Facebookowy wirus, instalka adobe flash

axio123 · 5 Listopad 2011 20:50

Witam.

Dostałem zlecenie - naprawić laptopa… Ale… Sam nie daję rady. Potrzebuję pomocy. Otóż problem jest taki, że koleżanka zaaplikowała sobie feralnego ‘facebookowego wirusa’ i teraz cały komputer jest zasyfiony, resetuje się, antywirus nie działa (znaczy się działa - dopóki nie przeskanuje ukrytego pliku D:\WINDOWS\1068838492:2748402368.exe - pliku nie da się usunąć), nie można włączyć opcji ukazania ukrytych plików. Nie działa zwyczajnie. Plików wirusa jest sporo - próbowałem je ręcznie wyśledzić, nawynajdowałem ich pare (ukryte, sporo jest ich w WINDOWS\Prefetch), ale, jak nietrudno się domysleć - nie da się ich usunąć. Proces odpowiedzialny za reset pc to svchost. Poza tym komputer cały czas próbuje się łączyć z różnymi IP. Jak dostałem laptopa, to już po ptakach było, nie miał włączonego firewalla, antywirus nie był aktualizowany przez pare miesięcy.

mam też logi z OTL’a.

http://wklejto.pl/108477

http://wklejto.pl/108478

bardzo proszę o jak najszybszą pomoc.

Pozdrawiam

Axio

adao1003 · 5 Listopad 2011 21:02

http://komputery.spryciarze.pl/zobacz/j … -facebooka

spandaupol · 6 Listopad 2011 10:45

axio123 , Tu jest rootkit zeroaccess, a facebook to mały problem przy nim

Proszę pobrać i spróbować uruchomić Dummy Creator http://download.bleepingcomputer.com/fa … reator.zip Rozpakuj, uruchom

Wklej do niego

Klikasz Create wygenerowany log dasz później na forum

Następnie restartujesz system to warunek konieczny Pobierasz Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje wybierasz Skip prezentujesz raport na forum

axio123 · 6 Listopad 2011 12:02

tego pliku już się pozbyłem. Ale coś dalej jeszcze siedzi, gdyż nie moge się z netem połączyć. Dalej mam zrobić DummyCreator’em? Jak tak to gdzie?

TDSSKiller:

http://wklejto.pl/108523

spandaupol · 6 Listopad 2011 12:52

Proszę pobrać i uruchomić Combofixa instrukcja http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Jak wszystko będzie Ok i narzędzie zakończy pracę Proszę podać raport na forum

Dodatkowo po skanie Combofixem proszę uruchomić ponownie OTL klikasz Skanuj i podajesz nowy raport OTL na forum

axio123 · 6 Listopad 2011 15:48

skanuje combofixem póki co. Zaraz dam logi.

Zauważyłem, że zapora systemowa się nie chce włączyć…?

– Dodane 06.11.2011 (N) 18:32 –

a tu jest combofix:

http://wklejto.pl/108552

i OTL:

http://wklejto.pl/108554

a tu jest extras. Widać w nim wlasnie, ze zapora nie działa i coś z netem jest, pliku brakuje. Pytanie tylko, co zrobić?

http://wklejto.pl/108550

spandaupol · 7 Listopad 2011 08:15

Wygląda na to, że plik jest ale podczepił się pod niego jakiś strumień to raz Dwa musimy sprawdzić rejestr bo tam startuje tego typu usługa sterownikowa. Ale po kolei. Najpierw usuwanie strumienia.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Teraz sprawdzimy rejestr

Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na AFD z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego