Infekcja z Facebook

[martyna1900]

Po kliknięciu w link na portalu Facebook mój komputer został zainfekowany wirusem. Za pomocą programu Malwarebytes Anti-Malware zeskanowałam system i usunęłam zarażone pliki jednak niektóre strony internetowe oraz narzędzia systemowe nie działają. Następnie użyłam programu OTL do sporządzenia raportu jednak sama nie potrafię go przeanalizować dlatego prosze o pomoc przy logach .

Extras.Txt

[picasso]

No tak, tylko że "logi" są tu niekompletne. Jest podany tylko Extras a gdzie główny OTL? I nie ma obowiązkowego GMER. Proszę uzupełnić raporty + dołączyć także raport z MBAM, by było wiadome czym się zajmował.

[martyna1900]

Załączam brakujące pliki

OTL.Txt

mbam-log-2011-07-26 (11-57-24).txt

GMER.txt

[picasso]

Po tej infekcji są nadal ślady, w tym zmodyfikowany plik HOSTS blokujący strony. Infekcja ta również modyfikuje plik startowy Windows boot.ini, plik tu był odświeżany i będę sprawdzać co tam aktualnie jest.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\update.*
C:\WINDOWS\av_ico
C:\WINDOWS\ufa
C:\WINDOWS\phoenix
C:\WINDOWS\*.rar
C:\WINDOWS\info1
C:\WINDOWS\geoiplist
C:\WINDOWS\unrar.exe
C:\WINDOWS\loader2.exe_ok
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Martyna\Moje dokumenty\Pobieranie\FLVPlayerSetup.exe"=-
"C:\Documents and Settings\Martyna\Moje dokumenty\Pobieranie\Flash-Player.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
 
:OTL
SRV - File not found [On_Demand | Stopped] --  -- (gusvc)
O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  File not found
O4 - HKLM..\Run: [QuickTime Task]  File not found
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico1]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [ALLUpdate]  File not found
O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]  File not found
O4 - HKCU..\Run: [uniblue RegistryBooster 2]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany. Po restarcie otrzymasz log z wynikami.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj śmiecia Facemoods Toolbar.

 

3. Tego pliku nie będziesz w stanie usunąć normalną drogą, bo Windows go nie widzi:

 

File not found -- C:\Documents and Settings\Martyna\Ulubione\Pulpit\Cascada - What Hurts The Most

Poradzi sobie z nim Delete FXP Files. To demo, ale darmowa ilość kasacji akurat wykonalna.

 

4. Wygeneruj nowe logi. Log z OTL stwórz na warunku dostosowanym, w oknie Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj.

 

type C:\boot.ini /C

Zrób także log z AD-Remover trybu skanu. Dorzuć log z wynikami usuwania otrzymanymi w punkcie 1.

 

 

 

.

[martyna1900]

Jeżeli chodzi o program Delete FXP Files narazie nie mogę go zainstalować ale to nie jest problem potem się z tym uporam. Natomiast nie wiem jak zrobić " log z AD-Remover trybu skanu". Przeskanowałam jeszcze raz system programem Kaspersky Anti-Virus i nic nie wykryło.

OTL.Txt skanowanie 2.txt

07272011_191619 wynik usuwania.txt

[picasso]

Natomiast nie wiem jak zrobić " log z AD-Remover trybu skanu".

 

Przecież w linku, do którego kieruję, jest cały opis stosowania narzędzia Ad-Remover. Czekam na log ze skanu w AD-Remover (nie z usuwania).

 

 

Jeżeli chodzi o program Delete FXP Files narazie nie mogę go zainstalować ale to nie jest problem potem się z tym uporam.

 

To znaczy jest jakiś problem?

 

 

 

.

[martyna1900]

Już sobie z tym poradziłam. Przepraszam za zamieszanie. W załączniku logi z AD-REMOVER

 

Co do programu Delete FXP Files wyskakuje komunikat że program nie zadziała bez zainstalowanego net.framework, którego nie moge zainstalowac

Ad-Report-SCAN1.txt

[picasso]

martyna1900

 

Skrypt wykonał się poprawnie i usunął co należy, w pliku boot.ini nie ma nic niedobrego dopisanego. Czeka nas jednak poprawka w kwestii szczątków pasków sponsoringowych.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
PRC - [2010-10-26 17:37:08 | 000,323,584 | ---- | M] (facemoods.com) -- C:\Program Files\facemoods.com\facemoods\1.4.17.6\facemoodssrv.exe
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
 
:Files
C:\WINDOWS\System32\drivers\etc\hîsts
C:\Program Files\Mozilla FireFox\Components\AskSearch.js
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
C:\Program Files\facemoods.com
C:\Documents and Settings\Martyna\Dane aplikacji\facemoods.com
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\AskBarDis]
[-HKEY_CURRENT_USER\Software\AppDataLow\AskSA]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Wystarczy mi tylko do oceny log z usuwania wygenerowany w punkcie 1. Gdy go ocenię pozytywnie, otrzymasz kolejne instrukcje.

 

 

net.framework, którego nie moge zainstalowac

 

To oznacza: teraz nie jest instalacja na rękę czy instalacja .NET wywala określony błąd? Tu i tak czeka Cię aktualizacja całego Windows, bo masz krytyczny poziom zabezpieczeń samego systemu. Wszystkie instrukcje podam po ukończeniu w/w porządków.

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

 

 

 

.

[martyna1900]

========== OTL ==========

Process facemoodssrv.exe killed successfully!

Prefs.js: "Facemoods Search" removed from browser.search.defaultenginename

========== FILES ==========

C:\WINDOWS\System32\drivers\etc\hîsts moved successfully.

C:\Program Files\Mozilla FireFox\Components\AskSearch.js moved successfully.

C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml moved successfully.

C:\Program Files\facemoods.com\facemoods\1.4.17.6 folder moved successfully.

C:\Program Files\facemoods.com\facemoods folder moved successfully.

C:\Program Files\facemoods.com folder moved successfully.

C:\Documents and Settings\Martyna\Dane aplikacji\facemoods.com\facemoods folder moved successfully.

C:\Documents and Settings\Martyna\Dane aplikacji\facemoods.com folder moved successfully.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\Software\AskBarDis\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\AppDataLow\AskSA\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF739809-1C6C-47C0-85B9-569DBB141420}\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

 

OTL by OldTimer - Version 3.2.26.1 log created on 07272011_213814

 

Bardzo dziękuje za pomoc. Bez Pani bym sobie nie poradziła. Myślę że nie będę więcej zabierać Pani czasu. Wszystko co jest mi niezbędne już działa, a za kilka dni i tak będzie wykonywane formatowanie dysków.

[picasso]

Nadal nie odpowiedziałaś mi na pytanie o .NET framework. Co więcej, w tym systemie jest zainstalowany .NET w następujących wersjach:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0

Tak więc co się dzieje tu z .NET?

 

 

Myślę że nie będę więcej zabierać Pani czasu.

 

Nie zostawię tak systemu, skoro tu jeszcze jest nieco do zrobienia. Finalizacja polega na wykonaniu obowiązkowo punktów 1+2 (to jest zamknięcie czyszczenia po infekcji):

 

1. Posprzątaj po używanych narzędziach: Odinstaluj AD-remover. W OTL uruchom Sprzątanie, co usunie z dysku kwarantannę OTL oraz sam proram jako taki. Funkcja wymaga restartu.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. To wszystko byłoby do aktualizacji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 25
"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0

Aktualizacji nie rozpisuję, skoro:

 

 

Wszystko co jest mi niezbędne już działa, a za kilka dni i tak będzie wykonywane formatowanie dysków.

 

Ale chcę podkreślić, że utrzymanie systemu + aplikacji w stanie załatanym jest bardzo istotne. Format + instalacja XP tu ma być? Jeśli tak, to czy dysponujesz płytą CD XP ze zintegrowanym SP3? Jeśli nie, instrukcje zrobienia takiej CD: KLIK. Od razu system zostanie zainstalowany w postaci SP3 i uzupełnienia z Windows Update będą mniejsze niż po instalacji XP ze starszym SP.

 

PS. GG7 nie instaluj po formacie. Przecież to jest przestarzała i mało bezpieczna wersja. Proponuję alternatywny nowoczesny program z obsługą Gadu: WTW. Opis znajdziesz w temacie: Darmowe komunikatory. Dlaczego ten program: brak reklam, lekki, obsługa cech GG10 (m.in. długie numery / szyfrowanie / Pisak ...), import archiwum oryginalnego Gadu.

 

 

 

 

.

[martyna1900]

Dziękuje za wszystkie porady. jeżeli chodzi o formatowanie zajmie się tym znajomy informatyk. Jeżeli chodzi o net.framework to nie wiem o co chodzi, próbowałam zainstalować Delete FXP Files dwukrotnie i za każdym razem wyskakiwał komunikat że do jego instalacji niezbędny jest net.framework. A gdy próbowałam zainstalować jego nowszą wersję wyskakiwał komunikat że nie jest to możliwe.

[picasso]

Jeżeli chodzi o net.framework to nie wiem o co chodzi, próbowałam zainstalować Delete FXP Files dwukrotnie i za każdym razem wyskakiwał komunikat że do jego instalacji niezbędny jest net.framework. A gdy próbowałam zainstalować jego nowszą wersję wyskakiwał komunikat że nie jest to możliwe.

 

Zapewne wystarczyłoby: odinstalować w Dodaj / Usuń wszystkie punktowane przeze mnie wersje .NET Framework, w razie kopotów narzędzie .NET Framework CleanUp, po tym zainstalować .NET Framework 3.5 SP1.

 

 

 

.