Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

wirus z facebooka, prosze o pomoc

#1
wirus z facebooka, prosze o pomoc
Serdecznie witam. Jestem jedna z tych wielu osob, ktore daly sie na to nabrac. Rozmawiajac z kolezanka, wyslala mi ona ten link, nie pomyslalam nawet o tym, ze to moze byc wirus, ona tez nie wiedziala co to jest. NIe znam sie zbyt dobrze na komputerach, ale mam nadzieje, ze ktos mi pomoze z tym problemem.

wklejam logi
http://wklej.org/id/569133/
otl:
http://wklej.org/id/569146/
 System operacyjny: windows_xp_2003 Przeglądarka: chrome
#2
RE: wirus z facebooka, prosze o pomoc
Jest trochę więcej syfu ...
Do OTL w własne pole skanowania/skrypt:
Kod:
:Processes
killallprocesses

:OTL
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [avast]  File not found
O4 - HKLM..\Run: [590149.exe] C:\WINDOWS\TEMP\590149.exe ()
O4 - HKLM..\Run: [70130575-loader2.exe] C:\WINDOWS\TEMP\70130575-loader2.exe ()
O4 - HKLM..\Run: [7527940.exe] C:\WINDOWS\TEMP\7527940.exe ()
O4 - HKLM..\Run: [893509.exe] C:\Documents and Settings\User\Ustawienia lokalne\Temp\893509.exe ()
O4 - HKLM..\Run: [9948153.exe] C:\WINDOWS\TEMP\9948153.exe ()
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
O2 - BHO: (Updater For VMN Toolbar) - {d5b8015d-68af-4b2c-9412-e349d82ab4a2} - C:\Program Files\vmndtxtb\auxi\vmndtxAu.dll (Visicom Media)
O2 - BHO: (VMN Toolbar) - {f379a94e-3c5d-4bad-b32c-0e3af1cc3617} - C:\Program Files\vmndtxtb\vmndtxDx.dll ()
O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (VMN Toolbar) - {f379a94e-3c5d-4bad-b32c-0e3af1cc3617} - C:\Program Files\vmndtxtb\vmndtxDx.dll ()
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
SRV - [2011-07-27 16:49:57 | 000,502,272 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-07-26 09:21:19 | 000,348,672 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-07-25 18:38:20 | 000,256,000 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-07-25 18:24:22 | 001,185,280 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)

:files
C:\Program Files\AskTBar
C:\WINDOWS\ufa
C:\WINDOWS\rpcminer
C:\WINDOWS\phoenix
C:\WINDOWS\update.5.0
C:\WINDOWS\update.2
C:\WINDOWS\av_ico
C:\WINDOWS\update.1
C:\WINDOWS\update.tray-7-0-lnk
C:\WINDOWS\update.tray-7-0
C:\WINDOWS\WMSysPr9.prx
C:\WINDOWS\phoenix.rar
C:\WINDOWS\unrar.exe
C:\WINDOWS\ufa.rar
C:\WINDOWS\rpcminer.rar
C:\WINDOWS\systemup.exe
C:\WINDOWS\l1rezerv.exe
C:\WINDOWS\geoiplist.rar
C:\WINDOWS\loader2.exe_ok
C:\WINDOWS\sysdriver32_.exe
C:\WINDOWS\sysdriver32.exe
C:\WINDOWS\services32.exe

:Commands
[emptytemp]
[emptyflash]

Wykonaj skrypt . Pokaż log z usuwania Wesoły
 System operacyjny: windows_seven Przeglądarka: firefox
#3
RE: wirus z facebooka, prosze o pomoc
Moze to głupie, ze pytam, ale to wszystko, o co prosisz zebym zrobila jest w pelni bezpieczne dla komputera?
 System operacyjny: windows_xp_2003 Przeglądarka: chrome
#4
RE: wirus z facebooka, prosze o pomoc
Dodatkowo SystemLook wklej:
Kod:
:file
C:\WINDOWS\System32\BUTIL.DLL

:contents
C:\WINDOWS\BTI.INI

:filefind
590149.exe
70130575-loader2.exe
7527940.exe
893509.exe
9948153.exe
l1rezerv.exe
sysdriver32.exe
sysdriver32_.exe
systemup.exe
svchost.exe
services32.exe
ufa
rpcminer
phoenix
hîsts
info1
unrar.exe
loader2.exe_ok

:regfind
590149.exe
70130575-loader2.exe
7527940.exe
893509.exe
9948153.exe
l1rezerv.exe
sysdriver32.exe
sysdriver32_.exe
systemup.exe
svchost.exe
services32.exe
tray_ico
ufa
rpcminer
phoenix
hîsts
info1
unrar.exe
loader2.exe_ok

:folderfind
ufa
Look, pokaż raport.

Po wykonaniu tego co zalecił BarnaS pokaż nowy log z OTL (również Extras) oraz logi z RSIT i Gmer.

Wszystkie opisane kroki są bezpieczne.
[Obrazek: 20075.jpg]
[Obrazek: musicbar.php?username=SmallTux&color=black]
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: wirus z facebooka, prosze o pomoc
Mimo iż moja osoba dopiero lekko praktykuje sprawdzanie logów to na forum jest wiele przypadków tego typu w których to usunąłem i działa Szczerbol Usuwam to co wyraźnie widzę że jest szkodliwe więc będzie dobrze jeśli to chciałaś/łeś usłyszec.
 System operacyjny: windows_seven Przeglądarka: firefox
#6
RE: wirus z facebooka, prosze o pomoc
Nie wiem, czy dzisiaj, to nie za późno na te rzeczy, ale zrobiłam to o co prosiliście i przesyłam logi:
LOOK:
http://wklej.org/id/579230/

OTL:
http://wklej.org/id/579236/
 System operacyjny: windows_xp_2003 Przeglądarka: chrome
#7
RE: wirus z facebooka, prosze o pomoc
Do OTL wklej:
Kod:
:Files
C:\WINDOWS\update.*

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\590149.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\590149.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\7527940.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\7527940.exe"=-
[HKEY_USERS\S-1-5-21-57989841-329068152-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\7527940.exe"="-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\7527940.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\DOCUME~1\User\USTAWI~1\Temp\893509.exe"=-
[HKEY_USERS\S-1-5-21-57989841-329068152-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\DOCUME~1\User\USTAWI~1\Temp\893509.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\9948153.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\9948153.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\l1rezerv.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\l1rezerv.exe"=-
[HKEY_USERS\S-1-5-21-57989841-329068152-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\l1rezerv.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\l1rezerv.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\sysdriver32.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\sysdriver32.exe]
[HKEY_USERS\S-1-5-21-57989841-329068152-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\sysdriver32.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\sysdriver32_.exe"=-
[HKEY_USERS\S-1-5-21-57989841-329068152-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\sysdriver32_.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\systemup.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\systemup.exe"=-
[HKEY_USERS\S-1-5-21-57989841-329068152-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\systemup.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.3\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.2\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.3\svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\systemup.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.2\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.3\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.2\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.3\svchost.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.2\svchost.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.5.0\svchost.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.3\svchost.exe"=-
[HKEY_USERS\S-1-5-21-57989841-329068152-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
[HKEY_USERS\S-1-5-21-57989841-329068152-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.3\svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.2\svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.5.0\svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\update.3\svchost.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\services32.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\services32.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot]
"AlternateShell"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"=-
[HKEY_USERS\S-1-5-21-57989841-329068152-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\services32.exe"=-
Wykonaj skrypt, pokaż raport.

Pokaż zestaw nowych logów.
[Obrazek: 20075.jpg]
[Obrazek: musicbar.php?username=SmallTux&color=black]
 System operacyjny: windows_seven Przeglądarka: firefox
#8
RE: wirus z facebooka, prosze o pomoc
Po wykonaniu skryptu:
http://wklej.org/id/579661/

Nowe logi:
http://wklej.org/id/579667/
 System operacyjny: windows_xp_2003 Przeglądarka: chrome
#9
RE: wirus z facebooka, prosze o pomoc
Wirus się odrodził.

Daj cały zestaw logów: OTL >> ustawienia - Skanuj - zapisz logi (szt. 2), uruchom GMER ("szukaj" po pre-skanie), RSIT > log i MBRCheck.
* Uruchamiaj tylko 1 program na raz! *
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#10
RE: wirus z facebooka, prosze o pomoc
Mam nadzieje, że zrobiłam wszystko tak, jak nalezało.
Nie wiem, czy to jest ważne, ale dodam, że strona facebook mi się wogóle nie uruchamia.

OTL:
http://wklej.org/id/579701/
http://wklej.org/id/579702/

GMER:
dysk C: http://wklej.org/id/579706/
dysk D: http://wklej.org/id/579721/

RSIT:
http://wklej.org/id/579722/

MBRCheck:
http://wklej.org/id/579724/
 System operacyjny: windows_xp_2003 Przeglądarka: chrome
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
co to jest shellnoroamshellnoroam co to jest

Podobne wątki (wirus z facebooka, prosze o pomoc)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Czy programy do hakowania facebooka działają? Majki_77 2 6839 06.02.2018, 16:35
Ostatni post: Michu_PL
  Prawidłowe logowanie na facebooka innym emailem kameleon90 1 4400 29.05.2016, 16:17
Ostatni post: dziara1986
Sad super optimizer- wirus ? Proszę o Pomoc. ssebqq 9 3590 17.08.2015, 21:55
Ostatni post: S3buus

Skocz do:


Wybrane wątki (wirus z facebooka, prosze o pomoc)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Perfidnie wyskakujące Popup, dlaczego? waple 4 5226 05.06.2018 20:02
Ostatni post: avecezar
  Kaspersky niemoże usunąć rootkita Ymir6066 4 1242 03.06.2018 16:48
Ostatni post: morderca
  przekierowanie w Chrome robert14-83 2 5631 25.05.2018 12:45
Ostatni post: robert14-83
  Sms i potencjalna kradzież Majki_77 5 5364 25.05.2018 10:30
Ostatni post: ptrick
  WIrus, blokujący antywirusy Slaox 1 5307 24.05.2018 08:23
Ostatni post: morderca
  "svchost próbuje połączyć się z internetem" - Comodo Mojmor23 11 11334 20.05.2018 21:32
Ostatni post: Illidan
  Co poradzić na ataki DDoS ? Alpha_Centauri 0 5250 16.05.2018 23:18
Ostatni post: Alpha_Centauri
  Długie otwieranie się przeglądarki i sytemu ricardo59 8 5715 12.05.2018 17:56
Ostatni post: ricardo59
  Win32:Malware-gen vader00x 1 5688 08.05.2018 18:44
Ostatni post: morderca
  Niepotrzebne strony z firefox greg8403 1 5482 02.05.2018 17:50
Ostatni post: morderca
Sad Rosyjski wirus-Pomocy! Dodo9801 6 5767 30.04.2018 15:33
Ostatni post: Dodo9801
Ściana Kopalnia z svchost w tle Matieo96 3 6718 26.04.2018 01:49
Ostatni post: Illidan
  TeamViewer nie uruchamia się. ~Anonim 2 2390 26.04.2018 01:46
Ostatni post: Illidan
  zły obraz Win 7 orzel132 9 6345 24.04.2018 01:24
Ostatni post: Illidan
  Cloudflare "One more step" lotand 18 12725 19.04.2018 19:45
Ostatni post: AgentS