Wirus rozpowszechniany z facebooka przez aktywację linku

[pinochio]

Witam, córka załapała jakiegoś wirusa z facebooka, klikając na link w wiadomości od koleżanki i ten rozpowszechnia się dalej do jej znajomych z kontaktów. Przeglądarka Chrome strasznie muli. Malwarebytes Anti-Malware cały czas blokuje dostęp do podejrzanej strony - działanie: svchost.exe.

 

Proszę o sprawdzenie logów i radę, co z tym zrobić?

OTL.Txt

Extras.Txt

[Landuss]

Literówka w temacie poprawiona. Przejdźmy od razu do usuwania infekcji.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\netr61.sys -- (rt61x86)
DRV - File not found [Kernel | Disabled | Stop_Pending] -- C:\Windows\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2418376"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2418376"
O4 - HKCU..\Run: [MSConfig] C:\Users\Dawid\sacu.exe ()
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[pinochio]

OTL skrypt wykonany.

 

Usunąłem wcześniej Chrome.

Firefox zresetowany i zaktualizowany, ponownie zresetowany.

 

AdwCleaner najpierw IE blokował pobranie, dopiero po wyłączeniu SmartScreen Filter pobrałem. Następnie nie chciał usuwać, blokował się na początku, zawieszał się jakby system, gdziekolwiek kilkałem, musiałem restartować komputer, wyłączyć sieć, powyłączać antywirusy: Avira, Spyware Doctor i Malwarebytes i przenieść na pulpit i dopiero zadziałał poprawnie do końca.

 

Malwarebytes Anti-Malware nadal wyświetla co kilkanaście sekund powiadomienie:

 

Zablokowano dostęp do podejrzanej strony: 94.102.51.169 (IP jakieś z Holandii)

Typ: Wychodzące

Port: 49xxx (zmieniające się rosnąco), Działanie: svchost.exe

 

 

 

PS. Wirusa z tablicy facebooka załapała córka na swój komputer wczoraj w południe, późno wieczorem stworzyłem także botowalny USB z obrazem Kaspersky Rescue Disk (database z 22.12.2012, nie mogłem połączyć się z siecią by na pena zaktualizować bazę). Przeskanowałem kompa i nic nie znalazł. Mam nadzieję, że tym pendrive nie przeniosę jakiegoś wirusa na inne komputery.

 

Plik sacu.exe jak widać nie da się usunąć, utworzony właśnie został wczoraj o 15:30, jak córka zaczęła go bezwiednie rozsyłać wraz z innymi ludźmi z facebooka. Ponoć jedna wielka porażka tam się teraz dzieje. HijackThis też go wykrył (córka się tym bawiła) i niby naprawił, bo w kolejnych logach go ponoć nie widziała i na krótko przestało facebooka atakować, ale komp nadal mulił i jak widać wirus się reprodukuje.

 

Co pokazuje bing o tej podejrzanej stronie:

 

http://www.bing.com/...1.169&src=ie9tr

 

Z pierwszego linku na szczęście IE nie zezwala pokazać tej strony (Die Webseite kann nicht angezeigt werden.). Teraz piszę z zawirusowanego komputera, tak więc jest mi to obojętne.

OTL.Txt

[Anonim8]

Wejdź w tryb awaryjny, uruchom OTL i wykonaj skrypt. Tylko wcześniej go sobie zapisz w notatniku.

 

:OTL
O4 - HKCU..\Run: [MSConfig] C:\Users\Dawid\sacu.exe ()

:Commands
[emptytemp]

[pinochio]

Wcześniej, po pierwszym wykonaniu skryptu Landussa, niby OTL sobie poradził,

All processes killed

========== OTL ==========

Service rt61x86 stopped successfully!

Service rt61x86 deleted successfully!

File system32\DRIVERS\netr61.sys not found.

Error: No service named MBAMSwissArmy was found to stop!

Service\Driver key MBAMSwissArmy not found.

File C:\Windows\system32\drivers\mbamswissarmy.sys not found.

Service blbdrive stopped successfully!

Service blbdrive deleted successfully!

File C:\Windows\system32\drivers\blbdrive.sys not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MSConfig deleted successfully.

C:\Users\Dawid\sacu.exe moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Dawid

->Temp folder emptied: 8498390 bytes

->Temporary Internet Files folder emptied: 28428799 bytes

->Java cache emptied: 5051695 bytes

->FireFox cache emptied: 43907126 bytes

->Flash cache emptied: 1989 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56504 bytes

 

User: Default User

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56504 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 26320160 bytes

RecycleBin emptied: 96091951 bytes

 

Total Files Cleaned = 199,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 12252012_144226

Files\Folders moved on Reboot...

File\Folder C:\Users\Dawid\AppData\Local\Temp\~DF7033.tmp not found!

File\Folder C:\Users\Dawid\AppData\Local\Temp\~DF7045.tmp not found!

C:\Users\Dawid\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\Z7DRFOK9\15113-wirus-rozpowszechniany-z-facebooka-przez-aktywacje-linku[1].htm moved successfully.

C:\Users\Dawid\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\Z7DRFOK9\fastbutton[1].htm moved successfully.

C:\Users\Dawid\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

 

a wirus jak było później widać w logu się zreprodukował.

 

Avira nie widziała w tym pliku nic podejrzanego, Po uruchomieni specjalnego narzędzia FileASSASSIN w Malwarebytes i wskazaniu ścieżki, plik był niewidoczny, ale jak go wpisałem ręcznie, to go chyba usunął. Komunikat Malwarebyte już mi nie wyskakuje w trayu i pliku już nie widać w folderze użytkownika. Zamieszczam nowy log OTL

OTL.Txt

[Anonim8]

Avira nie widziała w tym pliku nic podejrzanego, Po uruchomieni specjalnego narzędzia FileASSASSIN w Malwarebytes i wskazaniu ścieżki, plik był niewidoczny, ale jak go wpisałem ręcznie, to go chyba usunął. Komunikat Malwarebyte już mi nie wyskakuje w trayu i pliku już nie widać w folderze użytkownika. Zamieszczam nowy log OTL

 

Plik jest usuniety. Został jedynie pusty wpis w rejestrze

 

O4 - HKCU..\Run: [MSConfig] "C:\Users\Dawid\sacu.exe" File not found

 

Wejdź do rejestru i sprawdź klucz

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

jak będzie resztka po sacu.exe usuń.

 

 

Uruchom OTL i kliknij Sprzatanie.

 

Wyczyść foldery Przywracania systemu http://www.fixitpc.p...2415#entry42415

 

Zmień hasła logowania do poczty i serwisów.

[pinochio]

Wejdź do rejestru i sprawdź klucz

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

Był tylko ten pusty wpis w rejestrze, CCleanerem go usunąłem i już go nie ma.

 

Przywracanie systemu mam na wszystkich komputerach powyłączane.

Rozumiem, że AdwCleaner też uruchomić i odinstalować.

 

Dzięki za szybką świąteczną pomoc.

[Anonim8]

Był tylko ten pusty wpis w rejestrze, Ccleanerem go usunąłem i już go nie ma.

 

Niepotrzebnie. Jeśli nie było w wartości Run odniesienia do sacu.exe klucz powinien zostać

 

Rozumiem, że AdwCleaner też uruchomić i odinstalować.

 

Tak

[pinochio]

Niepotrzebnie. Jeśli nie było w wartości Run odniesienia do sacu.exe klucz powinien zostać

 

Było właśnie odniesienie w katalogu Run do sacu.exe i czegoś jeszcze, chyba z GG czy coś. Co za różnica, czy ja bym ten wpis usunął w rejestrze, czy CCleaner to posprzątał? Potem wszedłem w rejestr i zobaczyłem, że tego wpisu nie ma, teraz jescze raz uruchomiłem CCleaner i coś jeszcze posprzątał, wchodzę w tę ścieżkę \Run w rejestrze i jest cały katalog pusty, jest tylko klucz (Standard).

[Anonim8]

Było właśnie odniesienie w katalogu Run do sacu.exe i czegoś jeszcze

 

Nie ważne w jaki sposób usunałes. Po prostu nie dokońca byłem pewien co usunąleś

 

teraz jescze raz uruchomiłem CCleaner i coś jeszcze posprzątał, wchodzę w tę ścieżkę \Run w rejestrze i jest cały katalog pusty, jest tylko klucz (Standard).

 

No widzisz jak to jest z programami typu CC. Skoro było coś od GG to mogło zostać. Mnie chodziło tylko o ten pusty wpis od infekcji - nic poza tym.

Kluczyk standard może być. U mnie też jest pusty,

[pinochio]

No widzisz jak to jest z programami typu CC. Skoro było coś od GG to mogło zostać. Mnie chodziło tylko o ten pusty wpis od infekcji - nic poza tym.

Kluczyk standard może być. U mnie też jest pusty,

 

To nie było GG, nie mogę sobie przypomnieć. Na liście w Start zobaczyłem przed tym nieczynny odnośnik do strony FB, w właściwościach wskazywał na skasowany folder Chrome, usunąłem ten nieczynny skrót z listy Start, może to to było, albo coś z AdwCleaner lub OTL? O kilku lat używam CCleaner na wszyswtkich komputerach, mam do niego zaufanie, większe jak do profesjonalnych aplikacji typu "jv 16 Power Tols" czy "Registry Genius", nie jest tak agresywny.

 

PS. Już córka dała znajomym z FB namiar na ten wątek, tam ponoć popłoch. Ja tam nie mam żadnego konta, nie używam tego szpiegowskiego g...

[Anonim8]

PS. Już córka dała znajomym z FB namiar na ten wątek, tam ponoć popłoch. Ja tam nie mam żadnego konta, nie używam tego szpiegowskiego g..

 

OK, tylko żeby sie nie wzorowali na tym wątku. Niech zakładają swoje tematy - każdy system jest inny. Nie powinno się wzorować na skryptach. Bo mogą sobie zrobić więcej szkody niż pozytku.