Problem z trojanem z Facebooka

siezjarka · 19 Sierpień 2011 14:48

Witam

Jakoś wczoraj kolega pisał do mnie po angielsku (najpierw hi, potem wonna lough ). To nawet w jego stylu i gdy podesłał mi linka, kliknąłem w niego i moim oczom ukazał się pseudo obraz YT z tytułem filmu (który nie wchodzi) ********** is in the leading role. Shoking performance!

W ten sposób zaserwowałem sobie trojana, o czym poinformował mnie życzliwie mój Avast.

Cóż, problem wygląda teraz następująco - nie mogę się zalogować na FB i o ile wiem, z mojego konta rozsyłany jest ten link dalej, do moich znajomych. Zdążyłem poinformować o tym znajomych, więc mam nadzieję, że nikt się na to nie da, jak ja i mój kolega (i osoba przed nim). W dodatku, co jakiś czas mój laptop z systemem Win 7 robi następującą czynność - wylogowuje się, każe robić to znowu i uruchamia się pulpit w trybie awarayjnym. Po chwili znowu się wylogowuje, muszę się logować znowu i wtedy wszystko wygląda w miarę normalnie - dopóki nie zechcę sprawdzić informacji o “potencjalnie szkodliwym oprogramowaniu”. Gdy chcę coś z tym zrobić, zaraz dochodzi do wylogowania i jest, jak opisałem wcześniej.

Avast ogranicza się tylko do beżowego, małego paska po prawej, dolnej stronie pulpitu, gdzie informuje o zagrożeniu, i że system jest chroniony. Kliknięcie na skrót do Avasta pokazuje komunikat na czerwonym tle, po prawej stronie pulpitu, ale tu moja znajomość angielskiego nie daje już sobie rady. Chyba chodzi o to, że system jest zagrożony itp, itd.

Trudno mi było szukać pomocy w Sieci, gdyż nie znam się na komputerach i informatyce w ogóle. Obawiam się, że pozostanie mi tylko formatowanie.

Potem dostałem na pocztę wiadomość z FB następującej treści:

"Wykryto, że konto Facebooka jest zainfekowane programem malware, lub wirusem o nazwie Koobface. Wirus został pobrany po otrzymaniu wiadomości od znajomego, który zaprosił Cię do obejrzenia pliku wideo.

Aby przywrócić swoje konto, zaloguj się na Facebooka i wykonaj instrukcje wyświetlane na ekranie. Więcej informacji można znaleźć w Centrum pomocy pod adresem:

http://www.facebook.com/help/?topic=koobface

Dziękujemy

Facebook Security Team"

Niestety, nie mogę się dostać na moje konto na FB, które dalej pewnie rozsyła ten link, więc nic mi po linku od samego FB.

Czy ktoś z Was miał choć podobny problem? Wiecie, co zrobić, by odzyskać konto, usunąć ten szkodliwy program i uniknąć formatowania? (jakby co, porobiłem na dyskach zapasowych kopie najważniejszych dla mnie plików). Bardzo liczyłbym o pomoc.

arapo · 19 Sierpień 2011 15:09

Nie ty pierwszy masz z tym problem, a jak widzę jesteś po raz pierwszy na tym forum o takie problemy należy zgłaszać w dziale “Bezpieczeństwo”. Znajdziesz instrukcje i pomoc fachową jak pozbyć się wrednej gadziny z komputera. Na pewno będziesz musiał pobrać program do zrobienia logów, a później zapodać tylko linki z tych logów, ale sam poczytaj co i jak (zobacz temat Bezpieczeństwo)…

siezjarka · 19 Sierpień 2011 15:41

Dzięki wielkie, można by prosić kogoś od moderacji o przeniesienie tego tematu do stosownego działu?

Dodam jeszcze, że w tej dziedzinie jestem kompletnym laikiem, nie mam jak za bardzo liczyć ze strony najbliższych (wyjechali, są daleko, bądź nie mam kontaktu). Nie wiem, czym są logi i mam nadzieję, że uniknę potrzeby formatowania sprzętu.

spandaupol · 19 Sierpień 2011 15:47

W międzyczasie Podaj logi OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html

siezjarka · 19 Sierpień 2011 16:15

Oki, mam wkleić to np na wklej.to. Jak mam to zrobić? Mam dwa pliki notatnika wypełnione rzędami liter i cyfer.

Przyznaję, nie ogarniam tego.

pikowanadama · 19 Sierpień 2011 16:18

Mialam ten sam problem uzyj programu DR.WEB mi pomogl wykryl wiele trojanow. Teraz wszystko dziala prawidlowo

spandaupol · 19 Sierpień 2011 16:20

Wejdź na http://www.wklej.org W duże białe pole wklej (kopiujesz) zawartość jednego pliku Klikasz wklej i podajesz linka do wklejki na forum Przykład http://www.wklej.org/id/579270/

siezjarka · 19 Sierpień 2011 17:00

Dowolnego z tych dwóch?

arapo · 19 Sierpień 2011 17:24

Każdy z plików musisz wkleić oddzielnie czyli będziesz miał dwa linki z dwóch logów. Kopiujesz powstałe linki z wklejki i podajesz te linki na forum, a nie całą stronę z wklejenia, aby utworzył się link do loga po wklejeniu z notatnika na samym dole jest opcja (chyba) dodaj i wówczas utworzony zostanie link, który należy skopiować i ten link skopiowany wklejasz na forum.

siezjarka · 19 Sierpień 2011 17:31

Rozumiem. Ma to być na takiej zasadzie? http://www.wklej.org/id/579331/, oraz http://www.wklej.org/id/579326/

Mam nadzieję, że wszystko jest już dobrze. Jeśli tak, to co dalej?

EDIT: Teraz jestem w stanie się zalogować na FB, ale wyświetla mi się komunikat o niepewnym połączeniu (kontur policjanta na żółtym tle). Odpuściłem sobie wchodzenie na FB, gdyż nie wiem, co zastam na swoim profilu i wolę nie sprawdzać aż do pozbycia się trojana z systemu.

arapo · 19 Sierpień 2011 18:28

Oba logi prawidłowo podane, ale musisz poczekać na odpowiedź od “spandaupol” fachowca od analizowania logów, na pewno to trochę potrwa, ale warto poczekać na jego decyzje i pomoc. Powodzenia

siezjarka · 19 Sierpień 2011 18:36

Oki, poczekam. Mam nadzieję, że to pomoże także pozostałym osobom (pojawiło się jeszcze kilka podobnych tematów, może tym osobom oberwało im się zaraz po mnie). Najbardziej chciałbym uniknąć formatowania, zakupiłem też nowego antywirusa.

Mam nadzieję, że kolega przybędzie i nam pomoże. Na razie dzięki za wszystko i pozdrawiam.

arapo · 19 Sierpień 2011 18:45

Widzę na forum innych fachowców od analizy m/n “Leon$”. To super ludzie i na pewno ktoś się odezwie i poda odpowiednie rozwiązanie.

Leon1 · 19 Sierpień 2011 18:48

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL PRC - [2011/08/19 13:45:52 | 000,382,464 | ---- | M] () – C:\Windows\update.7.1\svchostdriver.exe PRC - [2011/08/19 12:34:03 | 000,632,832 | ---- | M] () – C:\Windows\update.2\svchost.exe PRC - [2011/08/19 12:34:03 | 000,632,832 | ---- | M] () – C:\Windows\update.2\svchost.exe PRC - [2011/08/19 00:31:29 | 000,232,960 | ---- | M] () – C:\Windows\l1rezerv.exe PRC - [2011/08/19 00:30:59 | 000,348,672 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011/08/19 00:30:59 | 000,348,672 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011/08/19 00:03:15 | 000,258,048 | ---- | M] () – C:\Windows\sysdriver32.exe PRC - [2011/08/18 23:50:54 | 001,215,488 | -H-- | M] () – C:\Windows\update.tray-7-0\svchost.exe PRC - [2011/08/18 23:50:54 | 001,215,488 | -H-- | M] () – C:\Windows\update.1\svchost.exe MOD - [2011/08/19 00:31:29 | 000,232,960 | ---- | M] () – C:\Windows\l1rezerv.exe MOD - [2011/08/18 23:50:54 | 001,215,488 | -H-- | M] () – C:\Windows\update.tray-7-0\svchost.exe SRV - [2011/08/19 13:45:52 | 000,382,464 | ---- | M] () [Auto | Running] – C:\windows\update.7.1\svchostdriver.exe – (ddservice) SRV - [2011/08/19 12:34:03 | 000,632,832 | ---- | M] () [Auto | Running] – C:\Windows\update.2\svchost.exe – (srviecheck) SRV - [2011/08/19 00:30:59 | 000,348,672 | ---- | M] () [Auto | Running] – C:\Windows\update.5.0\svchost.exe – (srvbtcclient) SRV - [2011/08/19 00:03:15 | 000,258,048 | ---- | M] () [Auto | Running] – C:\windows\sysdriver32.exe – (srvsysdriver32) SRV - [2011/08/18 23:50:54 | 001,215,488 | -H-- | M] () [Auto | Running] – C:\Windows\update.1\svchost.exe – (wxpdrivers) O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM…\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM…\Run: [536706.exe] C:\Users\Roofix\AppData\Local\Temp\536706.exe () O4 - HKLM…\Run: [81127584-loader2.exe] C:\Windows\Temp\81127584-loader2.exe () O4 - HKLM…\Run: [9024680.exe] C:\Windows\Temp\9024680.exe () O4 - HKLM…\Run: [9343906.exe] C:\Windows\Temp\9343906.exe () O4 - HKLM…\Run: [9992055.exe] C:\Windows\Temp\9992055.exe () O4 - HKLM…\Run: [avast] File not found O4 - HKLM…\Run: [l1rezerv.exe] C:\windows\l1rezerv.exe () O4 - HKLM…\Run: [sysdriver32.exe] C:\windows\sysdriver32.exe () O4 - HKLM…\Run: [sysdriver32_.exe] C:\windows\sysdriver32_.exe () O4 - HKLM…\Run: [tray_ico] File not found O4 - HKLM…\Run: [tray_ico0] C:\Windows\update.tray-7-0\svchost.exe () O4 - HKLM…\Run: [tray_ico1] File not found O4 - HKLM…\Run: [tray_ico2] File not found O4 - HKLM…\Run: [tray_ico3] File not found O4 - HKLM…\Run: [tray_ico4] File not found O4 - HKLM…\Run: [wxpdrv] C:\Windows\services32.exe () O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) SafeBootMin: wxpdrivers - C:\Windows\update.1\svchost.exe () SafeBootNet: wxpdrivers - C:\Windows\update.1\svchost.exe () [2011/08/19 13:46:12 | 000,000,000 | -H-D | C] – C:\windows\update.7.1 [2011/08/19 00:34:42 | 000,000,000 | —D | C] – C:\windows\ufa [2011/08/19 00:34:42 | 000,000,000 | —D | C] – C:\windows\rpcminer [2011/08/19 00:34:42 | 000,000,000 | —D | C] – C:\windows\phoenix [2011/08/19 00:31:01 | 000,000,000 | -H-D | C] – C:\windows\update.5.0 [2011/08/19 00:23:16 | 000,000,000 | -H-D | C] – C:\windows\update.2 [2011/08/19 00:02:52 | 000,000,000 | —D | C] – C:\windows\av_ico [2011/08/19 00:01:13 | 000,000,000 | -H-D | C] – C:\windows\update.1 [2011/08/19 00:01:07 | 000,000,000 | -H-D | C] – C:\windows\update.tray-7-0-lnk [2011/08/19 00:01:07 | 000,000,000 | -H-D | C] – C:\windows\update.tray-7-0 [2011/08/19 13:45:53 | 000,000,177 | ---- | M] () – C:\windows\info1 [2011/08/19 00:34:41 | 005,589,370 | ---- | M] () – C:\windows\phoenix.rar [2011/08/19 00:34:41 | 001,075,284 | ---- | M] () – C:\windows\rpcminer.rar [2011/08/19 00:34:41 | 000,246,272 | ---- | M] () – C:\windows\unrar.exe [2011/08/19 00:34:41 | 000,182,617 | ---- | M] () – C:\windows\ufa.rar [2011/08/19 00:31:29 | 000,232,960 | ---- | M] () – C:\windows\l1rezerv.exe [2011/08/19 00:30:58 | 000,904,792 | ---- | M] () – C:\windows\geoiplist.rar [2011/08/19 00:04:19 | 000,000,000 | ---- | M] () – C:\windows\loader2.exe_ok [2011/08/19 00:03:15 | 000,258,048 | ---- | M] () – C:\windows\sysdriver32_.exe [2011/08/19 00:03:15 | 000,258,048 | ---- | M] () – C:\windows\sysdriver32.exe [2011/08/18 23:50:54 | 001,215,488 | ---- | M] () – C:\windows\services32.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [RESETHOSTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

siezjarka · 19 Sierpień 2011 18:57

Niestety w międzyczasie system się sam wyłączył - muszę robić logi od nowa, tak? Też nie bardzo rozumiem, gdzie dokładnie mam wkleić skrypt.

Też nie bardzo rozumiem, co to Custom Scans-Fixes, Run Fix, Run Scan. Bardzo bym prosił o wyjaśnienie, gdyż nie rozumiem specjalistycznego języka.

Leon1 · 19 Sierpień 2011 19:01

w nawiasie po polsku

Custom Scans-Fixes ( własne opcje skanowania/skrypt )

Run Fix ( Wykonaj scrypt )

Run Scan( Skanuj )

arapo · 19 Sierpień 2011 19:08

Podany skrypt przez > Leons masz wkleić w białe pole (na dole) OTL. Skrypt musi być skopiowany kompletny czyli od > :OTL (łącznie z dwukropkiem). Po wklejeniu klikasz nie na SKANUJ, ale wykonaj skrypt. Uzyskany raport (link) wklejasz na forum po wyk.skrypcie wykonaj>zwykłe SKANOWANIE i logi do pokazania

siezjarka · 19 Sierpień 2011 19:19

Oki, to zrobione logi po wykonaniu skrypta.

http://wklej.org/id/579406/

http://wklej.org/id/579407/

Nie wyświetlił mi się komunikat o potrzebie restartu, więc sam to zrobiłem.

Teraz mam wrzucić kolejne logi, tym razem po skanowaniu, tak?

Leon1 · 19 Sierpień 2011 19:25

źle

masz podany

czekaj aż wykona

siezjarka · 20 Sierpień 2011 07:41

Witam ponownie. Wybaczcie moją nieobecność, ale przy dokonywaniu wczoraj Run Fix coś nacisnąłem i musiałem przez noc rozładować sprzęt, gdyż nie reagował na polecenia.

Wykonałem skrypt jeszcze raz i wklejam link

http://wklej.org/id/579618/

Powinno być chyba teraz wszystko dobrze. Czy teraz mam dokonać skanowania?