Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Wirus z facebooka (koobface) - prośba o pomoc + logi

#1
Wirus z facebooka (koobface) - prośba o pomoc + logi
Witam, niestety też padłem dzisiaj ofiarą tego cholerstwa i nie mam pojęcia jak się go pozbyć.
Objawy klasyczne tj. ciągłe resety kompa i czerwony komunikat EPM niezależnie od użytego antywirusa.
Ubiłem procesy popsutych antywirów, dzięki temu mogę jakoś funkcjonować na tym kompie dopóki tego nie zlikwiduję (a formata naprawdę chciałbym uniknąć)

OTL: http://wklej.to/3a9S6
EXTRAS: http://wklej.to/1Njol

SpywareDoctor wykrywa 250 infekcji, główny sprawca - KillAV
Sam wirus to plik exe znajdujący się w c/windows/update.1 (czerwona ikona z F jak logo Flasha)

Z góry dziękuję i pozdrawiam.
 System operacyjny: windows_seven Przeglądarka: firefox
#2
RE: Wirus z facebooka (koobface) - prośba o pomoc + logi
Zamknij wszystkie przeglądarki internetowe, odinstaluj Winamp Toolbar, Daemon Tools Toolbar, uruchom otl i wklej do niego:
Kod:
:OTL
IE - HKU\S-1-5-21-747133503-3744820139-1834213218-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
O4 - HKLM..\Run: [1450135.exe] C:\Windows\Temp\1450135.exe ()
O4 - HKLM..\Run: [3779065.exe] C:\Windows\Temp\3779065.exe ()
O4 - HKLM..\Run: [39860712-loader2.exe] C:\Windows\Temp\39860712-loader2.exe ()
O4 - HKLM..\Run: [5540968.exe] C:\Windows\Temp\5540968.exe ()
O4 - HKLM..\Run: [8342595.exe] C:\Users\alewis21\AppData\Local\Temp\8342595.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-9-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()

:Services
srvbtcclient
srvsysdriver32
wxpdrivers
srviecheck
ddservice

:Files
%Windir%\l1rezerv.exe
%Windir%\update.*
%Windir%\sysdriver32.exe
%Windir%\services32.exe
%Windir%\rpcminer
%Windir%\av_ico
%Windir%\av_ico1
%Windir%\av_ico2
%Windir%\av_ico3
%Windir%\av_ico4
%Windir%\ufa
%Windir%\phoenix
%Windir%\phoenix.rar
%Windir%\rpcminer.rar
%Windir%\unrar.exe
%Windir%\ufa.rar
%Windir%\info1
%Windir%\geoiplist.rar
%Windir%\geoiplist
%Windir%\loader2.exe_ok
%Windir%\winlog-ids.txt
%Windir%\winlog-dirs.txt
%Windir%\btc_client_iplist.txt
%Windir%\iecheck_iplist.txt
%Windir%\iplist.txt
%Windir%\front_ip_list.txt
%Windir%\systemup.exe
RECYCLER /alldrives
%Windir%\System32\drivers\etc\hosts | %Windir%\System32\drivers\etc\hîsts /replace

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\sysdriver32.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\systeminfog]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SERVICES32.EXE]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\l1rezerv.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico3]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico4]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdriver32.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wxpdrv]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systemup.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdriver32_.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

:Commands
[emptyflash]
[emptytemp]
wciśnij wykonaj skrypt.

Użyj SystemLook x64 i wklej do niego:
Kod:
:contents
c:\boot.ini
C:\Windows\ampa.ini

:file
C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
C:\Windows\SysNative\ampa.sys
C:\Windows\ampa.exe
wcisnij look i pokaż co wyskoczy.

Plik:
C:\Windows\SysNative\ampa.sys
przeskanuj na http://www.virustotal.com i podaj link do wyniku (aktualnego !).

Zastosuj się do wątków przyklejonych:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t

W przeciwnym wypadku temat nie będzie kontynuowany.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
ampa.exeJak usunac wirusa koobface z fb ?windows ampa.syswindowsampa.exe

Podobne wątki (Wirus z facebooka (koobface) - prośba o pomoc + logi)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  zabezpieczenia przed keyloggerami? prośba o pomoc Agnieszka19861 4 5381 24.12.2018, 22:44
Ostatni post: Fix00ser
  prośba o pomoc : http://gmaegames.pro ... hc210pop 14 11137 24.12.2018, 21:20
Ostatni post: hc210pop
  Czy programy do hakowania facebooka działają? Majki_77 2 6417 06.02.2018, 16:35
Ostatni post: Michu_PL

Skocz do:


Wybrane wątki (Wirus z facebooka (koobface) - prośba o pomoc + logi)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Skrót do pendrivea po podłączeniu go do komputera winuszka 4 5190 08.06.2018 16:29
Ostatni post: morderca
  Jak usunąć wyszukiwarkę yahoo Bobson1337 6 1427 06.06.2018 21:53
Ostatni post: Bobson1337
  Perfidnie wyskakujące Popup, dlaczego? waple 4 4899 05.06.2018 20:02
Ostatni post: avecezar
  Kaspersky niemoże usunąć rootkita Ymir6066 4 1190 03.06.2018 16:48
Ostatni post: morderca
  przekierowanie w Chrome robert14-83 2 5328 25.05.2018 12:45
Ostatni post: robert14-83
  Sms i potencjalna kradzież Majki_77 5 5072 25.05.2018 10:30
Ostatni post: ptrick
  WIrus, blokujący antywirusy Slaox 1 4988 24.05.2018 08:23
Ostatni post: morderca
  "svchost próbuje połączyć się z internetem" - Comodo Mojmor23 11 10778 20.05.2018 21:32
Ostatni post: Illidan
  Co poradzić na ataki DDoS ? Alpha_Centauri 0 4947 16.05.2018 23:18
Ostatni post: Alpha_Centauri
  Długie otwieranie się przeglądarki i sytemu ricardo59 8 5366 12.05.2018 17:56
Ostatni post: ricardo59
  Win32:Malware-gen vader00x 1 5369 08.05.2018 18:44
Ostatni post: morderca
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 111 150265 06.05.2018 21:35
Ostatni post: Illidan
  Niepotrzebne strony z firefox greg8403 1 5181 02.05.2018 17:50
Ostatni post: morderca
Sad Rosyjski wirus-Pomocy! Dodo9801 6 5452 30.04.2018 15:33
Ostatni post: Dodo9801
Ściana Kopalnia z svchost w tle Matieo96 3 6388 26.04.2018 01:49
Ostatni post: Illidan