Infekcja z linka na Facebooku

[jurand2008]

Witam

 

Mam podobny problem jak kolega. Ostatnio dostałem wiadomość od kolegi na FB, nie przypuszczałem, że coś może być nie tak. Wszedłem i ściągnąłem potrzebny plik do otwarcia tego video. Odtąd dziwnerzeczy zaczęły się dziać. Antywirus dawał komunikat o wzmożonej ochronie, co jak się dowiedziałem jest podpuchą. Za pomoca Nortona wykryłem, ze problem jest w sys driver 32. Wirus spowodował przejście w tryb awaryjny i nie mogłem działać na komputerze bo po załączeniu wylogowywał mnie i zamykał system, ale kiedy odłączyłem internet, to komputer nie wylogowywał się już. Załączam log z RSIT, bo na OTL nie byłem w stanie zrobić. Proszę o pomoc

GMER.txt

log.txt

[Landuss]

RSIT to jest troche słaby log w dodatku tym narzędziem nie można prowadzić procesu usuwania. W twoim wypadku zastosuj ComboFix i wklej wynikowy log. Następnie spróbuj po tym działaniu uruchomić OTL i załączyć logi.

[jurand2008]

Wiesz co próbowałem ale ani Iso burner ani Combofix nie działają. Otwierają się w okienku Dos, sprawdzałem natomiast na laptopie i działają. Może użyć jakiegoś innego programu do zrobienia loga ?

[Landuss]

Nie bardzo rozumiem dlaczego u ciebie jest taki problem. Sprawdź czy działa np. Avenger. Jeśli tak to podam instrukcję usuwające.

[jurand2008]

Avenger działa ale poprzestwialem parę rzeczy i combofix tez już działa, to zrobie z combofixa, tak jak mówiłeś

[jurand2008]

Udało mi się przeprowadzić skan z Combofixa i załączam loga, natomiast w OTL mam teraz inny problem bo wpisując komende :

 

netsvcs

msconfig

safebootminimal

safebootnetwork

%systemdrive%\*.*

/md5start

agp440.sys

atapi.sys

beep.sys

cdrom.sys

ndis.sys

winlogon.exe

userinit.exe

/md5stop

 

skan staje na scanning FireFox settings i dalej się nie rusza

log.txt

[Landuss]

Ale ja ci nie kazałem żadnych dodatkowych warunków wpisywać do OTL i nie rób tego bo nie jest to potrzebne. ComboFix skasował większość obiektów infekcji oraz niesłusznie wyciął cały program monitujący REFOG Personal Monitor więc jeśli instalowałeś go celowo, musisz go przeinstalować.

 

Wykonaj jeszcze następujące czynności:

 

1. Wklej do notatnika ten tekst:

 

File::
c:\windows\new111.exe
c:\windows\unrar.exe
c:\windows\sysdriver32_.exe
c:\windows\sysdriver32.exe
c:\windows\Tasks\At1.job
c:\windows\Tasks\At2.job
c:\windows\Tasks\At3.job
c:\windows\Tasks\At4.job
 
Folder::
c:\windows\ufa
c:\windows\update.tray-9-0
c:\windows\update.tray-9-0-lnk
c:\windows\update.tray-5-0
c:\windows\update.tray-5-0-lnk
 
Driver::
srvbtcclient
srvsysdriver32
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico0"=-
"tray_ico2"=-
"2113908.exe"=-
"sysdriver32.exe"=-
"sysdriver32_.exe"=-
"6719580.exe"=-
"4775898.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\update.tray-5-0\\svchost.exe"=-
"c:\\WINDOWS\\update.tray-9-0\\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

 

2. Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

 

3. Pokazujesz nowy log z ComboFix i nowe logi z OTL.

[jurand2008]

ok zrobiłem tak jak powiedziałeś i podaje log z Combofix, ale tym razem normalnie probowałem skanować za pomocą OTL i znowu scan mi stanął na firefox i nie mam loga z OTl

log.txt

[picasso]

tym razem normalnie probowałem skanować za pomocą OTL i znowu scan mi stanął na firefox

 

Wypróbuj jeszcze startu do Trybu awaryjnego Windows (aktualnie po czyszczeniu powinien działać) i skanu OTL z tego poziomu. Przy logowaniu należy wybrać własne konto a nie wbudowane o nazwie "Administrator".

 

Inna sprawa, widzę na dysku katalog C:\_OTL (powstaje przy uruchamianiu skryptu usuwającego a nie skanowania), co tu mieszane było?

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso