SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Wirus Koobface

Tryby wyświetlania wątku
Wirus Koobface
Mordoklejka Offline
Nowicjusz
Liczba postów: 6
Liczba wątków: 2
Dołączył: 04.04.2013
Reputacja: 0
#1
04.04.2013, 17:23
Objawy zainfekowania:
Jest to wirus Koobface, przez który mam problemy z Facebookiem. Aby go normalnie używać muszę wyłączać proces Adobe Shockwave w menedżerze zadań w Google Chrome.

Wykonywane działania:
Skanowałem komputer programem Microsoft Security Essentials, ale to nic nie dało. Następnie skanowałem programem McAfee Security Scan Plus, co pokazało mi problemy z dwoma stronami internetowymi: wiedzabezuzyteczna.pl i rapidshare.com

Logi:
OLT.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
danisss Offline
Amator
Liczba postów: 58
Liczba wątków: 7
Dołączył: 25.04.2012
Reputacja: 2
#2
04.04.2013, 21:12
Try to scan with malware bytes and hitman pro
Strona WWW Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#3
04.04.2013, 21:21
Odinstaluj:

McAfee Scan and Repair
McAfee Security Scan zastąp tą prowizorke programem Malwarebytes Anti-Malware 1.70.0.1100
Adobe Reader X (10.1.4) zastąp programem Foxit Reader

Zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod:
:OTL
O4 - HKCU..\Run: [Facebook Update] C:\Users\Marcin\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
O16:[b]64bit:[/b] - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O33 - MountPoints2\{ab8d81c8-ed25-11e1-9b24-001d7dd00f9e}\Shell - "" = AutoRun
O33 - MountPoints2\{ab8d81c8-ed25-11e1-9b24-001d7dd00f9e}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{e0fd3423-ed20-11e1-8667-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{e0fd3423-ed20-11e1-8667-806e6f6e6963}\Shell\AutoRun\command - "" = F:\_AUTORUN\Autorun.exe -- [2000-02-07 13:20:10 | 000,036,864 | R--- | M] (New World Computing)
O33 - MountPoints2\{e2156ad4-ed26-11e1-91c7-001d7dd00f9e}\Shell - "" = AutoRun
O33 - MountPoints2\{e2156ad4-ed26-11e1-91c7-001d7dd00f9e}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\AutoRun.exe
[2013-04-04 16:26:02 | 000,000,932 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-845929907-3609644045-621569633-1000UA.job
[2013-04-04 16:26:00 | 000,000,910 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-845929907-3609644045-621569633-1000Core.job
[2013-03-28 19:00:25 | 000,000,000 | -H-D | C] -- C:\Users\Marcin\Documents\Freemake_do_not_remove_this_folder635000904259905816
[2013-03-27 18:36:02 | 000,000,000 | -H-D | C] -- C:\Users\Marcin\Documents\Freemake_do_not_remove_this_folder635000025628130981
[2013-03-27 17:18:21 | 000,000,000 | -H-D | C] -- C:\Users\Marcin\Documents\Freemake_do_not_remove_this_folder634999979016301816

:Commands
[EMPTYTEMP]


Przedstaw raport z wykonania OTL
Szukaj
Odpowiedz
Mordoklejka Offline
Nowicjusz
Liczba postów: 6
Liczba wątków: 2
Dołączył: 04.04.2013
Reputacja: 0
#4
05.04.2013, 16:49
Raport z wykonania OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]


Dodatkowo jak dzisiaj włączyłem komputer to miałem wyłączone pokazywanie rozszerzeń plików (zawsze mam włączone) i usunięty plik OTL.exe, choć od wczorajszego skanu go nie ruszałem.
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#5
05.04.2013, 17:09
A możesz włączyć opcje pokazywania rozszerzeń czy nie?
Czy możesz już normalnie korzystać z Facebooka?
Szukaj
Odpowiedz
Mordoklejka Offline
Nowicjusz
Liczba postów: 6
Liczba wątków: 2
Dołączył: 04.04.2013
Reputacja: 0
#6
05.04.2013, 17:20
Próbowałem wejść na Facebook i pokazało mi, że przeglądarka internetowa zainfekowana itd, ale tym razem nie wróciło mi na stronę główną FB przy próbie instalowania tego rozszerzenia co sprawdza infekcje od FB i mi żadnej nie wykryło. Poza tym z okna rozszerzeń Google Chrome zniknął Adobe Flash Player, który był tym wirusem.
Co do rozszerzeń w Windowsie to pierwsze co zrobiłem to włączyłem je i wszystko dobrze działa.
Serdecznie dziękuję za pomoc!
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#7
05.04.2013, 17:26
Profilaktycznie możesz skorzystać jeszcze z AdwCleaner .

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Przedstaw raport z wykonania AdwCleaner

W programie OTLprzejdź do opcji sprzątania.
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości