 | 000,098,304 | ---- | M] ( ) -- C:\Users\Gość\AppData\Roaming\003BEC90.exe
[2014-04-30 21:22:07 | 000,098,304 | ---- | M] ( ) -- C:\Users\Gość\AppData\Roaming\0005188E.exe
[2014-04-30 21:22:05 | 000,315,392 | ---- | M] () -- C:\Users\Gość\AppData\Roaming\00051006.exe

To wszystko jest infekcja Facebookowa. Tworzy ona losowe pliki *.exe .
Skutki są znane: wysyłanie wiadomości właśnie z wirusem, blokada Facebooka, zamulenie systemu

+

mamy tutaj:

O2 - BHO: (WiseEnhance) - {bc8c4384-d19c-474b-a298-c90b7e5c5204} - C:\Program Files (x86)\WiseEnhance\WiseEnhancebho.dll (WiseEnhance)

Sama deinstalacja mało się zda. To nowe formy adware z grupy Sambreel nie usuwają go przy deinstalacji. Sterownik dalej czynny jest w systemie.

Post08 maja 2014, 18:36

Ok pokaże mu to. Teraz mam pytanko ile czasu mniej więcej będzie trwało usuwanie tego?

Post08 maja 2014, 18:37

Ogólnie to jeden restart komputera ~minuta?

Post08 maja 2014, 18:42

Dobra po godzinie 20 będę miał dostęp do konta wiec proszę napisz co mam zrobić.

Post08 maja 2014, 18:44

W pierwszej kolejności wykonaj nowy komplet logów z OTL - chce zobaczyć na jakim etapie stoimy i co zostało.