Witam.
Od paru dni mam problemy z FB. Poczytałem trochę i domyślam się że mam wirusa coin miner. Zrobiłem skan OTL.
Marcel
Tutaj jest rootkit zeroacccess Facebook to mały problem przy nim
Proszę pobrać i spróbować uruchomić Dummy Creator http://download.bleepingcomputer.com/fa … reator.zip Rozpakuj, uruchom
Wklej do niego
Klikasz Create wygenerowany log dasz później na forum
Następnie restartujesz system to warunek konieczny Pobierasz Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje wybierasz Skip prezentujesz raport na forum
log z dummycreator
DummyCreator by Farbar
Ran by ANGELA (administrator) on 12-11-2011 at 09:57:32
**************************************************************
C:\Windows\252486790 [12-11-2011 09:47:56]
== End of log ==
log z kasperskyTDS
marcel21 , na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swojego posta i poprawić co trzeba. Niezastosowanie się do prośby będzie skutkowało przeniesieniem tematu do śmietnika.
Pobierz Combofixa ale nie uruchamiaj na razie Instrukcja http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/
Uruchom ponownie Kasperskiego jak znajdzie
Wybierasz opcje Delete Jak znajdzie
Wybierasz opcje Cure Po restarcie uruchom szybko Combofixa Jak narzędzie skończy pracę podaj raport na forum
To początek usuwania Proszę odinstalować NIS narzędzie znajdziesz tutaj http://www.searchengines.pl/Deinstalato … 45565.html
Pobierz GrandPerms http://download.bleepingcomputer.com/fa … tPerms.zip rozpakuj, uruchom wklej do niego:
Klikasz Unlock
Następnie wklej do notatnika:
Zapisz plik jako CFScript najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Następnie uruchom OTL klikasz Skanuj pokaż raport na forum
No ja nie wiem czy wszystko usunięte brak raportu Combofixa z usuwania. Bierzesz to na swoją odpowiedzialność
Odinstaluj Combofixa w prawidłowy sposób
Start - w pole Wyszukaj pliki i foldery wpisz (lub skopiuj)
“c:\otl\ComboFix.exe” \uninstall i Enter
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
O faktycznie zapomniałem o logu z CF. Oto on
Rozumiem że jeśli tu będzie ok to odinstalowuje ComboFixa i uruchamiam ponownie OTL z własnymi opcjami, tak?
-
Najpierw odinstalujesz Combofixa jak podałem powyżej
-
Następnie uruchomisz OTL wkleisz do niego podany powyżej skrypt i klikniesz Wykonaj skrypt po restarcie powstanie raport dasz go na forum
-
Następnie ponownie uruchomisz OTL klikasz ponownie Skanuj podasz nowy raport ze skanu na forum
Coś mi tutaj nie pasuje Czy wykonałeś to zadanie?
Jeśli tak to
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jak program coś wykryje proszę nic nie usuwać tylko pokaż raport na forum.
Zadanie z GrandPerms było wykonane. Po wciśnięciu Unlock pokazalo sie okienko z potwierdzeniem wykonania. Nie pamiętam dokładnie co było napisane ale na pewno wiadomość była rodzaju “Wykonano poprawnie”.
Log z OTL
Raport z Kaspersky
Status: Detected (events: 1)
2011-11-14 18:20:58 Detected virus HEUR:Trojan.Win32.Generic c:\Windows\System32\drivers\blbdrive.sys High
Plik nie ma sygnatury Microsoftu
Ja nie mam takiego pliku aby Ci go podać do podmiany Więc spróbujemy inaczej Wejdź do katalogu c:\Windows\System32\ drivers i sprawdź czy na ikonce pliku blbdrive.sys nie ma takiej (małej kłódeczki) jeśli jest to sprawdź czy na innych ikonkach sterowników nie ma kłódek
Jeśli są takie kłódeczki to ścieżki do tych plików z kłódeczkami wklej do GrantPerms
Klikasz Unlock
Po tym uruchom OTL klikasz Skanuj pokaż nowy raport na forum
Dodatkowo pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego
Klikasz Look pokaż log na forum
Faktycznie, była kłódeczka przy tym i jeszcze paru innych plikach. Usunięte wszystkie.
Log z OTL
Log z SystemLook
Dobrze zgodnie z tym http://www.faultwire.com/file_detail/bl … 36889.html będziemy podmieniać
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Plik został podmieniony prawidłowo
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt.
Następnie uruchom OTL klikasz Sprzątanie
Następnie przeskanuj ponwonie system dla pewności Kasperski Virus Removal Tool Jak coś wykryje nie usuwaj tylko pokaż raport Jak nic nie znajdzie odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189
Następnie użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program
Raport Kaspersky
2011-11-16 18:47:38 Detected: HEUR:Trojan.Win32.Generic C:\Windows\System32\config\systemprofile\AppData\Local\86a40c0f\X
Log z SecurityCheck
Results of screen317’s Security Check version 0.99.26
Windows 7 x86 (UAC is disabled!)
Internet Explorer 8 Out of date!
``````````````````````````````
Antivirus/Firewall Check:
Windows Security Center service is not running! This report may not be accurate!
WMI entry may not exist for antivirus; attempting automatic update.
```````````````````````````````
Anti-malware/Other Utilities Check:
Java 6 Update 25
Out of date Java installed!
Adobe Flash Player ( 10.0.42.34) Flash Player Out of Date!
````````````````````````````````
Process Check:
objlist.exe by Laurent
``````````End of Log````````````
Nie wiem czy ma to jakieś znaczenie ale od momentu użycia ComboFix komputer uruchamia się wyłącznie w trybie awaryjnym. Nawet wciśnięcie F8 przy starcie i wybór uruchomienia normalnego nic nie daje.