Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus z Facebooka, Facebook się nie ładuje, proces ufa.exe

DziwnyCK

Przez DziwnyCK
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

DziwnyCK

DziwnyCK

Opublikowano
Opublikowano

Witam.

Proszę o pomoc.

Mam problem z virusem który dostał się do tego komputera przez facebooka. Poprzedniu użytkownik ściągnął "aktualizacje" do flasha na youtube.pl z tym że to raczej był jakiś lewy youtube (filmik się nie ładował, pisało że trazeba ściągnąć aktualizacje i oczywiście komentarze po angielsku od znajomych z facebooka)

Niestety nie mam linku.

 

Po ściągnięciu pojawiał się proces ufa.exe (100% zużycia procesora), po zadziałaniu bardzo dużą ilością programów do naprawiania systemu przestał się pojawiać ale nie wiem czy został usunięty czy zablokowany.

Teraz nie ładuje się facebook (Ups! Przeglądarka Google Chrome nie mogła się połączyć ze stroną pl-pl.facebook.com

Spróbuj ponownie wczytać: pl-­pl.­facebook.­com

Dodatkowe sugestie:

Uzyskaj dostęp do kopii strony pl-­pl.­facebook.­com w pamięci podręcznej

Przejdź do facebook.­com)

 

Logi przed działaniem na komputer jakimikolwiek programami:

 

Logi z Malwarebytes' Anti-Malware

 

http://wyslijto.pl/plik/lla51q3j32

 

Logi z OTL

 

http://wyslijto.pl/plik/xnjf3cx3pu

 

Logi rzeczywiste:

 

Malwarebytes

 

http://wyslijto.pl/plik/739pn40yty

 

OTL

file age 30

http://wyslijto.pl/plik/sn4ur4l8p6

file age 180

http://wyslijto.pl/plik/19edlxmbsb

 

 

Niestety z innych programów logów nie mogę wkleić, ponieważ już zostały usunięte.

Jeżeli czegoś jeszcze brakuje to proszę pisać.

 

Link do Malwarebytes http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?tag=recommendedDownloads

Link do OTL http://www.dobreprogramy.pl/OTL,Program,Windows,19450.html

 

Do tego system czasami sie zawiesza, zwalnia, internet też chodzi jakby chciał a nie mógł.

Proszę o pomoc, pozdrawiam.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Proszę nie komplikować spraw i hostować logów w taki sposób.

 

 

 

OTL ma całkiem inne linki macierzyste, dobreprogramy to tylko serwis wtórny (który nie zawsze także nadąża z aktualizacją).

 

Na temat logów:

- Braki / nieprawidłowe konfiguracje: zasady działu do wglądu KLIK. Log z OTL niekompletny, nie przestawiłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania", toteż brak tu loga Extras. W zasadach nie ma nic na temat kuriozalnego ustawienia "file age 180", należy zostawić domyślny miesiąc. No i brak loga z GMER, a system nie przygotowany do jego uruchomienia = działa DAEMON Tools i jego sterownik (KLIK):

 

DRV - [2010/09/24 10:06:39 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd)

 

- niewiele tu zostało do usuwania, po infekcji pozostał zmodyfikowany plik HOSTS blokujący wejście na stronę Facebook:

 

O1 HOSTS File: ([2011/09/05 10:27:24 | 000,202,984 | -H-- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1 facebook.com
O1 - Hosts: 127.0.0.1 www.facebook.com
O1 - Hosts: 127.0.0.1 af-za.facebook.com
O1 - Hosts: 127.0.0.1 az-az.facebook.com
O1 - Hosts: 127.0.0.1 id-id.facebook.com
O1 - Hosts: 127.0.0.1 ms-my.facebook.com
O1 - Hosts: 127.0.0.1 bs-ba.facebook.com
O1 - Hosts: 127.0.0.1 ca-es.facebook.com
O1 - Hosts: 127.0.0.1 cs-cz.facebook.com
O1 - Hosts: 127.0.0.1 cy-gb.facebook.com
O1 - Hosts: 127.0.0.1 da-dk.facebook.com
O1 - Hosts: 127.0.0.1 de-de.facebook.com
O1 - Hosts: 127.0.0.1 et-ee.facebook.com
O1 - Hosts: 127.0.0.1 en-gb.facebook.com
O1 - Hosts: 127.0.0.1 es-la.facebook.com
O1 - Hosts: 127.0.0.1 eo-eo.facebook.com
O1 - Hosts: 127.0.0.1 eu-es.facebook.com
O1 - Hosts: 127.0.0.1 tl-ph.facebook.com
O1 - Hosts: 127.0.0.1 fo-fo.facebook.com
O1 - Hosts: 127.0.0.1 fr-fr.facebook.com
O1 - Hosts: 127.0.0.1 fy-nl.facebook.com
O1 - Hosts: 127.0.0.1 ga-ie.facebook.com
O1 - Hosts: 127.0.0.1 gl-es.facebook.com
O1 - Hosts: 127.0.0.1 ko-kr.facebook.com
O1 - Hosts: 50053 more lines...

 

 

1. Przejdź do Panelu sterowania i odinstaluj adware DAEMON Tools Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\RunOnce: [innoSetupRegFile.0000000001] C:\windows\is-TTNEF.exe ()
[2011/10/03 11:44:00 | 000,709,968 | ---- | M] () -- C:\windows\is-TTNEF.exe
[2011/10/03 11:44:00 | 000,011,761 | ---- | M] () -- C:\windows\is-TTNEF.msg
[2011/10/03 11:44:00 | 000,000,362 | ---- | M] () -- C:\windows\is-TTNEF.lst
[2011/08/23 16:15:49 | 000,246,272 | ---- | C] () -- C:\windows\unrar.exe
[2011/08/23 16:14:32 | 000,000,000 | ---- | C] () -- C:\windows\loader2.exe_ok
[2011/07/28 11:07:58 | 000,462,112 | ---- | C] (How Inc.) -- C:\Program Files\Common Files\ZugoInstaller.exe
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

 

klik w Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania.

 

3. Nie podałeś loga OTL Extras, to i nie wiadomo ile antywirusów jest tu zainstalowanych w sposób faktyczny. Otóż ja widzę teraz dwa zestawy sterowników: ESET + McAfee.

 

SRV - File not found [unknown | Stopped] --  -- (McShield)
DRV - [2009/06/18 03:15:22 | 000,214,024 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2009/06/18 03:15:22 | 000,079,816 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2009/06/18 03:15:22 | 000,040,552 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfesmfk.sys -- (mfesmfk)
DRV - [2009/06/18 03:15:22 | 000,035,272 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2009/06/18 03:14:52 | 000,034,248 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mferkdk.sys -- (mferkdk)
DRV - [2009/04/09 07:23:02 | 000,130,424 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\Mpfp.sys -- (MPFP)

 

Jeśli McAfee to odpadki, skorzystaj z narzędzia McAfee Consumer Products Removal tool.

 

4. Przedstaw do oceny nowy log z OTL z opcji Skanuj (przypominam o Extras). Dorzuć też log z wynikami usuwania z punktu 2. Metoda prezentacji logów: Załączniki forum.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Log z GMER zrobiłeś w złym środowisku, nie usunąłeś emulacji napędów wirtualnych (sterownik SPTD jest czynny).

 

1. Ja nadal widzę tu McAfee (w GMER też odnotowane czynności sterownika zapory McAfee):

 

SRV - File not found [unknown | Stopped] --  -- (McShield)
DRV - [2009/06/18 03:15:22 | 000,214,024 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2009/06/18 03:15:22 | 000,079,816 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2009/06/18 03:15:22 | 000,040,552 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfesmfk.sys -- (mfesmfk)
DRV - [2009/06/18 03:15:22 | 000,035,272 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2009/06/18 03:14:52 | 000,034,248 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mferkdk.sys -- (mferkdk)
DRV - [2009/04/09 07:23:02 | 000,130,424 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\Mpfp.sys -- (MPFP)

 

W OTL Extras nie widać, by był zainstalowany oraz zgłasza się błąd:

 

Error - 9/20/2011 3:40:13 AM | Computer Name = emily-Komputer | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi McAfee Real-time Scanner z powodu następującego
 błędu:   %%2

 

Czy użyłeś narzędzie McAfee Consumer Products Removal tool lub może wystąpił tu jakiś problem z nim?

 

2. Kolejny błąd:

 

Error - 10/5/2011 5:17:14 AM | Computer Name = emily-Komputer | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

 

Czyli NetLimiter do deinstalacji.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Finalizacja tematu:

 

1. Komentarze do zainstalowanych aplikacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Gadu-Gadu 10" = Gadu-Gadu 10

 

- Szczegóły aktualizacyjnych podstaw rozpisane tutaj: INSTRUKCJE.

- (Opcjonalnie) rozważ wymianę potwora GG10. W temacie Darmowe komunikatory są opisane alternatywy z obsługą sieci Gadu: AQQ, Kadu, WTW, Miranda. Mój osobisty typ: WTW. Dlaczego: portable, lekki, zero reklam, obsługa wszystkich ważnych cech GG10, zdolny importować archiwum GG10 (jako jedyny z tu podanych).

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

.

Edytowane przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...