Wirus z FB.

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Verlinek

Użytkownik
Posty: 3
Rejestracja: 19 paź 2011, 13:48

Wirus z FB.

Post19 paź 2011, 13:52

Witam!
Zwlekałem, zwlekałem ale w końcu postanowiłem pozbyć się raz na zawsze problemu z FB. :P Wirus usunięty teraz tylko odzyskać dostęp do portalu. :)

OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Extras:
Dostępne tylko dla zarejestrowanych użytkowników
Na górę
filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Wirus z FB.

Post19 paź 2011, 14:01

1) Użyj >Dostępne tylko dla zarejestrowanych użytkowników i kliknij w nim Clean
Link zapasowy > Dostępne tylko dla zarejestrowanych użytkowników
Pokaż raport z niego.

2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
O31 - SafeBoot: AlternateShell - services32.exe
SRV - [2011/08/19 21:39:55 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\windows\update.7.1\svchostdriver.exe -- (ddservice)
IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=CPUID&o=14654&locale=en_US&apn_uid=CCE3036A-C975-48E2-8E65-522EA8037398&apn_ptnrs=CV&apn_sauid=A045E75E-9A0F-424A-81F9-6028CAC9D63F&apn_dtid=YYYYYYYYPL&&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2011/09/13 18:05:10 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\xyj3rbcp.default\extensions\toolbar@ask.com
[2011/10/18 15:52:18 | 000,002,574 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\xyj3rbcp.default\searchplugins\askcom.xml
[2011/10/03 21:28:03 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3:64bit: - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000..\Run: [Start WingMan Profiler] File not found
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200 File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found
[2011/08/19 00:01:30 | 000,246,272 | ---- | C] () -- C:\windows\unrar.exe
[2011/08/19 00:00:12 | 000,000,000 | ---- | C] () -- C:\windows\loader2.exe_ok

:Files
C:\windows\update.1
C:\Windows\services32.exe
C:\windows\update.2

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\windows\update.1\svchost.exe"=-
"C:\windows\services32.exe"=-
"C:\Windows\update.tray-7-0\svchost.exe"=-
"C:\Windows\update.tray-9-0\svchost.exe"=-
"C:\windows\update.2\svchost.exe"=-
"C:\windows\update.1\svchost.exe"=-
"C:\windows\services32.exe"=-
"C:\Windows\update.tray-7-0\svchost.exe"=-
"C:\Windows\update.tray-9-0\svchost.exe"=-
"C:\windows\update.2\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]


Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.
Ostatnio zmieniony 19 paź 2011, 14:14 przez filutka78, łącznie zmieniany 2 razy.
Na górę
Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:
Skontaktuj się z djkamil09061991

Wirus z FB.

Post19 paź 2011, 14:03

Odinstaluj poprzez dodaj usuń programy Ask Toolbar oraz Conduit Engine.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
SRV - [2011/08/19 21:39:55 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\windows\update.7.1\svchostdriver.exe -- (ddservice)
IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=CPUID&o=14654&locale=en_US&apn_uid=CCE3036A-C975-48E2-8E65-522EA8037398&apn_ptnrs=CV&apn_sauid=A045E75E-9A0F-424A-81F9-6028CAC9D63F&apn_dtid=YYYYYYYYPL&&q="
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000..\Run: [Start WingMan Profiler] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O31 - SafeBoot: AlternateShell - services32.exe
[2011/08/19 00:01:30 | 000,246,272 | ---- | C] () -- C:\windows\unrar.exe
[2011/08/19 00:00:12 | 000,000,000 | ---- | C] () -- C:\windows\loader2.exe_ok

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\Kamil\Downloads\Flash-Player.exe"=-
"C:\windows\update.1\svchost.exe"=-
"C:\windows\services32.exe"=-
"C:\Windows\update.tray-7-0\svchost.exe"=-
"C:\Windows\update.tray-9-0\svchost.exe"=-
"C:\windows\update.2\svchost.exe"=-
"C:\Users\Kamil\Downloads\Flash-Player.exe"=-
"C:\windows\update.1\svchost.exe"=-
"C:\windows\services32.exe"=-
"C:\Windows\update.tray-7-0\svchost.exe"=-
"C:\Windows\update.tray-9-0\svchost.exe"=-
"C:\windows\update.2\svchost.exe"=-

:Commands
[emptyflash]
[resethosts]
[emptytemp]


Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.
Na górę
Verlinek

Użytkownik
Posty: 3
Rejestracja: 19 paź 2011, 13:48

Wirus z FB.

Post19 paź 2011, 14:19

Dostępne tylko dla zarejestrowanych użytkowników - raport

Dostępne tylko dla zarejestrowanych użytkowników - logi


Działa wszystko. Dzięki wielkie! :P
Na górę
Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:
Skontaktuj się z djkamil09061991

Wirus z FB.

Post19 paź 2011, 14:27

Verlinek pisze:Działa wszystko. Dzięki wielkie!

Naciśnij w OTL sprzątanie
Na górę
Verlinek

Użytkownik
Posty: 3
Rejestracja: 19 paź 2011, 13:48

Wirus z FB.

Post29 paź 2011, 18:21

djkamil09061991 pisze:Naciśnij w OTL sprzątanie

Okej, gotowe.
Ostatnio zmieniony 29 paź 2011, 18:21 przez djarta, łącznie zmieniany 1 raz.
Powód: Rozwiązany = zamykam
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość