Wirus z FB "Hi"

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
hodur

Użytkownik
Posty: 3
Rejestracja: 21 sie 2011, 21:51

Wirus z FB "Hi"

Post21 sie 2011, 23:09

Witam.
Widzę że nie jestem osamotniony w próbach naprawy mojego kompa.Po przeczytaniu paru powyższych postów przesyłam oczywiście potrzebne dane do Mistrza od tego typu spraw ;)

Extras Dostępne tylko dla zarejestrowanych użytkowników
OTL- Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziekuje za pomoc :)
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Wirus z FB "Hi"

Post21 sie 2011, 23:42

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O31 - SafeBoot: AlternateShell - services32.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O4 - HKU\S-1-5-21-583907252-1123561945-1606980848-1003..\Run: [PCSpeedUp] File not found
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-21-583907252-1123561945-1606980848-1003..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] File not found
O4 - HKLM..\Run: [avgnt] File not found
O4 - HKLM..\Run: [egui] File not found
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
SRV - [2011-08-21 20:15:50 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
[2011-08-21 20:23:37 | 000,000,178 | ---- | M] () -- C:\WINDOWS\info1
[2011-08-21 20:14:17 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-08-21 20:14:17 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-08-21 20:14:17 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-08-21 20:14:15 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-08-21 20:12:23 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-08-21 20:11:05 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-08-21 21:12:20 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-21 22:51:01 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-583907252-1123561945-1606980848-1003Core.job
[2011-08-21 22:51:00 | 000,001,132 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-583907252-1123561945-1606980848-1003UA.job
[2011-08-21 22:37:03 | 000,000,000 | ---- | M] () -- C:\WINDOWS\TempFile
[2011-08-21 20:14:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-21 20:14:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix

:Files
C:\WINDOWS\av_ico
C:\WINDOWS\update.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. W aplecie panelu sterowania (Dodaj lub usuń programy) do deinstalacji śmieć: vShare Plugin

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Usuń wszystkie poszkodowane AV (AVIRA i NODA)

5. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

6. Tworzysz i wklejasz log z Dostępne tylko dla zarejestrowanych użytkowników. Jeżeli coś wykryje ignoruj a jedynie wklej loga.

7. Pokaż zawartość pliku boot.ini

Czyli końcowo pokazujesz:
  • Raport z usuwania OTL (po restarcie),
  • Raport z czyszczenia Ad-Remover'em,
  • Nowe logi z OTL.
  • Log z TDSSKiller'a
Na górę
hodur

Użytkownik
Posty: 3
Rejestracja: 21 sie 2011, 21:51

Wirus z FB "Hi"

Post22 sie 2011, 22:09

Troche to trwało ale w końcu sie udało.
Robie to pierwszy raz ale mam nadzieje ze nic nie pomyliłem... a wiec według zaleceń podaje niżej wszystkie informacje.

* Raport z usuwania OTL (po restarcie)- Dostępne tylko dla zarejestrowanych użytkowników
* Raport z czyszczenia Ad-Remover'em- Dostępne tylko dla zarejestrowanych użytkowników
* Nowe logi z OTL-
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

* Log z TDSSKiller'a- Dostępne tylko dla zarejestrowanych użytkowników
* zawartoś pliku boot.ini- Dostępne tylko dla zarejestrowanych użytkowników

:)

-- 22 sie 2011, 22:09 --

Hejka. No i była by szansa na sprawdzenie moich logów?
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Wirus z FB "Hi"

Post23 sie 2011, 09:15

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin: C:\Program Files\FunWebProducts\Installr\2.bin\NPFunWeb.dll File not found
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
SRV - File not found [On_Demand | Stopped] -- -- (NMIndexingService)

:Files
C:\WINDOWS\TempFile
C:\WINDOWS\geoiplist
C:\Documents and Settings\All Users\Dane aplikacji\~uDkZ33VsBCC
C:\Documents and Settings\All Users\Dane aplikacji\~uDkZ33VsBCCr
C:\Documents and Settings\All Users\Dane aplikacji\uDkZ33VsBCC
C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\FireFox\Profiles\yzx8qb75.default\extensions\vshare@toolbar

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[Reboot]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Po restarcie pokaż raport który się wyświetli.
Na górę
hodur

Użytkownik
Posty: 3
Rejestracja: 21 sie 2011, 21:51

Wirus z FB "Hi"

Post23 sie 2011, 10:21

po restarce Dostępne tylko dla zarejestrowanych użytkowników
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Wirus z FB "Hi"

Post23 sie 2011, 10:54

Powinno być OK.

1.
File move failed. C:\WINDOWS\TempFile scheduled to be moved on reboot.

Spróbój usunąć to ręcznie.

2. Uruchom OTL i wciśnij Sprzątanie.

3. Uruchom Ad-Remover i wciśnij UNINSTALL.

4. Aktualizacje:
Internet Explorer (Version = 7.0.5730.13)
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.8.3 (Full)
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype? 4.0
"Mozilla Firefox (3.6.20)" = Mozilla Firefox (3.6.20)


5. Do wyczyszczenia punkty przywracania systemu: Dostępne tylko dla zarejestrowanych użytkowników

6. Zalecam ponowne PEŁNE SKANOWANIE SYSTEMU za pomocą MalwareBytes Anti-Malware . Przed skanowaniem zaaktualizuj ręcznie bazę wirusów. Usuń to co znajdzie i wklej raport końcowy po czyszczeniu.

7. Pozmieniałbym hasła do wszystkich kont jakich używałaś.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Google [Bot] i 2 gości