Problem z facebookiem - podejrzany trojan

MoonWalk94 (Kubajach) 2012-07-03 15:32:20 UTC #1

Witam.

Otóż od kilku dni nie mogę wejść na fb, to znaczy czasami mogę, puszcza na kilka minut czy kilkadziesiąt, a później znowu. Albo wchodzę i okropnie muli.

Nikt nie mógł mi pomóc z tym problemem, ale dzisiaj wpadłem na trop, gdyż Spybot przy uruchamianiu komputera wyrzucił mi zmianę w rejestrze, iż w kategorii Browser Helper Object został usunięty wpis 318a227b-5e9f-45bd-8999-7f8f10ca4cf5.

Nie wiedziałem o co chodzi, ale jak wpisałem w przeglądarce to znalazłem mnóstwo tematów z facebookowym trojanem. Na początku mi sie gorąco zrobiło. Ale dalej nie wiem o co chodzi. Tam opisywali typowe objawy - że nie można wejść na fb, że strasznie żyłuje procesor, że przeglądarka muli, że nie działa antywirus itd. Ja nie mogę wejść tylko na fb, nie ma innych objaw. TYm bardziej, że wirus rozpsrzestrzeniał się podobno przez jakis link, a nie przypominam sobie, żebym jakikolwiek klikał ,zanim facebook zaczął robic mi problemy. Właśnie skanuję komputer (Avastem - wiem, że to nic specjalnego, ale akuratnie od 2 dni mam 20-dniową wersję premium). Nie wiem co z tym robić? Spybot nie wyświetla innej możliwej opcji jak "Zezwól na zmianę". Dodam, że po drodze instalowałem CCleanera, ale tylko wyczyściłem nim rejestry i ogólnie zrobiłem porządek, po czym go odinstalowałem.

W necie widziałem dużo procedur związanych z OTL. Ja tego programu w ogóle nie znam. Nie jestem laikiem jeśli chodzi o komputery, no ale informatykiem też nie. Mógłby ktoś pomóc? Może to dobrze, że ten wpis został usunięty, a może źle bo to na przykład początek infekcji? Proszę o pilna pomoc.

Acorus (Acorus) 2012-07-03 15:37:21 UTC #2

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa "Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje."

Pokaż logi z OTL analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html

MoonWalk94 (Kubajach) 2012-07-03 17:46:57 UTC #3

Co mam zrobić jak Malware wykryje jakieś pliki? I jak rozpoznać jeżeli to będzie to coś z facebooka? Bo aktualnie sie skanuje i już jakieś 2 znalazł.

system (system) 2012-07-03 17:49:03 UTC #4

Witaj

ja bym Tobie radził usunąć tego spybota,a zostawić sobie właśnie ten malwarebytes

MoonWalk94 (Kubajach) 2012-07-03 17:59:13 UTC #5

No gdyby nie Spybot to bym się w ogóle nie dowiedział co mam, więc do czegoś sie przydaje. A ktos odpowie na moje poprzednie pytanie Czy wtedy usuwać, dać do kwarantanny czy jak?

system (system) 2012-07-03 18:00:18 UTC #6

wstaw tutaj logi z tego malwarebyttes

dodatkowo podaj też logi tak jak tutaj opisane

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html

MoonWalk94 (Kubajach) 2012-07-03 18:21:32 UTC #7

Malwarebytes Anti-Malware 1.61.0.1400 http://www.malwarebytes.org Wersja bazy: v2012.07.03.05 Windows 7 x64 NTFS Internet Explorer 8.0.7600.16385 ***** 2012-07-03 19:24:52 mbam-log-2012-07-03 (19-24-52).txt Typ skanowania: Pełne skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 448748 Upłynęło: 53 minut(y), 27 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 2 C:\Users\ADMIN\Documents\Vuze Downloads\242.Sony - Vegas Pro 10.0c (Build 469)\64x\Keygen.exe (RiskWare.Tool.CK) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Users\ADMIN\Documents\Vuze Downloads\242.Sony - Vegas Pro 10.0c (Build 469)\x86\Keygen.exe (RiskWare.Tool.CK) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. (zakończone)

O to chodziło? Nie ma tu chyba nic nadzwyczajnego, a te gwiazdki to ja wstawiłem jakby co (tam była nazwa admina)

A co zrobić z tym co wyświetla Spybot? Zezwolić na zmiany czy zamknąć czy jak?

-- Dodane 03.07.2012 (Wt) 21:08 --

http://www.wklej.org/id/783827/ OLT.txt

http://www.wklej.org/id/783829/ Extras

I co z tego wynika?

system (system) 2012-07-03 19:30:34 UTC #8

cos tam wynika,zaczekaj aż sprawdzi Acorus

napewno powie o usunięciu tolbarów i tego spybota,ale poczekaj na jego opinie

MoonWalk94 (Kubajach) 2012-07-03 19:33:31 UTC #9

A może ja nie mam tego trojana? Mam taką nadzieję.... Choć nadzieja matką głupich xd

Acorus (Acorus) 2012-07-04 09:11:48 UTC #10

Odinstaluj Spybot - Search & Destroy, Akamai NetSession Interface,Hot_MP3 Toolbar,Winamp Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKLM..\URLSearchHook: {9384bd4c-dd14-4be9-80f7-f6277511e4f5} - C:\Program Files (x86)\Hot_MP3\prxtbHot2.dll (Conduit Ltd.) IE - HKLM..\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1066435 IE - HKLM..\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/sli ... 685&query={searchTerms}&invocationType=tb50winampie7 IE - HKU\S-1-5-21-4059802248-3843976291-2475628408-1001..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKU\S-1-5-21-4059802248-3843976291-2475628408-1001..\URLSearchHook: {9384bd4c-dd14-4be9-80f7-f6277511e4f5} - C:\Program Files (x86)\Hot_MP3\prxtbHot2.dll (Conduit Ltd.) IE - HKU\S-1-5-21-4059802248-3843976291-2475628408-1001..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found IE - HKU\S-1-5-21-4059802248-3843976291-2475628408-1001..\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1066435 IE - HKU\S-1-5-21-4059802248-3843976291-2475628408-1001..\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/sli ... 685&query={searchTerms}&invocationType=tb50winampie7 O3 - HKLM..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKLM..\Toolbar: (Hot MP3 Toolbar) - {9384bd4c-dd14-4be9-80f7-f6277511e4f5} - C:\Program Files (x86)\Hot_MP3\prxtbHot2.dll (Conduit Ltd.) O3 - HKLM..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKU\S-1-5-21-4059802248-3843976291-2475628408-1001..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-4059802248-3843976291-2475628408-1001..\Toolbar\WebBrowser: (Hot MP3 Toolbar) - {9384BD4C-DD14-4BE9-80F7-F6277511E4F5} - C:\Program Files (x86)\Hot_MP3\prxtbHot2.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-4059802248-3843976291-2475628408-1001..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-4059802248-3843976291-2475628408-1008..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 2012-07-03 19:35:47 | 000,000,928 | ---- | M -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-4059802248-3843976291-2475628408-1001UA.job 2012-07-03 19:33:02 | 000,000,906 | ---- | M -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-4059802248-3843976291-2475628408-1001Core.job :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie .Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.

MoonWalk94 (Kubajach) 2012-07-04 11:35:28 UTC #11

Chwila, chwila...

Chciałbym się najpierw dowiedzieć co jest nie tak, czemu mam usuwać te programy? I co mi da jak zrobię to wszystko o czym napisałeś?

(Czy rzeczywiście mam tego trojana? Jeżeli tak, to da sie określić mniej więcej które pliki zaraził (gdybym np. chciał sobie zdjęcia, save z gier itd. przenieść na inny komputer - to pójdzie razem z nim?).

I co oznacza ten komunikat wyświetlany ze spybot.)

Wiem, że nie musisz znać odpowiedzi na wszystkie pytania, ale chociaż na te wytłuszczone

Acorus (Acorus) 2012-07-04 11:58:45 UTC #12

Jak Malwarebytes nic poważnego nie znalazł to Spybot też nic nie znajdzie istotnego.Spybot to archaiczny program, silnik programu nieaktualizowany od ponad dwóch lat, słaba skuteczność i zbędność (teraz nowoczesny antywirus zajmuje się "spyware").Jak nie chcesz wyczyścić komputera ze zbędnych,szpiegowskich toolbarów i innych śmieci to twoja sprawa.Żadnego trojana tu nie widać.

MoonWalk94 (Kubajach) 2012-07-04 12:07:36 UTC #13

Ale nie o to chodzi, że nie chcę czy coś. Te pytania nie miały być z jakąś pretensją ani nic, tylko chciałem wiedzieć czemu to wszystko służy? Spybota się pozbędę w takim razie. Ale co z tym komunikatem co on wyswietla? Bo jednak ma to jakiś związek. I w sumie czemu mi facebook nie działa?

Może spróbuję to zrobić, co napisałeś, ale później. Jednak chciałbym się dowiedzieć tego, o co zapytałem powyżej, jeżeli znasz odpowiedź.

Acorus (Acorus) 2012-07-04 12:23:05 UTC #14

Co do facebooka to sprawdź po zmianie serwerów DNS np. na Google: http://www.fixitpc.pl/topic/784-zmiana-adresow-dns/

MoonWalk94 (Kubajach) 2012-07-04 13:21:09 UTC #15

Hmmm. A moze to niedziałanie facebooka jest spowdowane tym, że jakis czas temu (moze 3 tygodnie) był u mnie informatyk, który przypisał w drugim komputerze w moim domu (są połączone otoczeniem sieciowym) stałe IP, gdyż cały czas je gubił i na drugim komputerze co chwila znikał internet? Mam router i jest on potrzebny, gdyz w domu jest także laptop. Czy jeżeli pozmieniam te ustawienia serwerów DNS, nie powalę niczego w tym otoczeniu sieciowym itp?

Acorus (Acorus) 2012-07-04 13:38:43 UTC #16

Sprawdź-zawsze możesz wrócić do poprzednich ustawień.

MoonWalk94 (Kubajach) 2012-07-04 14:12:25 UTC #17

Ten poradnik mi nic nie daje, bo na windows7 nie umiem tego znaleźć. Zresztą może poszukam takiego później dla 7, teraz nie mam tyle czasu.

Zastanawia mnie tylko co zrobić z komunikatem spybota. I ten log co podałeś do OTL - co on właściwie uczyni?

Bo w sumie jak nie mam tego trojana to mi to nie przeszkadza, bo i tak za niedługo planuje format lub w ogóle wymianę komputera. Chciałem po prostu to wiedzieć, żebym mógł bezpiecznie pliki przenieść na inny komputer

-- Dodane 04.07.2012 (Śr) 22:18 --

Proszę o odpowiedź. Swoją drogą jutro spróbuje zrobić z tymi ustawieniami DNS, albo pojutrze.

-- Dodane 04.07.2012 (Śr) 22:20 --

Dałem w oknie Spybota pod tym komunikatem "Zezwól na zmianę" i wyskoczyło kolejne - kategoria Winlogon, Value Zmienione, a zmiana to userinit.exe

O co kaman? Czy mogę bezpiecznie przegrać pliki?

Edit: Kliknąłem odmów - pojawiły sie kolejne, odnośnie explorer.exe i jeszcze trzeci. Dałem odmów.... I pojawiły sie od nowa. Wydaje mi się, że Spybot to na razie jedyna zapora która to trzyma i nie wiem co robić. Może ja jednak mam tego wirusa? Zmiana z tego co widzę polega na zamianę tego samego pliku tylko z przecinkiem.

system (system) 2012-07-05 13:53:59 UTC #18

usuń tego spybota całkiem i weż sobie przeskanuj jeszcze raz tym doktorkiem

http://www.dobreprogramy.pl/Dr.WEB-Cure ... 12976.html

MoonWalk94 (Kubajach) 2012-07-05 15:38:09 UTC #19

Ale.... OTL nic nie wykrył, tamten też, a ten spybot na razie jedyny wykrywa cokolwiek, czyli zmiany w rejestrze między innymi plików explorer.exe na explorer.exe, (z przecinkiem). A z tego co wiem tak się ten wirus robi, z tego co czytałem. I w tym momencie nie wiem czy usuniecie spybota czegos nie zepsuje - w sensie moze ja mam tego wirusa, ale spybot go trzyma przed uaktywnieniem? Nie wiem już sam.

Zainstaluję ten program i zobaczę. Ale jeżeli ktoś zna odpowiedź na następujące pytanie to proszę bardzo: ten trojan osiada w plikach systemowych? Bo potrzebuje przenieść save z jednej gry, ale nie chciałbym zarazić drugiego komputera. Czy jest mozliwość, ze te pliki są zainfekowane? Czy nie? (chodzi tak konkretnie o the sims xd - nie śmiejcie się :P)

fejku (fejku) 2012-07-05 16:24:38 UTC #20

Usuń tego spybota, ludzie tutaj bardziej się znają od Ciebie i chyba lepiej wiedzą co trzeba zrobić w tej sytuacji, nie?

Tak jak Acorus mówił, SpyBot ma bazę danych nieaktualizowaną już od 2 lat, więc sprawa chyba jasna, spróbuj jeszcze jakimś MBAM'em.

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem