Uruchamiający się z systemem szkodliwy proces iexploer


(Drass) #1

Witam,

Po reinstalacji systemu, niezbyt dokładnej bo usunąłem partycje i na wolnym obszarze postawiłem nowe podstawowe, od dłuższego już czasu męczy mnie proces, jak zakładam szkodliwe oprogramowanie o nazwie Facebook updater, zaś proces nazywa się jw. Nie było by problemu gdyby usunięcie go z autostartu załatwiało problem. Proces ten uruchamia się za każdym razem, nawet kiedy jest wyłączony internet. Przeskanowałem komputer Symatrec Endpoint Protection, niby znalazł i usunął, jednak przy kolejnym uruchomieniu proces ten znów się pojawia. Postanowiłem więc aby mój system zabezpieczeń jakim jest Symatrec cyklicznie skanował obszar w którym ten szkodnik występuje i sytuacja wygląda następująco. Symatrec go usuwa a ten się znów pojawia, to w afekcie Symatrec znów go usuwa i tak w koło Macieja...

Dodatkowo przeskanowałem system Combofixem co niestety nie rozwiązało mego problemu. Co ciekawe, ten cwaniaczek tworzy jakiś niezidentyfikowany dysk widoczny w Mój Komputer pod nazwą inne, prawdopodobnie jest to podglądanie mnie przez kamerkę od laptopa, jednak nie znajduje to u mnie zastosowania, ponieważ korzystam z komputera stacjonarnego. Nie wiem jak się gadziny pozbyć, a i przy okazji na przyszłość jak jestem przekonany, że mam jakieś szkodliwe oprogramowania na jakiejś partycji to w pierwszej kolejności ją formatuję a dopiero potem usuwam tak ?

Tutaj dołączam ślady tegoż gada:

69684225.jpg

60288147.jpg

Jeżeli ma ktoś jakieś rady jak się tego ustrojstwa pozbyć, chętnie poczytam. Pozdrawiam


(falcon89) #2

OTL - Raport obowiązkowy

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741


(bart86) #3

ktoś może by zajrzał w google http://www.bleepingcomputer.com/startup ... 26927.html

to nie jest wirus to jest plik do aktualizacji oprogramowania facebooka instaluje się z Facebook Messenger albo Facebook Video Plugin

plik jest nowy i nie ma go w bazie narzędzi antywirusowych jako nieznany ląduje jako niebezpieczny starczy dodać go do wyjątków i po kłopocie


(Drass) #4

Oto i on:

http://www.wklej.org/id/1052802/

Drugi log OTL:

http://www.wklej.org/id/1052806/

Co do wypowiedzi barta, nie instalowałem żadnej z wymienionych przez Ciebie aplikacji, po za tym co to za nieszkodliwa aplikacja, która uruchamia się mimo woli użytkownika oraz pomimo usunięć z autostartu ?


(Atis) #5

Pokaż drugi log:

image.php?album_id=20&image_id=5347


(Drass) #6

(Atis) #7

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Drass) #8

Oto raport:

http://www.wklej.org/id/1052911/

Jak można wyczytać proces ten nie jest nawet odnajdywany (not found).


(Atis) #9

Proponuję żebyś przeczytał moją odpowiedź:


(bart86) #10

facebook video plugin instaluje się sam jak używasz facebooka lub ktoś go używał na twoim komputerze zobacz czy nie masz zainstalowanej tej aplikacji i tak jak pisałem nie jest to wirus i plik jest nieszkodliwy


(Atis) #11

Prawidłowy plik od Facebooka nie ma spacji w nazwie i nie tworzy w rejestrze wartości o nazwach "office update", "iexplorer".

Prawidłowy plik tworzy wartość o nazwie "Facebook Update" i OTL potrafi odczytać producenta.

Poza tym prawidłowy plik znajduje się w folderze o nazwie Facebook.

W logu wygląda to w ten sposób:


(Drass) #12

Teraz jestem po kolejnym, gruntownym formacie i po tworzeniu nowych partycji i ten pliczek zaczyna od razu szaleć. Co ciekawe Ja nawet facebooka nie mam, a ty mi mówisz o aplikacjach z nim związanych...

Wracając do tematu, poniżej załączam co to cudo tym razem wyrabia:

facebookupdater.jpg

Uploaded with ImageShack.us

Po czystym formacie, gruntownym jak już wspomniałem, te szkodliwe oprogramowanie blokuje exploler.exe po czym jak widać na załączonym wyżej screenie konfiguruje ustawienia spersonalizowane dla siebie (?). Myślałem, że gruntowny format, nowe partycje podstawowe rozwiążą problem, jednak się myliłem i wychodzi na to, że wracamy do punktu wyjścia, czyli przeprowadzę kolejny skan OTL'em.

-- Dodane 02.06.2013 (N) 9:41 --

Problem został rozwiązany, Combofix jednak podołał, dziękuję wszystkim za pomoc.