Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Facebook Virus (kolejny) - mam logi

#1
Facebook Virus (kolejny) - mam logi
Witam serdecznie,
wygląda na to, że nie jestem osamotniony.
W skrócie to samo co u pozostałych:
klik na fejkowy link, pobranie Flash-Player.exe, samoistny restart Windowsa, powstaje już tylko w trybie awaryjnym bez sieci.

Moje próby to:
Skanowenie Avastem - bez rezultatów,
Naprawa Instalacji systemu z plyty - nie udana (bluscreen po zaladowaniu sterowników)
Zainstalowanie konsoli odzyskiwania - pokazały się w bootloaderze standardowe opcje, ale nie dziala ani ostatnia dobra konfiguracja, ani awaryjny z siecią, ani wiersz poleceń.
Zawsze odpala awaryjny bez sieci.

Possałem, to, o co prosicie:

RSIT:
http://wklej.org/id/580803/

OTL:
http://wklej.org/id/580804/
http://wklej.org/id/580805/

TDSS:
http://wklej.org/id/580810/

Z góry dziękuję za pomoc.
GMER Jeszcze chodzi...(dosyć długo już)

DDS i SR nie odpalają się - tzn. otwiera mi je Notepad++
... no i jeszcze jedno. Sam plik Flash-Player.exe wywaliłem fizycznie z dysku
GMER: (Coś krtótki, jak na czas mielenia)
http://wklej.org/id/580853/

... a zaraz postram się uporać z tymi vbsami i też je tu dorzucę...
Brakujące SR:
http://wklej.org/id/580952/

MBRCheck:
http://wklej.org/id/580954/

DDSa wciąż nie wiem jak uruchomić... ale może już dzięki tym informacjom coś się uda ruszyć.
 System operacyjny: windows_vista Przeglądarka: opera
#2
RE: Facebook Virus (kolejny) - mam logi
Zamknij wszystkie przeglądarki internetowe.
Odinstaluj pdfforge Toolbar, Application Updater.

Uruchom otl i wklej do niego:
Kod:
:OTL
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O31 - SafeBoot: UseAlternatShell - 1

:Services
wxpdrivers
Application Updater

:Files
C:\WINDOWS\services32.exe
AUTORUN.INF /alldrives
C:\WINDOWS\winlog-ids.txt
C:\WINDOWS\winlog-dirs.txt
C:\Program Files\Application Updater

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
wciśnij wykonaj skrypt. Pokaż log z usuwania przez OTL.
Pokaż nowy zestaw logów.

Użyj SystemLook.exe i wklej do niego:
Kod:
:contents
C:\WINDOWS\del_hf_dll.bat
C:\boot.ini

:regfind
update.7.1
update.5.0
update.2
update.1
update.tray-7-0-lnk
update.tray-7-0
l1rezerv.exe
sysdriver32.exe
services32.exe
rpcminer
av_ico
ufa
phoenix
phoenix.rar
rpcminer.rar
ufa.rar
geoiplist.rar
loader2.exe_ok
update.tray-3-0-lnk
update.tray-3-0
update.tray-8-0-lnk
update.tray-8-0
wciśnij look i pokaż co wyskoczy.

Sprawdź, czy teraz komputer startuje w trybie normalnym.

Czy tu jest preinstalowany system i ukryta partycja ?
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#3
RE: Facebook Virus (kolejny) - mam logi
Dzięki za pomoc.
Odnośnie ostatniego, to tak.
Jest tu zrobiony downgrade visty do xp i jest taka mała partycja recovery.

Co do reszty to zaczynam powoli dzialać.
Logi po odpaleniu skryptu w OTL,

OTL:
http://wklej.org/id/581933/

RSIT:
http://wklej.org/id/581935/

SR:
http://wklej.org/id/581939/

TDSS:
http://wklej.org/id/581941/

GMER:
http://wklej.org/id/581942/

SystemLook wywalił się (błąd krytyczny), ale zdążył zapisać to:
http://wklej.org/id/581944/


Komputer dalej wstaje w awaryjnym.
pdfforge i application updater wywalone.

Czekam na dalsze instrukcje.
(a patrząc na to co się dzieje na forum, to szczerze Wam współczuję, a zarazem jestem bardzo wdzięczny za pomoc. Mam nadzieje, że pomysłodawcy tego żartu uschną jądra... z drugiej strony, tak się nabrać na stary trick.....)
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#4
RE: Facebook Virus (kolejny) - mam logi
Użyj The Avenger v2:
http://cybertrash.pl/images/tata/Avenger/Avenger.html

Komputer uruchom w trybie awaryjnym, uruchom Avengera i wklej do niego:
Kod:
Files to delete:
C:\WINDOWS\services32.exe
C:\WINDOWS\winlog-ids.txt
C:\WINDOWS\winlog-dirs.txt
E:\AUTORUN.INF

Drivers to delete:
Application Updater
wxpdrivers

Registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | wxpdrv

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers
HKEY_LOCAL_MACHINE\SOFTWARE\services32.exe
naciśnij Execute i potwierdź.
Będzie restart, komputer uruchom ponownie w trybie awaryjnym.
Pokaż log z usuwania przez Avengera.

Został zmodyfikowany plik c:\boot.ini przez infekcję - wyłączono DEP oraz "na pałę" jest wpisany start w trybie awaryjnym.
Otwórz plik c:\boot.ini za pomocą notatnika i zamień (to wszystko jest w jednej linii):
Kod:
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff /fastdetect /safeboot:minimal(alternateshell)

na (w jednej linii):
Kod:
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
następnie zapisz zmiany.

Spróbuj uruchomić komputer w normalnym trybie i pokaż nowy, pełny prawidłowo wykonany zestaw logów.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (Facebook Virus (kolejny) - mam logi)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Virus TeslaCrypt , jak odkodować pliki? kacper69 2 5023 02.05.2017, 10:43
Ostatni post: kacper69
  nie działający facebook - brak mozliwości zalogowania do konta KasiaPi 2 4556 27.07.2015, 17:43
Ostatni post: vipdavid
  Zablokowany Facebook - Wygląda na to, że Twój komputer został zainfekowany. Frestil 19 11480 27.05.2015, 05:26
Ostatni post: broda99

Skocz do:


Wybrane wątki (Facebook Virus (kolejny) - mam logi)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Jak usunąć pup.optional... funkyymonk 1 1348 23.03.2018 12:05
Ostatni post: morderca
  Backup a ransomware Grzesiek11 2 5763 19.03.2018 17:30
Ostatni post: ~Anonim
  Przekierowywanie przez przeglądarki na strony "reklamowe", dziwne procesy tic00 24 19193 19.03.2018 12:12
Ostatni post: Illidan
  POMOCY PENDRIVE TWORZY SKROT macuskowal 4 6216 15.03.2018 22:27
Ostatni post: macuskowal
  AntiVir Command Line Scanner for Windows - Jak usunąć? Silver102 2 1231 14.03.2018 17:27
Ostatni post: Silver102
  Brak polskich znaków w folderach po podlączeniu pendrive zgrzytek 2 5873 13.03.2018 18:41
Ostatni post: zgrzytek
  AVAST UKAZUJE ZBĘDNE PLIKI. TADEUSZ_1956 5 9971 13.03.2018 03:39
Ostatni post: TADEUSZ_1956
  Po uruchomieniu laptopa włącza się jakaś ruska strona emilka100 10 2864 13.03.2018 02:43
Ostatni post: Illidan
  Ręczne uruchamianie AV oraz powolny start systemu. raxer 1 975 13.03.2018 02:28
Ostatni post: Illidan
  Eset antywirus - deinstalacja ramirez77 4 5551 11.03.2018 21:18
Ostatni post: Michu_PL
  Po kliknieciu w program nie uruchamia sie [szpieg?] rowerzysta 3 1075 11.03.2018 14:53
Ostatni post: broda99
  Wirus Browser redirect. Jak się go pozbyć? LordMefi 2 6735 08.03.2018 12:12
Ostatni post: LordMefi
  Podejrzane procesy: avguirna.exe, igfxTray, hppusg, program [wydzielone] moplefan 2 5465 06.03.2018 20:58
Ostatni post: moplefan
  Spowolnienie komputera PaTrYkus44 9 6107 24.02.2018 01:16
Ostatni post: PaTrYkus44
  gameorplay.info jak to usunąć? kingaa 1 1301 23.02.2018 20:40
Ostatni post: morderca