Robal Facebookowy


(Papm) #1

Facebookowy wirus typu link z nazwiskiem.

Kliknięty link, plik sciąnięty na dysk i uruchomiony.

Następnie wyłączony w „procesach” i usunięty do kosza (kosz opróżniony).

Skan avastem- nic nie wykryto

Skan cc cleanerem- wykryto dwa pliki w fukcjach autostartu, których za pomocą tego programu nie da się wyłączyć.

Owe pliki mają następujące ścieżki

C:\users\a\appdata\ local\aeyhjb.exe

C:\users\a\appdata\ roaming\microsoft\start menu\programs\startup\xrpav.exe

Próba ich fizycznego usunięcia także nie daje rezultatu.

Podobnie próba wyłączenia ich z pozycji msconfig

Wykonano skan OTL (bez zaznaczonych opcji 'wszyscy użytkownicy”, „infekcja LOP”,”infekcja Purity”. Oto log ze skanu:

http://www.wklej.org/id/777055/

Uruchomiono skrypt podany przez Was w innym temacie. Pojawił się blue screen z dużą ilością informacji (nie zdążyłem przeczytać) i nastąpił reset komputera.

Po uruchomieniu się systemu nie pojawiły się żadne logi, a jedynie informacja, że system odzyskał sprawność po nieoczekiwanym zamknięciu.

Ponownie skan OTL tym razem z zaznaczonymi prawidłowo wszystkimi opcjami. Oto log

http://www.wklej.org/id/777056/

I ponownie uruchomiony ten sam skrypt, efekt też ten sam.

Wspomniane wyżej pliki wirusa nadal znajdują się na kompie i nadal nijak nie można go usunąć.

Następnie wykonano skan malvarebytes. Znalazł, ale co innego. Oto log:

http://www.wklej.org/id/777057/

Następnie dr Web. Również znalazł co innego, a w dodatku uznał plik OTL.exe za wirusa (dwukrotnie: raz plik ten na pulpicie i drugi raz w kwarantannie drWeba).

Niestety pliki o których cały czas mowa nadal znajdują się na komputerze i nadal się nie da ich usunąć.

Ponownie skan Cccleanerem z identycznym efektem co poprzednio.

Przy próbie ściągnięcie sdfixa wyskoczył mi komunikat „plik sdfix.exe wygląda na szkodliwy” więc przerwałem pobieranie

Wykonałem skan gmerem. Oto log

http://www.wklej.org/id/777059/

Dodam tylko, że nie zauważyłem żadnej podejrzanej aktywności tych plików. Wszystko mi chodzi normalnie. Na wszelki wypadek nie wchodzę na Facebooka, ani na maila na tym komputerze (w tej chwili korzystam z drugiego). Chcę się tego pozbyć dla świętego spokoju.

Proszę o pomoc w pozbyciu się tego badziewia.

Z góry dziękuję.


(Acorus) #2

Odinstaluj KMPlayer Toolbar,Babylon Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.


(Papm) #3

Toolbary odinstalowane.

Niestety po uruchomieniu skryptu podobnie jak poprzednio komputer się zresetował (nie miałem co potwierdzać po prostu sam "zdecydował"), a po ponownym uruchomieniu systemu żaden raport się nie pojawił. Tym niemniej zniknął jeden z groźnych plików a mianowicie xrpav.exe Drugi nadal znajdował się w tym samym miejscu na dysku jednak tym razem mogłem go normalnie usunąć, co od razu uczyniłem opróżniając potem kosz. Jednak nadal jest w msconfig w autostarcie choć jest odznaczony

Oto log ze skanu po wszystkim (ale przed usunięciem drugiego pliku)

http://www.wklej.org/id/777373/


(Acorus) #4

Wykonaj w trybie awaryjnym.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.


(Papm) #5

Podobnie jak w poprzednich przypadkach (mimo włączonego trybu awaryjnego) po uruchomieniu skryptu nie otrzymałem żadnego raportu.

Oto log ze skanu:

http://www.wklej.org/id/777600/