Facebook, wirus, komputer

mwedner · 22 Sierpień 2011 16:15

Witam,

mam problem z komputerem.

Niby zawsze byłem ostrożny jeśli chodzi o otwieranie linków, ale wczoraj dałem się złapać. Na fejsie znajoma do mnie napisała, czasem ma odchyły że pisze do mnie po angielsku więc niczego nie podejrzewałem. Podała link z jakimś filmikiem, kliknąłem, bo skoro kumpela przysłała to stwierdziłem że bezpieczne… Strona wyglądała podobnie jak serwis youtube.pl i już coś zaczęło mi nie pasować. No ale w sumie, są klony serwisów, po za tym te IP może naprawdę należeć do youtube.com… później flasha pobrałem bo filmik nie działał… chociaż nie wiem po co i to był właśnie błąd. Wieczorem wyłaczyłem kompa. Dzisiaj włączam i zaczął zamulać. No ja już wiedziałem co to może być, więc od razu zalogowałem się i próbowałem dostać się do programu antywirusowego. Mój antywirus to Norton 360 v.5. Klikam na ikonkę w tray’u, na pulpicie i pokazuje mi się tylko okienko po prawej stronie z informacją (okienko posiada czerwonawe tło):

Strony www. praktycznie nie chodzą. Pousuwałem potencjalne niebezpieczne procesy, usługi i pliki. Niestety nic to nie dało.

Próbuje uruchomić system przez Tryb awaryjny… nie udaje się, bo zostanie czarny ekran z migającym kursorem, albo zresetuje się i od razu normalny tryb się włącza.

Kombinowałem różnie, ale nie mam głowy do tego…

System: Windows XP Home, service Pack 3

Antyvirus: Symantec, Norton 360 wersja 5 PL (codziennie aktualizowany)

Leon1 · 22 Sierpień 2011 20:22

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

mwedner · 23 Sierpień 2011 20:55

Ręcznie znalazłem pliki zawirusowane, znaczy te całe “update.” z liczbami.

Widząc w innym temacie, zeskanowałem komputer programem “Malwarebytes’ Anti-Malware” i usunął zagrożenia, ale za to nie mogłem już wchodzić na facebook’a, bo np. na mozilli i w innych przeglądarkach pisze, że nie odnaleziono serwera. Następnie wyłączyłem komputer.

Dzisiaj włączyłem komputer i uważając, że skoro to usunęło przystąpiłem do ponownego zainstalowania programu antywirusowego. Norton 360 v5 zainstalował się bez przeszkód, zaktualizowałem go i od razu dla pewności włączyłem pełne skanowanie systemu. Niestety wynik nie był dobry, bo znaleziono kolejne 29 wirusów:

Podsumowanie:

http://kadredyn.pl/screen/Norton,%20wyniki.JPG

Po kliknięciu w szczegóły:

http://kadredyn.pl/screen/norton,%20historia%201.JPG

http://kadredyn.pl/screen/norton,%20historia%202.JPG

Później uruchomiłem ponownie komputer, a że mi się nudziło i chciałem się upewnić wykonałem kolejne skanowanie całego systemu. Niestety, wirus znowu generuje zainfekowane pliki. Oczywiście usunęło, i jeszcze raz… to samo. Ściągnąłem ze strony symanteca programy takie jak:

Norton Power Eraser (Eliminuje głęboko osadzone i trudne do usunięcia oprogramowanie kryminalne, które nie zawsze jest wykrywane przez tradycyjne skanowanie antywirusowe.)
Norton Bootable Recovery Tool (Przywraca komputer do działania, jeśli jest tak zainfekowany, że nie działa prawidłowo lub nawet nie można go uruchomić.)

Lecz z tych programów jeszcze nie korzystałem i nie mam pojęcia, czy to coś mi pomoże czy też nie.

Podczas gdy komputer jest uruchomiony, z ikonki w tray’u programu Malwarebytes’ Anti-Malware wyskakuje następujący dymek:

http://kadredyn.pl/screen/malwarebytes%20Anti-malware.JPG

I taki dymek pokazuje się prawie co chwilę, widać że wirus nadal tutaj w kompie siedzi.

Pisząc tą wiadomość i chcąc wgrać pliki graficzne na jakiś hosting nie udaje mi się (przez żadną przeglądarkę), dopiero na własny serwer przez program filezilla udało mi się wgrać. Widać kolejne działanie wirusa.

Jak wspomniałem, kombinowałem z tym różnie i mimo ukończenia szkoły technika informatyka oraz mojej wiedzy, nie dałem rady z tym.

Tutaj moje logi:

OTL - http://wklej.org/id/583272/

Extras - http://wklej.org/id/583276/

Mam nadzieję, że pomożecie mi

Pozdrawiam

Leon1 · 23 Sierpień 2011 21:10

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL IE - HKU\S-1-5-21-790525478-1390067357-682003330-1004…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - Reg Error: Key error. File not found O2 - BHO: (no name) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found. O3 - HKU\S-1-5-21-790525478-1390067357-682003330-1004…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM…\Run: [tray_ico] File not found O4 - HKLM…\Run: [tray_ico1] File not found O4 - HKLM…\Run: [tray_ico2] File not found O4 - HKLM…\Run: [tray_ico3] File not found O4 - HKLM…\Run: [tray_ico4] File not found O4 - HKU\S-1-5-21-790525478-1390067357-682003330-1004…\Run: [] File not found O31 - SafeBoot: AlternateShell - services32.exe MsConfig - StartUpReg: CardDetectorHUAWEI1752_1552 - hkey= - key= - File not found MsConfig - StartUpReg: WOOTASKBARICON - hkey= - key= - File not found [2011-08-22 14:08:37 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.7.1 [2011-08-22 14:06:29 | 000,000,000 | —D | C] – C:\WINDOWS\ufa [2011-08-22 14:06:29 | 000,000,000 | —D | C] – C:\WINDOWS\phoenix [2011-08-22 14:06:10 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.2 [2011-08-22 14:04:16 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.5.0 [2011-08-22 14:03:18 | 000,000,000 | —D | C] – C:\WINDOWS\av_ico [2011-08-22 14:00:13 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.1 [2011-08-22 13:59:17 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.tray-10-0 [2011-08-06 19:06:34 | 000,000,000 | —D | C] – C:\Documents and Settings\Misza\Dane aplikacji\EurekaLog [2011-08-22 17:12:23 | 000,000,734 | ---- | M] () – C:\WINDOWS\System32\drivers\etc\hîsts [2011-08-22 14:57:57 | 000,000,202 | ---- | M] () – C:\WINDOWS\info1 [2011-08-22 14:07:57 | 000,246,272 | ---- | M] () – C:\WINDOWS\unrar.exe [2011-08-22 14:07:56 | 000,904,792 | ---- | M] () – C:\WINDOWS\geoiplist.rar [2011-08-22 14:06:28 | 005,589,370 | ---- | M] () – C:\WINDOWS\phoenix.rar [2011-08-22 14:06:28 | 000,182,617 | ---- | M] () – C:\WINDOWS\ufa.rar [2011-08-22 14:06:27 | 001,075,284 | ---- | M] () – C:\WINDOWS\rpcminer.rar [2011-08-22 14:04:14 | 000,000,000 | ---- | M] () – C:\WINDOWS\loader2.exe_ok [2011-08-22 14:06:57 | 004,636,907 | ---- | C] () – C:\WINDOWS\geoiplist @Alternate Data Stream - 24 bytes -> C:\WINDOWS:634CD5F5BDE52981 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] “AlternateShell”=“cmd.exe” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\WINDOWS\services32.exe”=- “C:\WINDOWS\update.1\svchost.exe”=- “C:\WINDOWS\update.tray-10-0\svchost.exe”=- “C:\WINDOWS\update.2\svchost.exe”=- :Commands [CLEARALLRESTOREPOINTS] [RESETHOSTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

mwedner · 24 Sierpień 2011 18:43

Zrobione.

Kasacja: http://wklej.org/id/583787/

OTL: http://wklej.org/id/583789/

Extras: http://wklej.org/id/583793/

Leon1 · 24 Sierpień 2011 18:54

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

mwedner · 24 Sierpień 2011 19:52

Dr. WEB to co to jest?

Antywirus czy co?

Edit:

Dobra widze że antywirus. Tylko mam pytanie, wiadomo że 2 antywirusów nie można mieć.

Posiadam nortona 360 (licencja jeszcze do kwietnia przyszłego roku) i szkoda mi by było usuwać go.

Leon1 · 24 Sierpień 2011 19:57

przecież pisze

mwedner · 24 Sierpień 2011 20:00

No napisałem posta zanim wszedłem w link

Tylko mam pytanie, wiadomo że 2 antywirusów nie można mieć.

Posiadam nortona 360 (licencja jeszcze do kwietnia przyszłego roku) i szkoda mi by było usuwać go.

Leon1 · 24 Sierpień 2011 20:03

jest to skaner na żądanie po użyciu usuniesz go

mwedner · 24 Sierpień 2011 20:32

Czyli nie muszę usuwać z komputera nortona?

drobok · 24 Sierpień 2011 20:33

Owszem

mwedner · 30 Sierpień 2011 20:11

Przepraszam za długi brak odpowiedzi. Miałem wyjazd na 5 dni i nie miałem w jaki sposób odpowiedzieć.

Przed wyjazdem zeskanowałem tym skanerem, usunęło wirusa.

Wróciłem wczoraj wieczorem, włączyłem ponownie ten skaner dla upewnienia się… niestety, znalazło kolejne wirusy.

Nadal pokazuje się ten dymek z antimalware, że coś chce łączyć się z podejrzanym ip. Nie wiem co to jest

tancerz78 · 31 Sierpień 2011 12:08

A mi sam Facebook podpowiedział czym to naprawić. Podpowiedział skrót do McAfee. Zassałem, zainstalowałem, przeskanowałem. Sam ponaprawiał to i owo i… poprawnie! =D> Pracuje a lekko nie było. System sam się restartował i wieszał. Nie dało się spokojnie pracować. Pracowałem na AVG i sobie niestety nie poradził. Do tego stopnia że syf z linku sam go (antywirus) zutylizował. Teraz chroni mnie (również darmowy) Avast! :lol:

Acorus · 31 Sierpień 2011 12:15

Coś za dużo tych antywirusów.

mwedner · 31 Sierpień 2011 17:28

Ja nie dostałem tego linku. Dostają te osoby, z których kont wysyła się spam przez wirusa. U mnie na szczęście nie wysyłał.

tancerz78 · 31 Sierpień 2011 18:02

Szczęście jednak bo sam podpowiedział rozwiązanie.