Zdjęcie z facebooka

[Suchy203]

Witam, kolega podesłał link do zdjęcia na facebooku, pobrałem włączyłem ale żadnego zdjęcia nie było. Po przejrzeniu forum zornientowałem się, że to wirus (kolega też później napisał że on nic nie wysyłał) Robiąc prescan GMER-em wyskoczyło że jest rookit i czy chcę przeszukać cały system, zgodziłem się ale po chwili skanowania pojawił się niebieski ekran i komputer się zresetował. Zaraz po włączeniu się kopma AVAST wyświetlił jakieś 2 zagrożenia siecowe i okienko na środku ekranu że jest rookit. Proszę o sprawdzenie czy coś tam siedzi. Gmer jeszcze skanuje, jak skończy w ciągu godziny to dodam, a jak nie to dopiero jak wstanę. Pozdrawiam.

OTL.Txt

Extras.Txt

[picasso]

W OTL nie widać infekcji w stanie czynnym, ale że Facebookowa fałszywka się wykonała, widać po autoryzacjach zapory Windows:

 

========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\igfxctv32.exe" = C:\WINDOWS\system32\igfxctv32.exe:*:Enabled:cLAN
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\igfxctv32.exe" = C:\WINDOWS\system32\igfxctv32.exe:*:Enabled:cLAN

 

Dlatego czekam niecierpliwie na GMER oraz wyciąg z historii zagrożeń Avast:

 

Robiąc prescan GMER-em wyskoczyło że jest rookit i czy chcę przeszukać cały system, zgodziłem się ale po chwili skanowania pojawił się niebieski ekran i komputer się zresetował. Zaraz po włączeniu się kopma AVAST wyświetlił jakieś 2 zagrożenia siecowe i okienko na środku ekranu że jest rookit.

 

 

 

.

[Suchy203]

Dodam jeszcze, że teraz skanując drugi raz gmerem, w prescanie nie wyskoczyło info o rookicie, w dalszym skanowaniu też spokój.

 

A w Avast jest:

 

[picasso]

Avast pokazuje dokładnie to co zakreślałam w autoryzacjach zapory. Skoro Avast usunął ten plik, to jest prawdopodobne że GMER nie zwróci żadnego wykrycia. Gdy ukończysz skan GMER, wykonaj następujące operacje:

 

1. Zresetuj reguły zapory (co usunie też martwe wpisy innych programów), Start > Uruchom > cmd i wpisz komendę netsh firewall reset

 

2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

3. Wykonaj skan za pomocą posiadanego Malwarebytes' Anti-Malware i przedstaw raport.

 

 

 

.

[Suchy203]

Wykonane. Skan MBAM w toku, w razie czego dodaję jeszcze ten skończony gmer.

gmer.txt.txt

[picasso]

Zgodnie z przypuszczeniem, Avast zajął się ukrytym procesem i GMER już tego nie notuje. Czyli aktualne instrukcje rozpisane przeze mnie post wyżej, rozumiem że 1+2 już wykonane i tylko skan MBAM w toku.

[Suchy203]

rozumiem że 1+2 już wykonane i tylko skan MBAM w toku.

 

Tak, wszystko wykonane. MBAM nic nie znalazł. Trzeba coś jeszcze zrobić ?

[picasso]

Na koniec:

 

1. Usunięcie drobnych odpadków oraz kluczy Firefox z rejestru (wygląda na zupełnie odinstalowany). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] --  -- (avast! Firewall)
SRV - File not found [Disabled | Stopped] --  -- (AntiVirService)
SRV - File not found [Disabled | Stopped] --  -- (AntiVirSchedulerService)
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-706699826-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-706699826-682003330-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
[2009-03-25 11:51:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\102FD
[2009-04-23 16:55:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\1729F
[2009-03-27 23:34:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2134B
[2009-04-04 19:54:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\222E
[2009-04-12 19:39:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2831C
[2009-06-14 01:31:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\340
[2009-04-25 17:10:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\37186
[2009-04-05 10:08:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\8196
[2009-03-28 17:36:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\F3C8
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\Software\mozilla]

 

Klik w Wykonaj skrypt. Po ukończeniu procesu uruchom Sprzątanie w OTL.

 

2. Aktualizacje oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 23
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0

 

Szczegóły aktualizacyjne: INSTRUKCJE. Są tu dwie wtyczki Flash i to wersja Internet Explorer wymaga aktualizacji. Problem jest tu z okropnie starym Adobe Acrobat 5.0, którego część to dziurawy jak sito Reader, w rozumieniu że to wersja komercyjna i nie ma darmowej aktualizacji.

 

3. Klasyczne czyszczenie folderów Przywracania systemu: INSTRUKCJE.

 

 

 

 

.

[Suchy203]

Witam.

Punkt 1 wykonany.

Java zainstalowana. Starą wersję usunąć ?

Skype- kilka dni temu wyskoczyła aktualizacja, i teraz też program potwierdza najnowszą wersję.

Wtyczki Flash-mam odinstalować wszystkie i zainstalować najnowsze ?

Adobe Acrobat 5.0- dopiero się dowiedziałem do czego to służy. Stara wersja bo nie ruszałem tego od nowości (kilka lat). Odinstalować i zainstalować ? X10 to chyba najnowsza..

[picasso]

Skype- kilka dni temu wyskoczyła aktualizacja, i teraz też program potwierdza najnowszą wersję.

 

Kilka dni temu a logi są z dziś. Wg logów siedzi tu Skype 5.5, najnowsza wersja to Skype 5.6. Dopuszczam jednak rozbieżność między wpisem w zainstalowanych a faktyczną wersją, bo zdarzają się takie "niuanse" przy stawianiu programu metodami nakładkowymi.

 

 

Java zainstalowana. Starą wersję usunąć ?

 

Tak jest wyboldowane w instrukcjach.

 

 

Wtyczki Flash-mam odinstalować wszystkie i zainstalować najnowsze ?

 

Punktowałam tylko wersję Internet Explorer. Czyli odinstalowujesz pozycję Adobe Flash Player 10 ActiveX i z poziomu Internet Explorer otwierasz stronę pobierania.

 

 

Adobe Acrobat 5.0- dopiero się dowiedziałem do czego to służy. Stara wersja bo nie ruszałem tego od nowości (kilka lat). Odinstalować i zainstalować ? X10 to chyba najnowsza..

 

To jest komercyjny pakiet z edycją. To co podaję w przyklejonym to darmowy skrócony czytnik PDF. Wersje się nie zastępują. Jeśli tego starego Acrobata nie używasz, to wywal.

 

 

 

.

[Suchy203]

Ok, wszystko wykonane. Dobrze pani mówi, bo wyświetla, że mam wersję 5.5 ale jak sprawdza aktualizacje to pisze, że to jest najnowsza Ale to nic, dziękuję bardzo za pomoc. Pozdrawiam

[picasso]

Dobrze pani mówi, bo wyświetla, że mam wersję 5.5 ale jak sprawdza aktualizacje to pisze, że to jest najnowsza

 

Być może dlatego, że Skype 5.5 jest traktowany jako odrębna linia niż 5.6. Podobnie jest np. z Java 6 i Java 7.

 

Temat rozwiązany. Zamykam.

 

 

 

.