22/8/2011
Na Facebooku właśnie trwa duża fala ataków. Nie jest to nic specjalnie odkrywczego, ale liczba doniesień, które w związku z tym atakiem do nas napływają jest ponadprzeciętna, dlatego poniżej opisujemy jak wygląda atak i jak się przed nim ustrzec.
Facebook: wanna laugh ? :)))
Na początku odzywa się do nas poprzez czat jeden z naszych znajomych, ale tak naprawdę w jego imieniu rozmowę prowadzi bot, który zainfekował mu komputer. W przypadku tego ataku, rozmowa zawsze jest prowadzona po angielsku, nawet jeśli odzywają się do nas Polacy – już to powinno wzbudzić naszą czujność. Warto zaznaczyć, że znajomy nie jest świadomy, że jest zainfekowany i że z nami rozmawia poprzez Facebooka. Nie widzi także tego, co mu wyślemy za pomocą chatu.

Wirus na Facebooku: tak wygląda początek ataku. Chat bot rozpoczyna rozmowę i wysyła linka do śmiesznego filmu.
Bot z reguły już w drugiej lub trzeciej swojej wpowiedzi podsyła nam linka i nakłania do kliknięcia, pytając np.
- “wowwwww!! you look so sexy”
- “wanna laugh ? :)))”
- “haholhahuahrahXh is this you?? LOL”
Link prowadzi do fałszywej strony udającej YouTube. Tam, żeby obejrzeć film rzekomo z naszym udziałem jesteśmy proszeni o pobranie lub aktualizację Adobe Flash Playera — nie instalujcie go, to trojan!
Podesłany wersja trojana na dzień dzisiejszy wykrywana jest przez mniej niż połowę programów antywirusowych. Wśród tych bardziej znanych, które jeszcze nie wykrywają tego trojana są AVG, ClamAV, Fortinet, McAfee, Sophos, Symantec:
Poniżej podajemy md5 2 plików z trojanem, które udało nam się zaobserwować:
md5 Flash-Player.exe
hxxp://77.253.81.140/Flash-Player.exe aa5d76d5ec44ce0b3f8e8ba8d187bc8e
hxxp://95.134.73.88/Flash-Player.exe b8f3e2aee9e0d7bca1691165b5a2eba1
Warto zaznaczyć, że adresy IP z których serwowany jest trojan zmieniają się często, podobnie jak i sam plik z trojanem (obchodzenie sygnatur AV). Dalsze prace związane z analizą tego pliku trwają, poinformujemy o ich wynikach niebawem. Póki co radzimy:
Jak zabezpieczyć się przed atakiem wirusa na Facebooku?
- nie rozmawiać na Facebooku z Polakami, którzy rozpoczynają rozmowę po angielsku i podsyłają linki
- nigdy nie instalować Flash Playera z linka na stronie, która mówi nam, że mamy złą wersję. Lepiej ręcznie wejść na stronę adobe.com i stamtąd pobrać odpowiedni plik.
- jeśli zauważysz, że ktoś z twoich znajomych przesyła ci linka do wirusa, powiadom go za pomocą e-maila (a nie Facebooka!) że jego komputer jest zawirusowany. Możesz np. przesłać mu link do tego artykułu.
Osoby, które zainstalowały w/w fałszywy, zainfekowany “Flash Player” nie mogą skorzystać ze swojego antywirusa oraz wejść na Facebooka. Aby wyleczyć komputer należy wykonać następujące kroki:
-
1. Zainstalować darmowy ComboFix, uruchomić
2. Zainstalować i uruchomić nod32 online scanner
3. Przeinstalować swojego antywirusa, który był na komputerze (zrobić aktualizację bazy sygnatur)
4. Usunąć plik hosts (przywrócić go z pliku hists, znajdującego się w tym samym katalogu)
Dostałem wczoraj… oczywiscie takie linki klikać tylko w przeglądarce w trybie incognito, a najbardziej zdziwiło mnie to, że napisał to znajomy, który od lat się nie odzywał ;d
To tryb incognito zabezpiecza przed infekcją trojanami i malware ?
Człowiek całe życie się uczy…
Nie jestem pewien, czy tryb incognito cokolwiek pomoże – lepiej otwierać podejrzane linki na maszynie wirtualnej.
nie dopisałem
;)
ucięło mi ‘znacznik’ – dmuchacie na zimne ? ;)
@Torwald, ale zabezpiecza przed wykorzystaniem właśnie zalogowanej sesji.
lepiej w sandboxie, po co całą maszynę wirtualną do tego fatygować.
Ja dostawałem inne wiadomości ale cel ten sam. Zainfekować komputer. Cytuję:
“wowwwww!! you look so sexy http://www.facebookdeush.com/facebook-gallery-2543-JPEG” oraz “haholhahuahrahXh is this you?? LOL http://www.facebookauge.com/facebook-pic-033217-JPEG“
Mógłbyś przynajmniej powiedzieć, że linki zawierają wirus win.logon . Avast! 5 to wykrył.
Właśnie miałem o tym pisac na blogu ;P
Dałem się nabrac na to cholerstwo i przez godzinę czyściłem komputer ze śmieci.
A jest naprawdę zachodu żeby to pousuwac bo np po wejściu w tryb awaryjny, komputer sam się restartuje.
Ma ktos ten filmik z szokujacym wystepem Piotra?
hmm trochę spóźnione fala tego wirusa była z 2 tygodnie temu
Podobnie w naszym przypadku, ale masowo ludzie zaczęli to do nas nadsyłać 2-3 dni temu, widać ktoś wzmożył swoje wysiłki ;) Normalnie w ogóle byśmy o tym nie napisali (daj spokój, kto klika w aktualizację Flasha na YouTubie w domenie X.Y.Z.Ź?), ale liczba doniesień o infekcjach pokazała, że jednak jest sporo takich osób, dlatego zdecydowaliśmy się je mino wszystko ostrzec.
Wirus ściąga BitCoin minera… ;)
Pierwszą taką romowę dostałem 24 lipca
Wszystko ładnie zapakowane, ale jak wywala tak mega trefny komunikat o instalacji wtyczki to ręce opadają – trzeba być (…) żeby to kliknąć – ajm sory, ale to wieje sandałem.
@jurek ogórek:
oczywiście, tutaj: http://www.youtube.com/watch?v=oHg5SJYRHA0
Ja również miałem informować o tym, napisał do mnie 3 dni temu a drugi raz wczoraj, ale byłem czujny ;)
Dzięki za pomoc ale poradziłem sobie w inny sposob. Do mnie też napisal kolega ale bardzo mnie to zdziwilo bo pisał po ang w skroconej formie a on nie zna skróconej formy tego języka no i dalem sie nabrac. Zadzwoniłem do jedo dziewczyny żeby go jakos poinformować. i ten wirus usunąl mi avasta i sam podaje sie ze jest avastem a nie jest. na szczescie windows defender to naprawil
Chłodna opowieść, a były tam smoki?
Stronka, faktycznie, wygląda jak kopia YT 1:1. Gdyby nie artykuł, nie zorientowałbym się, że coś jest nie tak… ; )
Z drugiej strony – ludzie są debilami… Naiwnymi debilami, więc to pewnie wystarcza…
Nie, to jest po prostu zaufanie i mało kto patrzy, że kolega mógł mu wysłać jakieś świństwo :)
“Zaufanie”? Kolego, błagam… Jak widzisz stronkę YT bez polecanych filmów, bez reklam, z adresem IP zamiast nazwy domeny i w dodatku dostajesz komunikat o konieczności aktualizacji Flash Playera, który nie przekierowuje na stronę Adobe, tylko każe coś ściągać na dysk…
Nie, to nie jest kwestia zaufania, to jest kwestia skretynienia społeczeństwa. Obrazowo rzecz ujmując… ; )
http://en.wikipedia.org/wiki/Koobface
Dostałem to od kolegi przez GG, chciał abym ściągnął mu ten film na dysk, bo on jakoś nie może go odtworzyć… Link już nie działał, ale gdy pogrzebałem chwilę, to adres IP pochodził z Ukrainy.
Hmm.. miałem już z 3 takie rozmowy.. naprawdę żenujące, od razu poznałem że coś nie jest tak ;p
Ma ktoś mirror do pliku?
Jakbyś podał poprawnego e-maila, to dostałbyś w prezencie ;)
nvm Piotrze już znalazłem :)
84.252.41.119/Flash-Player.exe
Ja bym poprosił, bo link niestety nie działa, a alternatywnie znalazłem tylko “facebook-pic00023434023.exe” co się dosyć łatwo usuwa, a maszyna wirtualna mi się marnuje:(
niestety kliknelem, lecz gdy wlaczylem strone ukazalo mi sie ze strona jest niedostepna – czy mam sie obawiac zawirusowania pc?
Nie, bo nic nie pobrałeś i uruchomiłeś.
Ja dostałem tego linka ze 2 dni temu. Zdziwiłem się, bo napisał to kolega co od podstawówki się nie odzywał, jeszcze do tego po angielsku.. Jednak zaraz jak zobaczyłem, że trzeba coś instalować i ten podejrzany url, to grzecznie opuściłem stronkę… Mniej podejrzewające osoby mogą się nabrać, bo sprawdzając czy adres jest faktycznie z YT, (zostawiając tylko adres hosta) – przenosi na YT.
A wystarczyłoby przełączyć youtube na html5 i zapomnieć o czymś takim jak flash player.
Fajnie że w html5 dźwięk działa (w niektórych browserach tak, ale w większości nie). Dopóki dźwięk nie będzie działał w każdej przeglądarce (działające: FF; niedziałające: Opera, IE, Safari, Rekonq; czasem działa, czasem nie: Chrome, Chromium) użycie tego dla filmików nie ma sensu.
Nie zauważyłem żeby w Chrome albo Chromium nie działał, a html5 na youtube używam od kiedy tylko to uruchomili.
Na Operze pod ubuntu działa – sam korzystam
Cris, no niestety ale mi dźwięk w html5 w chrome nie działa.
Paweł, a to sorry, nie wiedziałem. No ale w sumie dawno opery nie używałem, więc pewnie mam stare dane.
Nowy test sprawdzenia inteligencji znajomych ;-) Do mnie nikt nie napisał, a do was?
Ten wirus jest dosyć ciekawy, ponieważ sam w sobie wyłącza oprogramowanie antywirusowe i pokazuje komunikat, że przeszedł do bezpiecznego trybu i próbuje walczyć z wirusem. Nieźle musiałem się nabawić, żeby koledze te gówno wyrzucić. Najlepszy jak zwykle okazał się ComboFix, który część tego wyrzucił, następnie poszedł w ruch Dr.WEB CureIt, który też częściowo pousuwał resztę, a na koniec NOD32 online scanner i poszło już w całości. Wtedy dopiero dopuścił zainstalowanie antywirusa, który usunął pozostałości po tym.
Co ciekawe, wirus ten blokuje dostęp do facebooka i z zainfekowanego komputera nie można się na niego zalogować :)
dzięki ci za twojego posta bardzo mi pomogłeś
Witaj,
J atez niestety dałem się nabrać na tego dziada:)
podlacyzlem dysk pod innego kompa i zrobilem skan, niby wszystko wyczyscilem ale nadal nie moge wejsc na facebook. Czy ktoś jest mi w stanie pomoc ??
Zaraz jak przeczytałem tego arta, dostałem ten link na fejsie.
Moje spostrzeżenie: strona jest generowana dla każdego do kogo zostaje wysłana, imie i nazwisko w tytule “filmiku” i nazwisko w opisie. Część linków prowadzi do Youtuba, dwa czy trzy pokazują błąd (zapewne coś by się stało ale lik na Linuxie otwieram).
Pod filmikiem można znaleść komentarze, można tam znaleść swoich znajomych jak i przypadkowych ludzi.
Co odrazu rzuca się w oczy to brak filmików sugerowanych po prawej i inny wygląd “komentarzy” oraz angielska wersja serwisu, u nas automatycznie ustawia się polska wersja.
zdziwiłem się na początku, że osoby nie znające ang zagadują po angielsku : – D
do mnie napisały 3 osoby, jak u was?
Hahahha też dostałem ;D Ale mam luzik bo:
a) Po kliknieciu w strone rzekomego youtube zamiast “youtube” pisało jakieś ip.
b) Pod spodem były komentarze oczywiście po angielsku. Zdziwilo mnie ze napisała też moja siostra która wchodzi na youtube raz na ruski rok. Poza tym inni tez dziwnie sie zainteresowali, wiedziałem coś nie gra ;D
c) Flash player??? WTF na drugiej karcie mam przeciez youtuba i wszystko gra
d) Mam linuxa, trojan jest w exe moze mi possać. ;]
Przed chwilą zostałem zaatakowany przez ten syf… Nieskutecznie ofc ;P
Btw: “Spare me the bullshit and send that malware in!” – made my day xD
PS. Już powiadomiłem znajomą mailowo. Ciekawe, jak często zagląda na pocztę…
a ja nie korzystam z Facebook i nie mam takich problemów ogólnie społecznościowe serwisy są do du*y wole pogadać ze znajomymi przez jabber albo na ircu i to w zupełności wystarcza a nie użerać się z bandą idiotów. Jedyna przykrość w tym że nie mogę tego wybić z głowy mojej dziewczynie heh.
“społecznościowe serwisy są do du*y wole pogadać ze znajomymi przez jabber albo na ircu i to w zupełności wystarcza”
…a kłody w oku nie widzisz… ;)
Wywal komputer na śmietnik, telefon spal a ze znajomymi kontaktuj się osobiście albo poprzez tradycyjne listy. Wtedy nie będziesz wyglądał na hipokrytę ;)
Bo znajomi z Facebooka z jabbera korzystają. https://www.facebook.com/sitetour/chat.php
Ja jakiś czas temu dostałem wiadomość
“foto3
( link )” Linku nie pamiętam ale też musiałem coś ściągać.
Ludzie…. ktos wie jak to latwo usunąc tak aby znowu wszystko gralo ?????? czy bedziemy pisac….. ‘ooo u mnie tez taki problem…. kolega napisal….ble ble ….. ‘ jak to zwalczyc sie pytam ja ???????????????
Patrz komentarz bot’a (6 komciów wyżej):
“Ten wirus jest dosyć ciekawy, ponieważ sam w sobie wyłącza oprogramowanie antywirusowe i pokazuje komunikat, że przeszedł do bezpiecznego trybu i próbuje walczyć z wirusem. Nieźle musiałem się nabawić, żeby koledze te gówno wyrzucić. Najlepszy jak zwykle okazał się ComboFix, który część tego wyrzucił, następnie poszedł w ruch Dr.WEB CureIt, który też częściowo pousuwał resztę, a na koniec NOD32 online scanner i poszło już w całości. Wtedy dopiero dopuścił zainstalowanie antywirusa, który usunął pozostałości po tym.
Co ciekawe, wirus ten blokuje dostęp do facebooka i z zainfekowanego komputera nie można się na niego zalogować :)”
GL ;)
Prostą metodą na sprawdzenie czy piszesz z człowiekiem, czy z botem jest zadanie pytania:
“Aby wykluczyć, że jesteś botem, napisz mi proszę, czy pies jest kotem?”
lub
“Udowodnij, że nie jesteś robotem-spamerem
i napisz do mnie wiadomość o treści: Jestem człowiekiem.”
Na szczęście (dla niektórych niestety) ta metoda czasami eliminuje ludzi z niskim IQ.
Szkoda, że nie można zaimportować tych reguł do firewalla :)
Ja mam takiego “antyspama” w GG ;-) Zdarza się, że i człowiek polegnie (jak czytam czasami logi, to aż mnie brzuch ze śmiechu potrafi rozboleć)
Ekhm…
Linux, bitchez
Swoją drogą, kto pobiera flash z YT jeszcze w domenie A.B.C.D *facepalm*
… i to jeszcze czytelnicy Niebezpiecznika *epic_facepalm*
np. specjalisci od ksiegowosci ktorzy co rok zmieniaja furke na taka jakiej Ty nie bedziesz mial w zyciu. Ale tak serio to pamietajmy ze nie kazdy jest “szpecem” od wszystkiego ..
Ja rozumiem, że wg. Ciebie “na Linuksa nie ma wirusów a M$ to zło wcielone” i w ogóle, ale zrozum, że na (GNU/)Linuksa też *są (ś)wirusy*, też są ludzie, którzy chcą zrobić krzywdę, a nawet można w repozytorium znaleźć programy, które Ci $(rm -rf /usr/ )
Jak to kto pobiera? Użytkownicy facebooka, ja tam akurat bym się pewnie nie zorientował, że powinien być redirect do adobe’a bo nie instaluję flasha dwa razy dziennie :)
Dodatkowo nie zawsze patrzę na adres url stron, które mi znajomi podsyłają.
PS. Żeby Tobie przypadkiem jakieś myśli o flejmie, że System operacyjny X jest %$@! nie przyszły do głowy to napomknę (just in case), że używam BSD, GNU/Linuksa i M$ Windows (wymienione w kolejności alfabetycznej, różne wersje).
Śmiechowe ;)
Żaden ze mnie haker, ale atak jest tak naciągany, że można się chyba tylko celowo zainfekować. Ten adres YT i nazwa ” id the leading role. Shoking performance! ”
Plz, powiedzcie, że chcieliście powalczyć z trojanem, a nie kliknęliście, bo uwierzyliście.
Dobrze podawac obok MD5 wynik sha1sum czy nawet shaxsum bo “podrobic” wynik md5 takze można. To tak poza tematem – bo widzailem ze podane byly md5 plikow flasha.
ja już dawno do was pisałem-znajomy udostępniał link-crazy-cat cośtam sex i przekierowało na stronę na której tak samo jak w tym przypadku był fałszywy filmik a pod spodem fałszywe komentarze po angielsku moich znajomych i też był motyw,że połowa filmiku poleciała a potem była prośba o pobranie kodeka,malware wykrył zaledwie 1 antywirus z virustotal.
Dobrze że atak nie jest typu drive-by, bo wymaga zainstalowania malware samodzielnie. Ale z racji że z mojego komputera czasem może używać ktoś inny (najczęściej właśnie do fejsbuka) przeglądarki domyślnie uruchamiają się w izolowanym środowisku Sandboxie, oczywiście chroni mnie to dość skutecznie przed drive-by :D
Robaczek nauczył się “polskiego” i atakuje również tekstem:
“lol spojrzec!f1i!8 na to zdjecie hxxp://app-facebook.be-up.gr/view.php?=blablabla”
:D
Ilu outsiderów, wygnańców, antyspołecznych psychopatów zostało, co tego fejsbuka nadal konsekwentnie nie używają i żyją? Pokażcie się :) Jak widać powyżej jestem pierwszy :)
Po raz kolejny widać, że darmowe antywirusy (ja używam Avasta) wcale nie odbiegają od linii tych komercyjncyh
Potwierdzam. Dostałem tego linka via Facebook od znajomej i Avast wykrył zagrożenie. Inna koleżanka miała mniejszczęści i czeka mnie wywalenie tego wirusa z jej komputera… Mam nadzieje że sposób usunięcia przy użyciu Combofixa i NODa opisany wyżej, zadziała.
Po przeczytaniu tego artykułu, wszedłem na facebooka i właśnie ujrzałem hi – akurat składa się, że to moja sąsiadka :)
2 tygodnie temu wrzuciłem info o innym wirusie na walla – wtedy tylko jeden AV wykrywał trojana:
https://www.virustotal.com/file-scan/report.html?id=1cd888f912f6e4edd7edd500ba94280e4371c8836d75af924d728ee9e2ad21a5-1313251396
Parę dni temu siostra przyniosła mi laptopa do naprawy który został zainfekowany w ten sposób :P Zastanawiałem się czy pisać z tym do niebezpiecznika czy może to nic ważnego :P
http://anubis.iseclab.org/?action=resulttask_id=1bd4908207f7d3ed465ed3338d02b6c4d
http://www.virustotal.com/file-scan/report.html?id=45ce97b4163cc1f505270fc9d7ecd2ea29f5d7fc0cd9d195dc1a3c8c4592583c-1314010726
nie działa !!! prosze i przesłac musze wiedzieć ! czy kaspersky wykrywa mój kochany ;p
Czy wiecie jak sie pozbyc tego swinstwa (tak tak wiem, dalem sie podejsc jak dzieciak)? Komputer dziala, ale blokuje mojego nortona i nie moge usunac tego cholerstwa. Do tego od razu sie restartuje w momencie gdy probuje podlaczyc sie do interentu (przez kabel). Ciezka sprawa. Jakies sugestie?
To już 2 fala tego wirusa, o poprzedniej nic nie było napisane
“Uwaga, wirus na Facebooku!” – o matko, tytuł zabrzmiał jak jakiś artykuł na Wirtualnej Polsce albo coś. :D
Pierwszy raz znalazłem to na IRCu – ktoś to dostał i podesłał linka – brak flasha mnie nie zdziwił, bo nie miałem flasha, ale nawet i to i tak youtube prowadzi prosto do strony adobe, a nie jakiegoś dziwnego ipeka. Osobiście dostałem to ~2 tyg później, ale uświadomienie by gg/xmpp/whatever pomogło.
do mnie “napisał” znajomy z Czech, z którym porozumiewam się po niemiecku, więc trochę się zdziwiłam to widząc :) i było to jakoś w połowie lipca. nic nie instalowałam, kis11 zawył, zamigotał i zablokował tę stronę ;p
Mi AVG wykryło. Może jak ktoś nie aktualizuje, to mu nie wykryje…
nie, błagam… Ile lat można dawać się nabrać na TE SAME sztuczki :D Zastanawiam się, ile osób zaczęłoby formatować dysk, gdyby im to poradził po czesku znajomy z facebooka…
Też to dostałem. Mi to nie grozi, bo korzystam z Linuxa.
Ciekawi mnie właśnie ilu znajomych się na to nabierze.
Heh Malwarebytes rozpoznaje trojana, a do Norton-a nawet go wysłać nie można :D
mnie wlasnie zdziwilo to ze napisal do mnie chlopak ktory mi sie podoba.. a w ogole ze soba nie mielismy kontaktu, i jeszcze po angielsku napisal..
hej, mnie też ten wirus zaatakował, czy mógł by mi ktoś wytłumaczyć krok po kroku jak się tego cholerstwa pozbyć .?
Ja niestety jak dzieciak się naciąłem a teraz czeka mnie skan kompa = ; ]
Identyczne wiadomości rozsyłane są na twitterze. Zło się szerzy :]
Anonymous rozpoczęło atak? ;>
Kur… jaki jest problem dla ogarniętego gościa wyj..ebać z FCB tego bota ?? nie czaje.. Podobno Polak potrafi ;) .Skoro doszło do was tyle skarg i wykryliście wirusa to powinien byc natychmiast zlikwidowany … Działajcie.
lol,to ekipa facebooka powinna(i teoretycznie tylko ona może) się tym zająć a nie ekipa niezpezpiecznika-ci drudzy mogą jedynie zgłozić szkodliwe serwery.
Wczoraj dałam sie nabrać na tego wirusa , odrazu zeskanowałam komputer ale mam nadal problem na moim komputerze facebook nie otwiera sie wogóle nie moge sie zalogować wiecie jak moge to naprawić ?
@ola – możesz podmienić plik hosts :)
tak. wiemy jak to naprawic. zamiast biadolic nad swoja glupota, trzeba isc do servisu i placic za uswiadamianie.
bardzo wam tak dobrze… jak mozna byc takim debilem zeby sie na takie cos nabrac wogole…
I TO ILE LUDZI !!!
U mnie rozmowa wyglądała tak:
on: hi
ja: na angielski się przestawiłeś?
on: wanna laugh?
ja: sure :D
on: link…
No i wysłałem mu sms-a z pewną informacją ;)
jakie szkody może wyrządzić ten robak?
Ahahh a ja się śmieje z was ludzie bo nawet nie mam Windowsa.
Pingwiny rulez!
Tak, ja również piszę z lodówki pod kontrolą iOSxM3.500 i pół 2k10. Trochę ciężko, bo mi lód po łydkach spływa ale przynajmniej klawiatura telekinetyczna własnej roboty się sprawdza. Kto by pomyślał, że zrobiłem ją z zapałki, stojaka na pralkę i 3 kilometrów krawężnika?
Widzę, że coraz więcej dzieciaków zagląda na Niebezpiecznika. Później mamy teksty typu “do mnie napisał chłopak który mi się podoba” lub “Ahahh a ja się śmieje z was ludzie bo nawet nie mam Windowsa”. Wieje onetem. Bardzo proszę ekipę modów o odsiewanie takich “perełek”, bo aż się płakać czasami chce.
Witam , ja właśnie ten plik zobaczyłem 2 dni temu , jak mi znajomy podesłał. Pobrałem tego adoba lecz się skapnąłem że coś nie pasuje. I go nie odpaliłem . później zobaczyłem że to fake. Mogę się obawiać jakiegoś zagrożenia?
Tak, skoro jak głupi klikasz w dziwne linki od znajomych, to zdecydowanie masz się czego obawiać.
zdziwiło mnie też to że komentarze pod tym niby filmikiem były tylko od moich znajomych i były zdjęcia i nazwy dokładnie takie jak na fejsa a przecież na YT nie ma zdjęć!!
Ja dostałem wiadomość z takim linkiem: hxxp://facebook.morecarefree.com/view.php?=DSC3U73.JPEG i norton znalazł mi wirusa.
no i ja własnie rospoczełam rozmowe z kimś takim !! 3 dni temu dostałam linka z moim imieniem i nazwiskiem i pisało varva navara wanna see laugh ? screaming weszłam na link niby miałam pobrać tam cos wcisnełam i szlak mi trafił facebooka i windowsa xp! mam teraz system ubuntu …. masakra !
piekna historia.
nadszedl czas zeby bulic i to slono.
heh
a ja oszukałem system, bot do mnie nie odpisał :)
-Hi
-hi
-Wana Laught?
-Yep
–koniec rozmowy–
Czas by Facebook wreszcie zainwestował w antywirusy po stronie swoich serwerów i skanował linki. Pewnie takowe ma, ale jest jeszcze kwestia skanowania zamieszczanych linków.
Co po skanowaniu linków, skoro sam link nie prowadził wirusa, tylko do strony z linkiem do wirusa? Facebook by musiał rekurencyjnie skanować linki do stron i linki na stronach z linków do tych stron… Innymi słowy żeby wydajność portalu nie spadła musiałby mieć dziesiątki tysięcy takich systemów skanujących / pająków, a to wszystko po kosztach i po zasobach.. Nie można całe życie matkować innych, nawet ktoś nie zainteresowany informatyką, siadając do komputera musi mieć podstawową wiedzę/intuicję i przezorność żeby bezpiecznie z owego korzystać.
Wiele razy próbowano organizować kampanie uświadamiające:
“- nie klikajcie w podejrzane linki”
“- sprawdzajcie podejrzane linki”
“- nie pobierajcie na komputer czegoś czego nie oczekiwaliście”
etc. etc…
Może pora zrobić taką kampanie jakoś szerzej? Jakieś globalne nauczanie?
NIEBEZPIECZNIK miałby takie możliwości – wystarczyłby artykuł na stronie oraz zachęcenie kilku[nastu] portali do do banera prowadzącego do artykułu. Ew. żeby zapobiec “reklamie” – niech portale same umieszczają np. kopię artykułu z niebezpiecznika i jakoś ją WYSZCZEGÓLNIAJĄ na łamach swoich portali. Jakąś taką dużą akcję zaplanować na np. okres TYGODNIA …
Co o tym myślicie?
Najbardziej uświadamiającą kampanią był, jest i będzie czasowy ban. Przynajmniej tak jest na IRCu.
Zapominacie o Anonimowych ;P Oni też nieźle uświadamiają ;P
MSE 2 chyba bezpieczne Facebooka! :)
U mnie w firmie to mam wrażenie, że jest epidemia tego tałatajstwa… Głownie łapią to osoby z działów nietechnicznych ;-) (co w sumie nie jest dziwne).
Metoda na usunięcie, którą zastosowałem: (thx @bot za naprowadzenie na dobry trop)
1. ComboFix
2. nod32 online scanner
3. przeinstalować zwyczajowego antywirusa, który był na komputerze (comodo)+ update do najnowszej wersji
4. plik hosts wywalić (jest jakiś bardzo duży z masą pustych linii) i przywrócić na miejsce poprzedni który leży obok jako “hists”
Bardzo fajnie…później ja dostanę do naprawy komputery po niewłaściwym zastosowaniu ComboFixa, bo ktoś gdzieś przeczytał, że jak jest infekcja to “combo ja zabije” i używa go przy każdym krzywym pierdnięciu systemu. Pogratulować.
PS. CF jest w stanie usunąć CAŁĄ infekcję bez używania innych odysfiaczy.
To może napiszesz czemu ComboFix jest taki zły. Bo wszyscy mówią, że bez pozwolenia go nie uruchamiać, ale nikt nigdzie już nie napisze czemu…
Za dużo było tematów o combofix, żeby znów opisywać, a google baaaardzo ułatwiłoby Ci robotę… Lenistwo :F
http://www.searchengines.pl/ComboFix-mechanizm-dezynfekcji-t66762.html/page__view__findpost__p__544578
Wybacz Nolias, ale poświęciłem wczoraj pół dnia, aby znaleźć taką informację i jedyne na co się natknąłem, to forum CFa, na którym ktoś pyta o okresloną sekcję w logu, a w odpowiedzi otrzymuje informację, że jest to niezwykle potężne narzędzie i żeby pozostawił to specjalistom…
Pozostałe fora też jakoś nie kwapią się rozpisywania na ten temat… Dzięki za link.
to śmieszne takie straszenie combo,to tak samo antywirusem można system rozłożyć wystarczy zainstalować np. kaspersky i odpalić skaner kaspersky online-za 2 razem jest po systemie.Jak ktoś nie czyta instrukcji użycia żeby nie uruchamiać innych programów podczas pracy to trudno się dziwić jak coś się stanie.Mnie tylko się nie podoba,że program po skończeniu roboty zostawia przez siebie jeden port(któryś z tych które zamyka wwdc).
Zanim ktoś odpali ComboFixa radziłbym poczytać o nim na forach żeby potem niedoświadczeni nie płakali, że coś poszło nie tak :]
Witam
a gdzie jest ten plik hists bo nie moge go znalezc ;/
win Vista
Plik nazywa się “hosts”, hists to zmieniona nazwa. Wikipedia Ci powie gdzie go szukać → https://secure.wikimedia.org/wikipedia/en/wiki/Hosts_file
hint: włącz w windowsie pokazywanie plików systemowych i ukrytych
O skali tego co się dzieje w związku z tym wirusem widać choćby na forum dobreprogramy.pl ;D . W dziale „Bezpieczeństwo” – od piątej strony się to zaczyna a potem bite cztery następne to tylko topiki na ten sam temat. Niektórym odpisano ale części nie – wszak chodzi o to samo i trza by to skleić do jednego tematu no ale każdy nowy tworzy nowy topik i jest niezły bajzel. :D Ciekawe, że na forum searchengines.pl w dziale „Wirusy i Spyware – Bezpieczeństwo w sieci” niczego takiego nie ma choć jest to forum z tradycjami na tym polu. No ale czego oczekiwać od… wiadomo kogo. ;)
Sam bym nawet nie wiedział, że coś takiego się dzieje gdyby znajomy na ircu nie wspomniał. Cóż, wraz z upowszechnieniem komputerów, dostępu do sieci to ludzi niekumatych i nieobytych z tym wzrasta a ogólnie to bardzo im dobrze w tej niewiedzy i niefrasobliwości przecież. ;)
Tylko że tam usuwają za pomocą OTL, każdy skrypt musi być przygotowany dla użytkownika osobno.
ComboFix to nie zabawka i skaner AV, na tę infekcje jest zbyteczny, OTL starczy….
do mnie też to dziadostwo dotarło,najgorsze jest to ze z mojego facebooka rozsyłały się linki i wiadomości po angielsku-a mnie nie było na fejsie,
tymczasowo dezaktywowałam konto,czy ten wirus jest groźny jak nie ściągałam nic z fałszywej strony youtube ale czemu ode mnie to rozsyłało
Bo zostałaś zainfekowana. Jest w treści newsa.
dziwne ze zostałam zainfekowana-nic nie ściągałam
Ten wirus to D e l f.KV
Są instrukcje do jego usunięcia, nie trzeba się męczyć :P
@Semtex
Tak czy owak nikogo nie wyedukujesz. Nawet tu w komentarzach są cudotwórcy, którzy Combofixa instalują.
Niesety CF stał się złotym środkiem na każdego byle śmiecia złapanego z sieci i ciemnota hurtem go używa, a potem rozpacz na forach, że Combofix zepsuł mi cośtam w systemie.
Skala tego zjawiska jest tak duża że nawet zdziwiło mnie to.
Są instrukcje do jego usunięcia, nie trzeba się męczyć :P
Można także poprosić na forum komputerowym kogoś o pomoc ;)
@Mery
Wiem, jednak zawsze gdy widzę że ktoś proponuje CF na wszelkie zło sieci to muszę się odezwać, oczywiście nie miałem na myśli @OKII , w komentarzu do jego posta wcięło mi się to jako uzupełnienie i poniekąd usprawiedliwienie kolejki na DP ;)
Jako ciekawostkę podam że w Polsce jest tylko jedno forum oficjalnie sygnowane do stosowania CF.
Po za tym myślałem o czymś diabelskim, FaceBook Infection Remover (tylko przykład ;), który mógłby być fake AV, działoby się na forach…
Wszystko fajnie, tylko jak usunac to cholerstwo w momencie gdy nie ma polaczenia z internetem (gdy tylko polacze, komputer sie wylacza)…
Jedna z wypowiedzi na pewnym forum:
“Otrzymałem od znajomej na FB link do filmu o mnie: http://92.249.140.203/?hd=100000901006008
Pojawiło mi się że mam nieaktualną wersję Flash Playera więc pobrałem go ale Prevx poinformował mnie że to wirus. Nie wierzyłem w to. Wyłączyłem Prevx’a na 15 min, pobrałem Firefoksa i pobrałem ten plik. Uruchomiłem Flash Playera (ten plik) a po 3 minutach wyskoczył komunikat: “Error! Access denied!”. Mimo tego film nadal się nie pokazał. Następnie Zapora systemu Windows się wyłączyła. Po 15 minutach Prevx wykrył mi 7 wirusów. Jak włączyć ten film?”
Ręce opadają.
Tak zastanawia mnie jedno. Ten pseudo youtube ma dostęp do mojej listy znajomych. Jak to ejst możliwe że uzyskał takie dane bez mojego zezwolenia?
:D Jaki jestem szczęśliwy że wyłączyłem fb moim użyszkodnikom w firmowej sieci… zwłaszcza że rozgarnięci to oni nie są ;)
A jak sie nie ma antywirusa ? tylko zapore ta systemu windows to co ?
Ja kliknęłam w ten link, bo mój znajomy często pisze mi po angielsku i wysyła rózne linki
ale avast pokazał że zablokował połączenie
jak sprawdzić czy mam trojana czy nie??
Normalnie działa mi komp, internet i fb i do nikogo nie wysłałay mi się takie wiadomości z automatu
wielkie dzieki za odp:)
Do mnie ostatnio ktoś wysłał takie coś: lol spojrze.!w3l!1 na to zdj.cie hxxp://facebook.multibiz.gr/view.php?=usr-id6612-album738.JPEG Oczywiście nie wchodziłem w podany link, bo wydawało mi się o podejrzane. Co do powyższego artykułu to na tego wirusa złapało się minimum 3 moich znajomych.
Ale teraz widzicie że, wasze dane nie są wcale w żadnym stopniu bezpieczne,każdy haker zrobi z nimi co chce i kiedy chce,I gdzieś czytałem jeszcze że podobno na allegro zaczyna się coś dziać!!!
Średnio rozumiem tę rozmowę, nie odzywał się do mnie taki bot i nie instalowałem flash playera, ale ze dwa dni temu nie mogłem zalogować się na fejsbuka i pokazywała mi się ta powyższa plansza “Strona internetowa jest niedostępna
Przeglądarka Google Chrome nie może wczytać strony internetowej, ponieważ oczekiwanie na odpowiedź serwera http://www.connect.facebook.com trwa zbyt długo” i t d.
Klikałem na to , wychodziłem z tego i po jakimś czasie udało mi się zalogować – to mam wirusa czy nie? Pozdrawiam
Jak wejdziecie na 77.253.81.140 to juz trojana nei ma, ponadto, jak wpiszecie admin/admin na glownej stronie ( htpasswd ) to dosatniecie access do jakiegoś routera.=D
U znajomego na lapku co jak suszarka działał miałem przyjemność doradzać jak usuwać tego śmiecia – colin minnera. Najlepsze że to zainstalował mu jego młodszy braciszek (wyszedł z domu na 2 h wrócił i nagłe suszarka AVG brak i jakiś komunikat o wałczącym AV. Malwarebayts i AVAST poradziło sobie z tym (z tym że 2 razy instalował AVASTa).
Co do niektórych opinii osób odnośnie CF – podzielam je OTL wystarczy, stosowanie CF do usunięcia wpisów tego śmiecia to jak strzelanie z armaty do komara (pozostaną dziury w ścianie).
Pzdr.
Ja na szczęscie nie używam Facebooka i takiego problemu nie mam ale sporo moich znajomych dało się bardzo łatwo nabrać więc rozesłałem im linki do tego artka napewno im pomoże
do mnie napisał kolega: ‘hi’
odpisalem mu po angielsku, bo myslalem, ze sobie robi jaja.
Komputer mi się zawieszał, na fejsa wejsc nie moglem, na gadu opisu zmienic.
I myslę, ze tego wirusa najlatwiej usunąć tak:
” po prostu przeinstalowac system’
Można również kupić nowy komputer.
Ja też się nabrałem. Ja miałem taki problem, że net zamulał i na facebooka nie mogłem wejść, ale w końcu się udało i sam mi się ściągnął program antywirusowy McAfeeScanAndRepair_Releas, przeskanował on kompa, wirusy usunął i jest już dobrze :)
Przewał ukraiński – stronka na serwerze w Sewastopolu a właścicielem jest niby jakaś spółka ltd…
na fb szaleje cos nowego dostałam linka w którego weszłam i automatycznie ten link jest rozsyłany do wszystkich zanjomych dostepnych na fb.. zaczyna sie na “omg dj…” bądź tez “rofl hahasw http://” nie wim co to jest dostałam inf ze to jakiś trojan… uważajcie
hej, mam problem, a mianowicie kolega wczoraj podesłał mi na facebooku link, jak pobrałam już zawartość linku i otworzyłam to (gratulacje dla mnie. -,-) okazało się, ze to jakiś wirus. komputer mi się wyłączył, nie mogę go włączyć w trybie awaryjnym, podczas ładowania się włącza mi się “narzędzie do naprawy systemu podczas uruchomienia.” zaczyna się coś skanować, następnie pojawia się komunikat “narzędzie do naprawy systemu podczas uruchomienia nie może automatyczne naprawić komputera.” pyta czy ma wysłać raport gdzieś tam, już nie pamiętam gdzie. następnie komputer się wyłącza, gdy go włączam z powrotem dzieje się to samo.
mógłby ktoś pomóc?
Jak kolega taki cwaniak to niech teraz przyjdzie i naprawi. Psuć każdy głupi potrafi.
@malan – umiesz czytać, tak? to przeczytaj artykuł nad komentarzami
@Karola – najprostszym sposobem będzie odpięcie dysku i przeskanowanie go jakimś aktualnym programem antywirusowym z pod innego systemu (czystego)
Pragnę dodać że owy trojan po uruchomieniu blokuję większość antywirusów.
ja bym sie nie nabrał. bo zawsze patrze na górne okienko na jakiej stronie jestem – jak jestem np. na : http://www.youtube.com to jest ok , jeśli np. – http://www.yoyo/youtube.com to jest coś nie tak i wchdze na strone ejszcze raz.. tak samo jak są tylko liczby.. zawsze patrzeć jakie się otwiera strony !! Czytać linki !
widzę że dużo tracę mając zawsze wyłączony chat na fb..
zastanawia mnie tylko – czy każda strona prosząca o aktualizację flasha jest z góry podejrzana? jeśli każą coś instalować to i tak najczęściej przekierowują na strony adobe (trudno powiedzieć czy prawdziwe bo dawno tak nie miałam)
no i co z tymi oknami które otwierają się czasami po starcie systemu prosząc o zainstalowanie flasha jeszcze zanim włączą się programy z autostartu (i nie wiem czy nie antywirus swoją drogą).. moja genialna avira nawet nie została ujęta w teście ze screena -.-
ciekawie na facebooku się dzieje, może keidyś konto założę …
ComboFix 11-09-16.01 – Administrator 2011-09-17 20:14:59.1.2 – x86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1023.402 [GMT 2:00]
Uruchomiony z: G:\ComboFix.exe
* Utworzono nowy punkt przywracania
.
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Skype\Plugin Manager\SkypePM.exe
c:\windows\btc_client_iplist.txt
c:\windows\front_ip_list.txt
c:\windows\geoiplist
c:\windows\geoiplist.rar
c:\windows\iecheck_iplist.txt
c:\windows\info1
c:\windows\iplist.txt
c:\windows\loader2.exe_ok
c:\windows\msmqinst.log
c:\windows\phoenix
c:\windows\phoenix.rar
c:\windows\phoenix\kernels\phatk\__init__.py
c:\windows\phoenix\kernels\phatk\__init__.pyc
c:\windows\phoenix\kernels\phatk\BFIPatcher.py
c:\windows\phoenix\kernels\phatk\BFIPatcher.pyc
c:\windows\phoenix\kernels\phatk\kernel.cl
c:\windows\phoenix\kernels\poclbm\__init__.py
c:\windows\phoenix\kernels\poclbm\__init__.pyc
c:\windows\phoenix\kernels\poclbm\BFIPatcher.py
c:\windows\phoenix\kernels\poclbm\BFIPatcher.pyc
c:\windows\phoenix\kernels\poclbm\kernel.cl
c:\windows\phoenix\phoenix.exe
c:\windows\proc_list1.log
c:\windows\rpcminer.rar
c:\windows\system32\_000018_.tmp.dll
c:\windows\system32\drivers\etc\HSTS~1
c:\windows\ufa.rar
c:\windows\update.1
c:\windows\update.2
c:\windows\update.5.0
c:\windows\winlog-dirs.txt
c:\windows\winlog-ids.txt
c:\windows\winsetupapi.log
F:\Autorun.inf
K:\AUTORUN.INF
.
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
——-\Legacy_SRVBTCCLIENT
——-\Legacy_SRVIECHECK
——-\Legacy_WXPDRIVERS
.
.
((((((((((((((((((((((((( Pliki utworzone od 2011-08-17 do 2011-09-17 )))))))))))))))))))))))))))))))
.
.
2011-09-17 18:12 . 2011-09-17 18:12 ——– d—–w- c:\program files\ESET
2011-09-04 12:40 . 2011-09-04 12:40 ——– d—–w- c:\program files\EA Games
2011-09-04 12:38 . 2011-09-04 12:38 ——– d-s—w- c:\documents and settings\Alina\UserData
2011-08-27 09:35 . 2011-08-27 09:35 ——– dc—-w- c:\documents and settings\SzymonPatryk\Dane aplikacji\ATI
2011-08-27 09:35 . 2011-08-27 09:35 ——– d—–w- c:\documents and settings\SzymonPatryk\Ustawienia lokalne\Dane aplikacji\ATI
2011-08-22 13:47 . 2011-08-22 13:47 ——– d—–w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\PCHealth
2011-08-21 01:12 . 2011-08-21 01:12 ——– d—–w- c:\windows\system32\XPSViewer
2011-08-21 01:11 . 2011-08-21 01:11 ——– d—–w- c:\program files\MSBuild
2011-08-21 01:11 . 2011-08-21 01:11 ——– d—–w- c:\program files\Reference Assemblies
2011-08-21 01:11 . 2008-07-06 12:06 89088 —-a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2011-08-21 01:10 . 2008-07-06 12:06 89088 -c—-w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2011-08-21 01:10 . 2008-07-06 12:06 117760 ——w- c:\windows\system32\prntvpt.dll
2011-08-21 01:10 . 2008-07-06 12:06 575488 -c—-w- c:\windows\system32\dllcache\xpsshhdr.dll
2011-08-21 01:10 . 2008-07-06 12:06 575488 ——w- c:\windows\system32\xpsshhdr.dll
2011-08-21 01:10 . 2008-07-06 12:06 1676288 -c—-w- c:\windows\system32\dllcache\xpssvcs.dll
2011-08-21 01:10 . 2008-07-06 12:06 1676288 ——w- c:\windows\system32\xpssvcs.dll
2011-08-21 01:10 . 2008-07-06 10:50 597504 -c—-w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2011-08-21 01:10 . 2008-07-06 10:50 597504 ——w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2011-08-19 16:28 . 2011-08-19 16:29 ——– d—–w- c:\documents and settings\Administrator\Dane aplikacji\.minecraft
.
.
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-11 13:03 . 2011-02-26 16:34 139080 —-a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-09-11 13:03 . 2011-07-13 15:41 270240 —-a-w- c:\windows\system32\PnkBstrB.xtr
2011-09-11 13:03 . 2011-02-26 16:33 270240 —-a-w- c:\windows\system32\PnkBstrB.exe
2011-09-05 15:08 . 2011-02-26 16:33 270240 —-a-w- c:\windows\system32\PnkBstrB.ex0
2011-09-04 12:51 . 2011-07-11 16:17 138056 —-a-w- c:\documents and settings\Alina\Dane aplikacji\PnkBstrK.sys
2011-09-04 12:51 . 2011-02-26 16:33 75136 —-a-w- c:\windows\system32\PnkBstrA.exe
2011-07-26 11:34 . 2011-07-26 11:24 246272 -c–a-w- c:\windows\unrar.exe
2011-07-06 17:52 . 2011-07-26 12:27 41272 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2011-07-26 12:27 22712 —-a-w- c:\windows\system32\drivers\mbam.sys
2011-07-04 11:43 . 2011-07-26 12:13 40112 —-a-w- c:\windows\avastSS.scr
2011-07-04 11:43 . 2011-07-26 12:13 199304 —-a-w- c:\windows\system32\aswBoot.exe
2011-07-04 11:36 . 2011-07-26 12:14 441176 —-a-w- c:\windows\system32\drivers\aswSnx.sys
2011-07-04 11:36 . 2011-07-26 12:14 309848 —-a-w- c:\windows\system32\drivers\aswSP.sys
2011-07-04 11:35 . 2011-07-26 12:14 43608 —-a-w- c:\windows\system32\drivers\aswTdi.sys
2011-07-04 11:35 . 2011-07-26 12:14 102616 —-a-w- c:\windows\system32\drivers\aswmon2.sys
2011-07-04 11:35 . 2011-07-26 12:14 96344 —-a-w- c:\windows\system32\drivers\aswmon.sys
2011-07-04 11:32 . 2011-07-26 12:14 25432 —-a-w- c:\windows\system32\drivers\aswRdr.sys
2011-07-04 11:32 . 2011-07-26 12:14 30808 —-a-w- c:\windows\system32\drivers\aavmker4.sys
2011-07-04 11:32 . 2011-07-26 12:14 19544 —-a-w- c:\windows\system32\drivers\aswFsBlk.sys
.
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers0avast]
@=”{472083B0-C522-11CF-8763-00608CC02F24}”
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-07-04 11:43 122512 -c–a-w- g:\avast software\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Creative Live! Cam Manager”=”g:\creative live! cam\Live! Cam Manager\CTLCMgr.exe” [2006-05-31 143360]
“ares”=”g:\ares\Ares.exe” [2010-10-27 1015808]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“C-Media Mixer”=”Mixer.exe” [2002-07-12 1581056]
“StartCCC”=”c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2010-02-10 61440]
“SunJavaUpdateSched”=”c:\program files\Common Files\Java\Java Update\jusched.exe” [2010-10-29 249064]
“AVFX Engine”=”g:\creative live! cam\VideoFX\StartFX.exe” [2006-06-08 24576]
“c:\windows\system32\V0220Cvw.dll”=”c:\windows\system32\V0220Cvw.dll” [2006-05-23 245760]
“V0220Mon.exe”=”c:\windows\V0220Mon.exe” [2006-06-28 32768]
“avast”=”g:\avast software\avastUI.exe” [2011-07-04 3493720]
“CardDetectorZTEMF636″=”c:\program files\CardDetector\ZTEMF636\CardDetector.exe” [2008-10-14 274432]
“BEWINTERNET-PLSessionManager”=”g:\orange\SessionManager\SessionManager.exe” [2008-10-24 131824]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=”c:\windows\system32\CTFMON.EXE” [2004-08-03 15360]
.
c:\documents and settings\Alina\Menu Start\Programy\Autostart\
OpenOffice.org 3.3.lnk – d:\open office\program\quickstart.exe [2010-12-13 1198592]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Ralink Wireless Utility.lnk – c:\program files\RALINK\Common\RaUI.exe [2002-1-2 593920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“EnableSecureUIAPaths”= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *aswBoot.exe /A:* /L:1045 /KBD:2 /dir:G:\AVAST
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
2010-10-27 09:00 1015808 -c–a-w- g:\ares\Ares.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu 10]
2011-06-01 13:14 13349472 -c–a-w- g:\gadu-gadu 10\gg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-05-14 18:38 136176 —-atw- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2011-05-25 15:29 1951112 —-a-w- D:\hamachi-2-ui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 -c–a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-03-08 10:02 17037704 —-a-w- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
“npggsvc”=3 (0x3)
“SharedAccess”=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“FirewallOverride”=dword:00000001
“DisableThumbnailCache”=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\\system32\\sessmgr.exe”=
“d:\\CS 1.6\\hl.exe”=
“c:\\WINDOWS\\system32\\PnkBstrA.exe”=
“c:\\WINDOWS\\system32\\PnkBstrB.exe”=
“g:\\ares\\Ares.exe”=
“c:\\Program Files\\Common Files\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe”=
“c:\\Program Files\\Common Files\\SafeNet Sentinel\\Sentinel Keys Server\\sntlkeyssrvr.exe”=
“f:\\Sacred Underworld\\Sacred Underworld\\gameserver.exe”=
“f:\\Sacred Underworld\\Sacred Underworld\\sacred.exe”=
“c:\\Program Files\\Skype\\Phone\\Skype.exe”=
“d:\\steam\\Steam.exe”=
“g:\\Gadu-Gadu 10\\gg.exe”=
“c:\\Program Files\\Java\\jre6\\bin\\javaw.exe”=
“d:\\Counter-Strike 1.6\\hl.exe”=
“g:\\orange\\Connectivity\\ConnectivityManager.exe”=
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2010-12-21 115008]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2010-12-21 94872]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;d:\hamachi-2.exe -s –> d:\hamachi-2.exe -s [?]
R2 SentinelKeysServer;Sentinel Keys Server;c:\program files\Common Files\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [2009-09-17 369952]
R2 SentinelSecurityRuntime;Sentinel Security Runtime;c:\program files\Common Files\SafeNet Sentinel\Sentinel Security Runtime\sntlsrtsrvr.exe [2009-09-17 292128]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-26 22712]
S2 MBAMService;MBAMService;g:\malwarebytes’ anti-malware\mbamservice.exe [2011-07-26 366640]
S3 V0220Dev;Live! Cam Video IM;c:\windows\system32\drivers\V0220Dev.sys [2011-04-08 146112]
S3 V0220Vfx;V0220VFX;c:\windows\system32\drivers\V0220Vfx.sys [2011-04-08 6272]
S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [2011-08-11 103936]
S4 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service –> c:\windows\system32\GameMon.des -service [?]
.
Zawartość folderu ‘Zaplanowane zadania’
.
2011-09-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-1801674531-725345543-500Core.job
– c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-05-14 18:38]
.
2011-09-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-1801674531-725345543-500UA.job
– c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-05-14 18:38]
.
2011-09-17 c:\windows\Tasks\WGASetup.job
– c:\windows\system32\KB905474\wgasetup.exe [2011-02-13 21:18]
.
.
——- Skan uzupełniający ——-
.
uInternet Connection Wizard,ShellNext = iexplore
FF – ProfilePath – c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profileso004mbh.default\
FF – prefs.js: browser.startup.homepage – GOOGLE.PL
FF – Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} – c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF – Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} – c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF – Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} – c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF – Ext: Java Quick Starter: jqs@sun.com – c:\program files\Java\jre6\lib\deploy\jqs\ff
FF – Ext: avast! WebRep: wrc@avast.com – g:\avast software\WebRep\FF
FF – Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} – c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF – Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} – %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
– – – – USUNIĘTO PUSTE WPISY – – – –
.
HKLM-Run-tray_ico – (no file)
HKLM-Run-tray_ico3 – (no file)
HKLM-Run-tray_ico4 – (no file)
AddRemove-Quest3D 4.3.2_is1 – k:\moje dokumenty\Quest3D 4.3.2\unins000.exe
AddRemove-WinGimp-2.0_is1 – c:\program files\GIMP-2.0\setup\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista – rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-09-17 20:22
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
.
skanowanie ukrytych procesów …
.
skanowanie ukrytych wpisów autostartu …
.
skanowanie ukrytych plików …
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
“ImagePath”=”c:\windows\system32\GameMon.des -service”
.
——————— Pliki DLL ładowane pod uruchomionymi procesami ———————
.
– – – – – – – > ‘winlogon.exe'(812)
c:\windows\system32\Ati2evxx.dll
.
– – – – – – – > ‘explorer.exe'(2480)
c:\windows\system32\MSCTF.dll
.
———————— Pozostałe uruchomione procesy ————————
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe
D:\hamachi-2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
c:\windows\system32\wscntfy.exe
c:\windows\Mixer.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
g:\orange\Launcher\Launcher.exe
g:\orange\systray\systrayapp.exe
g:\orange\connectivity\connectivitymanager.exe
g:\orange\PhoneTools\TextMessaging.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\AlertModule\AlertModule.exe
g:\orange\connectivity\CoreCom\CoreCom.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\FTCOMModule.exe
c:\program files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Czas ukończenia: 2011-09-17 20:24:53 – komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2011-09-17 18:24
.
Przed: 883 605 504 bajtów wolnych
Po: 3 174 121 472 bajtów wolnych
.
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT=”Microsoft Windows Recovery Console” /cmdcons
UnsupportedDebug=”do not select this” /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Microsoft Windows XP Professional” /noexecute=AlwaysOff /fastdetect
.
– – End Of File – – 54D3350C45ADFE719EED3164928B8007
niebezpiecznik.pl zmienia się w “prywatny” support czy zaakceptowaliście ten komentarz for fun?
The latter :>
The Bill…
a ja dzisiaj dostałem jeszcze inną wiadomość, i od razu był w niej link: omfg lol nz hxxp://s6.myfilehd.com/g.php?3z4z5-Picture00.JPG
Wiecie coś na ten temat??
Może kogoś zainteresuje: http://securefocus.pl/aktualnosci/sharesafe-bezpieczni-na-facebooku
Witam ja dostałem własnie ta wiadomosc co piszecie wanna lauh i nie moge wejsc na facbooka nawet probowałem z innego kompa i nic nie da sie zrobic co mam zrobic pomorzcie
Dla Ciebie nie ma już ratunku.
Witam, kilka dni temu złapałem wirusa przez FB rozesłanego właśnie przy pomocy czatu. Zazwyczaj nie klikam w takie linki, tym razem zwykła ciekawość wygrała, w każdym razie wirusa usunąłem, przywróciłem następnie system do stanu sprzed wirusa, a teraz mi FB powoli zanika że tak to nazwę, mianowicie, wczoraj mi znikły listy, grupy i aplikacje, a dziś z głównej strony czat oraz znajomi będący aktualnie na Facebooku i teraz nie wiem czy to ma coś wspólnego z wirusem, dodam że to trojan był czy po prostu Facebook ma jakieś bugi które wybierają osoby losowo. Tu screen z tym co się stało do chwili obecnej z Facebookiem – http://imageshack.us/photo/my-images/97/gdgds.png/
Up wygląda mi na bug
Ja mam pytanko, też się na to nabrałem, tyle że link był z tinyurl i był zablokowany, po kliknięciu nic mi nie wyskoczyło tylko “błędny adres”, przesaknowałem komputer ale nic nie znalazło. A nawet jeśli otworzyłaby mi się ta strona to czy mogłoby automatycznie pobrać wirusa, czy musiałbym ściągnąć tę pseudo wtyczkę i dopiero?
Jak napisałem temu botowi, że ta stronka ma IP zamiast normalnego adresu to napisał: “I’ll be back” hehehe
Potrzebuję szybko rady-młodsza siostra mojej żony wczoraj dała się nabrać i teraz bawię się w usuwanie tego szajsu, ale mam pytanie-w którym miejscu znajduje się ten plik hosts i co dokładnie należy z nim zrobić, chodzi o punkt 4 radzenia sobie z wirusem.
Przepraszam za takie głupie pytanie, ale jestem laikiem w tym temacie.
Niestety nigdy nie spotkałam się z czymś takim i wgrałam sobie tego wirusa na moje nieszczęcie to akurat rozmawiałam z moim znajomym i nie patrzałam na nic poporstu weszłam bo dostałam tylko link. Zainstalowałam Combofix ale nie moge zainstalować nod32 online scanner nie wiem czemu. Bardzo bym prosiła o pomoc.
Dalam sie na to nabrac, bo link pochodzil od dobrej znajomej, wiadomosc to tylko hi a flasha nie mialam na kompie, wiec nic nie podejrzewalam. No i teraz nie moge uruchomic komputera bo od razu sie restartuje. Co moge teraz zrobic? Kompletnie sie na tym nie znam :(
Przepraszam a czy eset online scanner jest darmowy? wiem nie kumaty jestem
a co mam zrobić ja??? bo to z mojego konta na face wychodzą wiadomości do znajomych….
Nie myśleliście o tym, żeby napisać artykuł o ostatnio popularnych (chyba popularniejszych niż wszelkie wirusy facebookowe) fanpage’ach typu “10 wpadek filmowych” etc etc? Nie jest to może “groźne” w powszechnie rozumiany sposób, ale ciągle w grę wchodzi sprzedaż danych osobowych. ;)
Klasyk. Teraz szaleje “15 największych błędów w filmach wszech czasów” i ludzie klikają jak głupi:)
Na maku ten wirus też działa, bo ostatnio też miałem przypadek takiej wiadomosci i nie wiem czy na przyszłość się przejmować, czy mieć wylane… (Nic nie ściągałem, tylko przerzuciło mnie na tego niby-youtube’a i cofnąłem się do wcześniejszej strony.)
W poprzednim komentarzu zapomniałem dodać “?” po wyrazie “działa”, proszę moderatorów o dodanie tego znaku zapytania :)
Jak się jednak tego pozbyć skoro komp się restartuje cały czas? Macie jakieś pomysły? Dziękuję za wszelkie pomocne uwagi.
własnie przed chwilą to dostałem, ale kapnąłem sie bo nie rozmawiałem z tą osobą 4 lata i napisała mi “hi”
Pawel, mialem ten sam problem. Najgorsze jest to ze ja nie uzywam zadnego antywirusa :) a raczej nie uzywalem. Po kilkunastu restartach, odlaczylem internet i mi sie nie zrestartowal. Sciaglem combofixa i nim wyleczylem system, pozniej jeszcze doprawilem programem online eset, znalazlo mi ok 20 wirusow :) ale wszystkie usunelo badz wyleczylo :) Pozdrawiam :)
a ja pierwsze co zrobilam po wejsciu w linka na “niby youtube” nacisnelam znaczek youtube’a po lewej stronie u gory,ktory przenosi Cie na glowna strone..I tez odezwala sie znajoma ktora sie nigdy do mnie zbyt chetnie nie odzywala. :)
aha,oczywiscie nie przenioslo mnie po nacisnieciu tego znaczka :)
Czy ten wirus zostanie wyłapany przez antywirusa ESET SMART SECURITY?
Bo mam takiego antywirusa i na razie mój facebook jest ok
Zastosowałem się do wszystkich tych punktów, zeskanowałem, przeinstalowałem… tylko nadal tam gdzie jest plik hosts, nie ma pliku hists. I poza tym cały czas włączając system ustawia mi się bardzo mała rozdzielczość i gdy się wczytuje, to w takim okienku zamiast normalnego wczytywania pokazują się C:Windows/System itp. Jak się tego pozbyć, żeby wszystko włączało się normalnie?
Witam ja podobnie jak przed mowca tylko tyle ze dotarlem tylko do 2 punktu czyli
” 2. Zainstalować i uruchomić nod32 online scanner ” po tym komp mi sie z restartowal i odpalil w trybie awaryjnym i juz nic nie moglem zrobic wiec postawilem system na nowo
Ogólnie ja pogrzebałem w msconfig żeby Windows włączał się bez zabezpieczeń itp., więc teraz tylko muszę za każdym włączeniem zmienić rozdzielczość. Na samym początku wystarczyło tylko włączyć w procesach explorer.exe i dalej to msconfig. Potem porobiłem te wszystkie skany, naprawy, pousuwałem chore pliki i wszystko jest ok poza tą małą rozdzielczością, którą muszę zmieniać co chwile od nowa… -.-
ale mi nnormalnie wykrylo wirusa i go usunelo tylko niewiem czemu dalej nie moge wejsc na tej wysukiwarce co w tedy bylem na fb ale moge normalnie na innej wyszukiwarce :>
czy usunięcie pliku hosts jest konieczne ?
Też miałem – kilka razy – taką sytuację. NIby mój znajomy, z którym nie utrzymywałem specjalnego kontaktu, zaczął od “?”. Gdy podpowiedziałem “Co się stało?”, to wysłał mi link – rzekomo youtube.com, ale nie spodobał mi się adres IP. Podejrzewałem, że coś jest nie tak, bo wcześniej aktualizowałem Aobe Flash Player, więc tego nie ściagnąłem.
Comodo Internet Security i Malwarebtes wykryły, że to “Trojan.Generic” (o ile się nie mylę).
hxxp://www.facebook.com.439532752.tk/Image-HVK7y4q.jpeg
ja dostalam takie cos powie mi ktos co to??
ja mam takie coś, po tym jak wszedłem w niby zaproszenie do gry od znajomej na Facebooku, że mi się cały czas tera jakieś zaproszenia do znajomych do gier i jakieś tyłki wysyłają i jak dziewczyna sie z mojego kompa loguje to też, miał ktoś takie coś ?? wie jak to naprawić ?????, bede bardzo wdzieczny za pomoc, krew mnie zalewa poprostu przez to, ludzie do mnie piszą że im coś wysyłam itd.
Nadal nie działa mi facebook. Miałam kiedyś tego wirusa, usunęłam go, ale facebook nie działa. Co mam zrobić?
Postaw system na nowo wiecej stracisz czasu na szukanie info na temat jak to zrobic niz to jest warte ja mialem tez teg wisrusa robilem to co jaest napisane na tej stronie i nic mi nie pomoglo stracilem 2 dni w koncu postawilem sysytem na nowo i z problem z bani teraz zrobilem sobie jeszcze tylko obraz systemu i na przyszlosc juz sie nie bede marwil ;) pozdro
Mój mąż w jakiś sposób ściągnął trojana (nie wiem czy to dokładnie ten sam), który pokazywał setki komentarzy o różnego rodzaju błędach w komputrze oraz samowolnie wykonywał ‘skan’ w poszukiwaniu błędów – “System check”. Ze strony Symantec ściągnęłam Norton … Eraser, który odnalazł wirusy i je usunął ale efektem ubocznym jest to, że ikony z pulpitu, oraz wiele programów, jak też dokumenty i tym podobne, są nadal niewidoczne. Jak odzyskac dostęp do nich? Czy rozwiązaniem jest przywrócenie systemu? jesli tak, to czy za datę ataku uznać moment, kiedy komp przestał poprawnie działać?
Pozdrawiam i proszę o pomoc.
DZIĘKUJE BARDZO BARDZO MI POMOGLISCIE JA ZARAZILEM SIE TYM TROJANEM NA JAKIMS FORUM DZIEKI WIELKIE ZA POMOC KOMP CZYSTY !!!
ComboFix 12-02-27.02 – Administrator 2012-02-27 23:45:39.1.1 – x86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2046.1424 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe
AV: Avira AntiVir PersonalEdition *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
UWAGA – TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\autorun.inf
c:\windows\msmqinst.log
c:\windows\regopt.log
c:\windows\system\WINSPOOL.DRV
D:\Autorun.inf
D:\pvav.exe
.
c:\windows\system32\msgsvc.dll . . . jest zainfekowany!!
.
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
——-\Legacy_AMSINT32
——-\Service_amsint32
.
.
((((((((((((((((((((((((( Pliki utworzone od 2012-01-27 do 2012-02-27 )))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-21 08:04 . 2012-02-27 21:18 121816 —-a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ORAHSSSessionManager”=”c:\program files\Livebox\SessionManager\SessionManager.exe” [2008-06-10 189168]
“iTunesHelper”=”c:\program files\iTunes\iTunesHelper.exe” [2005-09-03 274432]
“StartCCC”=”c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2008-01-21 135168]
“WinampAgent”=”c:\program files\Winamp\Winampa.exe” [2002-03-20 80384]
“avgnt”=”c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” [2008-02-12 262401]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=”c:\windows\system32\CTFMON.EXE” [2002-12-31 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“tscuninstall”=”c:\windows\system32\tscupgrd.exe” [2002-12-31 44544]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk – c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 143412]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
“ForceClassicControlPanel”= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusOverride”=dword:00000001
“FirewallOverride”=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
“AntiVirusOverride”=dword:00000001
“AntiVirusDisableNotify”=dword:00000001
“FirewallDisableNotify”=dword:00000001
“FirewallOverride”=dword:00000001
“UpdatesDisableNotify”=dword:00000001
“UacDisableNotify”=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
“DisableNotifications”= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\\system32\\sessmgr.exe”=
“c:\\Program Files\\Livebox\\connectivity\\CoreCom\\CoreCom.exe”=
“i:\\livebox.exe”=
“c:\\Program Files\\Livebox\\Launcher\\Launcher.exe”=
“c:\\Program Files\\Livebox\\SessionManager\\SessionManager.exe”=
“c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe”=
“c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\MOM.exe”=
“c:\\ghsmgo.exe”=
“c:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe”=
“c:\\Program Files\\Winamp\\Winamp.exe”=
“c:\\Program Files\\Livebox\\Connectivity\\ConnectivityManager.exe”=
“c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe”=
“c:\\Program Files\\Bonjour\\mDNSResponder.exe”=
.
R3 cwrwdm;Sterownik SoundFusion(tm) WDM;c:\windows\system32\drivers\cwrwdm.sys [2012-02-27 48640]
.
— Inne Usługi/Sterowniki w Pamięci —
.
*NewlyCreated* – AMSINT32
*NewlyCreated* – PCANDIS5
*NewlyCreated* – WS2IFSL
.
.
——- Skan uzupełniający ——-
.
TCP: DhcpNameServer = 192.168.1.1
FF – ProfilePath – c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ayuvv1qo.default\
FF – prefs.js: browser.startup.homepage – http://www.google.pl
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista – rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-27 23:52
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
.
skanowanie ukrytych procesów …
.
skanowanie ukrytych wpisów autostartu …
.
skanowanie ukrytych plików …
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
——————— Pliki DLL ładowane pod uruchomionymi procesami ———————
.
– – – – – – – > ‘winlogon.exe'(664)
c:\windows\system32\Ati2evxx.dll
.
– – – – – – – > ‘explorer.exe'(176)
c:\program files\Livebox\Launcher\Inactivity.Dll
.
———————— Pozostałe uruchomione procesy ————————
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Livebox\Launcher\Launcher.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Czas ukończenia: 2012-02-27 23:53:33 – komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2012-02-27 22:53
.
Przed: 40 753 094 656 bajtów wolnych
Po: 40 800 997 376 bajtów wolnych
.
– – End Of File – – 21AD9FCE46F4F83C04D5DA5C8589CB78
to tak wygladalko wielkie dzieki !!!
mam pytanie , jeśli otworzyłam link i szybko zamknęłam ( antywirus dał mi znać o zagorzeniu ) to jest jakiś powód do obawy ?
Dostałem dzisiaj i rozpocząłem pobieranie ale w połowie chrome mnie ostrzegł że plik może być groźny hmm mądry.
*_* Co to jest za przykra faza u siebie nie mogę wejsc na fejsaa u kogoś innego mogę ?
Mi sie też coś takiego stało ze facebook nie chce sie załadować na moim komputerze na siostry normalnie chodzi a siostra jak tam czytała cos własnie to weszła przez jakis program i wyskakuje ze “twoje konto zostało zablokowane tymczasowo”. Nic sie nie da zrobić podejrzewamze to tez ten virus. Wszystkie stronki czyta a FB nie wchodzi w ogole.
witam ja mam od wczoraj ze na wszystkie strony moge wejsc a na facebooka nie da rady wyskakuje ze polaczenie zostalo zresetowane, nie wiem czy to przez to ale kliknelem zeby zainstalowalo microsoft silverlight i wydaje mi sie ze to wlasnie przez to, ale nie jestem pewien, antyvirus znalazl mi jakies trojany, usunelem je i dalej bylo to samo, przeinstalowalem caly system, sformatowalem dyski i nadal jest to samo. prosze o pooc bo juz nie mam sil, nie wiem jak sobie z tym poradzic i co to moze byc.
aha ten microsoft silverlight byl na stronie tvn, jakas wtyczka do tvn player czy cos.
Mam to samo co Damian . Od wczoraj nic nie działa , nie pomógł reinstal systemu , skanowania ponad programami anty-virus. W czym leży problem?
wczoraj padłem ofiarą mój fejs przestał działać o dziwno nic nie otwierałem po prostu przestał działać mimo starań nie mogę sobie poradzić skanowałem już kilka razy niestety bez skutku
Ten sam problem co przedmówcy.
witam dlaczego nie chce mi działac facebook wchodze wyskakuje cos takiegonoi co ja mam z tym zrobic niby jak ja chcem miec w tej chwili facebook a nie ma i coo???????????????????????????????????????????????
0 Wiadomości
Wyślij nową wiadomość
Wiadomości
Zobacz wszystkie wiadomości
11 Powiadomienia
Powiadomienia
Pokaż starsze
Zobacz wszystkie powiadomienia
Szukaj
Jarosław Gawlik
Szukaj znajomych
Strona główna
Ustawienia konta
Korzystaj z Facebooka jako:
0
Jarosław Gawlik
Reklamuj się
Ustawienia konta
Ustawienia prywatności
Pomoc
U mnie troche ktos buszowal teraz sam nie wiem czy jeszcze siedzi ale prawdopodobnie ze strony dziswieczorem.pl tak cos mi sie wydaje, ale nie mam pewnosci
FB uszczelniło chat? teraz tablica… ^_^)
własnie usuwam krok po kroku tego wirusa ale nie wim co oznacza 3. Przeinstalować swojego antywirusa, który był na komputerze (zrobić aktualizację bazy sygnatur) proszę o pomoc :(
ja dostalam KARAOKE ekdr http://julsfejboooks.net/video.php?watch=video&s=frsjo&resource=youtube&q=Ewa Giee :* kliknelam i mi zapisalo z folderze zablokowalm wszystki aplikacje na fb ale tego pliku dalej nie moge usunac szukalam na google to pisalo ze to hakerzy i ze najlepiej zmienic haslo jak usunac ten plik?
a mi zablokowali fejsa bo ktos rzekomo z mojego konta wyslal jakich spam
mam białą tablicę na fb i czat mi zanika .co z tym zrobić????
Mój antywirus bez problemu rozprawił się z wirusikiem :) AVAST PREMIUM <33
Dzisjaj ten problem powraca otóż dostałem link hehehhhhhhhhhee http ://www . sendspace .com / pro /d l/ mfbm4n / 2704 sorry że robiłem odstepy ale taki link był i zostałem rozsyłany na Facebooku przez czat. Więc postanowiłem poskanować komputer przez ESET Nod 32 a w nim 22 zagrożenia więc udało się wyleczyć i mam pytanie czy jest taki program żeby dla bezpieczeństwa.Przywrócić pliki nie chodzi o robal na FB tylko te co robal np. ukrył pliki.
ja dostałem coś takiego jak to usunąć ? http://bit.ly/12kcyn7
mi przyszło to i bot rozesłał to do moich znajomych LOL
plik, otwórz http://bit.ly/VbMVgW
Niestety wcisnęlam, i co? No po pięciokrotnym zeskanowaniu
kompa antyvirusem Avast! zarażonych plików za ostatnim razem było
177! Widać popracowali nad swoim robaczkiem i nawet już rozsyłają
po polsku wiadomości na FB. Tak więc uważajcie co robicie, bo
jednak jest jakiś % osób, które nie mają o tym pojęcia :\
u mnie było inaczej, a mianowicie tak że kolega z którym pisze czesto wysłał mi plik jakiś i pisało żebym to pobrała że to fajne (a często sobie wysyłamy różne rzeczy) więc klikłam w to i nie wyskoczyło mi nic w youtubie jak wam ale jakiś plik exe który pobrałam i teraz mój antywirus pokazuje zagrożenie koniem trojańskim generic30.BYLW i nie może go usunąć bo jak usuwam ten plik który mam zapisany na pulpicie i daje go do kosza to on sie tak jakby na nowo odtwarza . co mam zrobić ? prosze o pomoc .
mój antywirus to AVG
ComboFix 13-01-08.01 – FD 2013-01-08 18:05:45.1.8 – x64
Microsoft Windows 7 Home Premium 6.1.7601.1.1250.48.1045.18.4029.1717 [GMT 1:00]
Uruchomiony z: c:\users\FD\Downloads\ComboFix.exe
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\Vid-Saver
c:\program files (x86)\Vid-Saver\Uninstall.exe
c:\program files (x86)\Vid-Saver\Vid-SaverGui.exe
c:\users\FD\AppData\Local\Galileo\galileo.exe silent
c:\users\FD\AppData\Local\Vid-Saver
c:\users\FD\AppData\Local\Vid-Saver\Chrome\Vid-Saver.crx
c:\users\FD\wegy.exe
c:\windows\s.bat
.
.
((((((((((((((((((((((((( Pliki utworzone od 2012-12-08 do 2013-01-08 )))))))))))))))))))))))))))))))
.
.
2013-01-08 17:19 . 2013-01-08 17:19 ——– d—–w- c:\users\Default\AppData\Local\temp
2013-01-05 14:36 . 2013-01-05 14:36 172080 —-a-w- c:\windows\system32\drivers\SYMEVENT64x86.SYS
2013-01-05 14:35 . 2007-03-21 19:39 1060864 —-a-w- c:\windows\SysWow64\MFC71.DLL
2013-01-05 14:32 . 2013-01-05 14:32 ——– d—–w- C:\SEPWin64
2013-01-05 13:47 . 2013-01-05 13:47 ——– d—–w- C:\TotalUninstallPortable
2013-01-04 22:55 . 2012-11-08 17:24 9125352 —-a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B0526FA1-3C86-435F-9A6F-26553DF4782C}\mpengine.dll
2013-01-04 21:37 . 2013-01-04 21:37 ——– d—–w- C:\Drivers
2013-01-03 23:37 . 2013-01-03 23:37 ——– d—–w- c:\users\FD\AppData\Local\Symantec
2013-01-03 23:36 . 2013-01-05 14:36 ——– d—–w- c:\program files\Symantec
2013-01-03 23:32 . 2013-01-05 15:33 ——– d—–w- c:\program files (x86)\Common Files\Symantec Shared
2013-01-03 23:32 . 2013-01-05 14:35 ——– d—–w- c:\program files\Common Files\Symantec Shared
2013-01-03 23:32 . 2013-01-03 23:32 ——– d—–w- c:\program files (x86)\Symantec
2012-12-20 22:46 . 2012-12-16 17:11 46080 —-a-w- c:\windows\system32\atmlib.dll
2012-12-20 22:46 . 2012-12-16 14:13 34304 —-a-w- c:\windows\SysWow64\atmlib.dll
2012-12-20 22:46 . 2012-12-16 14:45 367616 —-a-w- c:\windows\system32\atmfd.dll
2012-12-20 22:46 . 2012-12-16 14:13 295424 —-a-w- c:\windows\SysWow64\atmfd.dll
2012-12-16 11:44 . 2013-01-04 22:47 ——– d—–w- c:\users\FD\AppData\Roaming\NapiProjekt
2012-12-12 08:51 . 2012-11-09 05:45 2048 —-a-w- c:\windows\system32\tzres.dll
2012-12-12 08:50 . 2012-11-02 05:59 478208 —-a-w- c:\windows\system32\dpnet.dll
2012-12-12 08:50 . 2012-11-02 05:11 376832 —-a-w- c:\windows\SysWow64\dpnet.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-13 22:36 . 2011-08-01 16:28 67413224 —-a-w- c:\windows\system32\MRT.exe
2012-11-13 15:29 . 2008-06-19 23:11 233120 —-a-w- c:\windows\system32\drivers\WpsHelper.sys
2012-10-16 08:38 . 2012-11-27 18:47 135168 —-a-w- c:\windows\apppatch\AppPatch64\AcXtrnal.dll
2012-10-16 08:38 . 2012-11-27 18:47 350208 —-a-w- c:\windows\apppatch\AppPatch64\AcLayers.dll
2012-10-16 07:39 . 2012-11-27 18:47 561664 —-a-w- c:\windows\apppatch\AcLayers.dll
.
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2012-07-04 13:03 1310040 —-a-r- c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
“{EEE6C35B-6118-11DC-9C72-001320C79847}”= “c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll” [2012-07-04 1310040]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Gadu-Gadu 10″=”c:\program files (x86)\Gadu-Gadu 10\gg.exe” [2011-07-04 13374048]
“ALLUpdate”=”c:\program files (x86)\ALLPlayer\ALLUpdate.exe” [2011-08-16 1379840]
“Galileo”=”c:\users\FD\AppData\Local\Galileo\galileo.exe” [2012-08-27 4044800]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
“IAStorIcon”=”c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe” [2009-11-20 284696]
“332BigDog”=”c:\program files (x86)\USB Camera2\VM332_STI.EXE” [2009-09-15 536576]
“MuteSync”=”c:\progra~2\Lenovo\LENOVO~2\MuteSync.exe” [2009-12-28 336384]
“Lenovo SplitScreen”=”c:\program files\Lenovo\Lenovo SplitScreen\SplitScreen\AutoRunSpS.exe” [2010-04-01 778592]
“UCam_Menu”=”c:\program files (x86)\Lenovo\YouCam\MUITransfer\MUIStartMenu.exe” [2009-05-19 222504]
“YouCam Mirror Tray icon”=”c:\program files (x86)\Lenovo\YouCam\YouCamTray.exe” [2010-02-03 167008]
“UpdateP2GShortCut”=”c:\program files (x86)\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe” [2008-12-03 218408]
“Lenovo SlideNav2″=”c:\program files\Lenovo\Lenovo SlideNav\SlidebarNavigator\SlideNavVDM.exe” [2009-12-30 318400]
“GrooveMonitor”=”c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe” [2009-02-26 30040]
“StartCCC”=”c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2011-12-05 343168]
“Adobe ARM”=”c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe” [2012-01-03 843712]
“SweetIM”=”c:\program files (x86)\SweetIM\Messenger\SweetIM.exe” [2012-05-29 115032]
“Sweetpacks Communicator”=”c:\program files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe” [2012-08-15 231768]
“ccApp”=”c:\program files (x86)\Common Files\Symantec Shared\ccApp.exe” [2008-12-18 115560]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“WLStart”=”c:\program files (x86)\Windows Live\Installer\wlstart.exe” [2009-07-26 785744]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk – c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2010-1-12 1082656]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“ConsentPromptBehaviorAdmin”= 5 (0x5)
“ConsentPromptBehaviorUser”= 3 (0x3)
“EnableUIADesktopToggle”= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@=”Service”
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@=”Service”
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@=”Service”
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
“DisableMonitoring”=dword:00000001
.
R2 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-10-21 196176]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [x]
R2 ReadyComm.DirectRouter;ReadyComm.DirectRouter;c:\windows\System32\IgrsSvcs.exe [x]
R3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\Drivers\ssadadb.sys [2011-05-13 36328]
R3 Bridge0;Bridge0;c:\windows\system32\drivers\WDBridge.sys [2009-07-16 79376]
R3 COH_Mon;COH_Mon;c:\windows\system32\Drivers\COH_Mon.sys [2008-11-18 25424]
R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2011-07-29 16776]
R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2011-07-29 9096]
R3 ew_usbenumfilter;huawei_CompositeFilter;c:\windows\system32\DRIVERS\ew_usbenumfilter.sys [x]
R3 ewusbmbb;HUAWEI USB-WWAN miniport;c:\windows\system32\DRIVERS\ewusbwwan.sys [x]
R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys [x]
R3 IGRS;IGRS;c:\program files (x86)\Lenovo\ReadyComm\common\IGRS.exe [2009-07-15 38152]
R3 Lenovo ReadyComm AppSvc;Lenovo ReadyComm AppSvc;c:\program files\Lenovo\ReadyComm\AppSvc.exe [2009-08-14 509192]
R3 Lenovo ReadyComm ConnSvc;Lenovo ReadyComm ConnSvc;c:\program files\Lenovo\ReadyComm\ConnSvc.exe [2009-11-17 575304]
R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368]
R3 PS_MDP;ReadyComm Presentation Space Helper Service;c:\windows\System32\IgrsSvcs.exe [x]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-09-19 127488]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-09-19 18944]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-09-19 161280]
R3 ss_bserd;SAMSUNG USB Mobile Logging Driver;c:\windows\system32\DRIVERS\ss_bserd.sys [2009-09-19 128000]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-05-13 157672]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-05-13 16872]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-05-13 177640]
R3 ssadserd;SAMSUNG Android USB Diagnostic Serial Port (WDM);c:\windows\system32\DRIVERS\ssadserd.sys [2011-05-13 146920]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 WatAdminSvc;Usługa Technologie aktywacji systemu Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2011-07-31 1255736]
R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys [2009-07-21 121840]
S0 LHDmgr;LHDmgr;c:\windows\System32\DRIVERS\LhdX64.sys [2010-01-15 39008]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2011-07-30 834544]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-12-06 235520]
S2 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE [2011-10-13 249648]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-11-20 13336]
S2 Slidebar Notifier Service;Slidebar Notifier Service;c:\program files\Lenovo\Lenovo SlideNav\SlidebarNavigator\SlidebarNotifier.exe [2009-12-30 69568]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-11-04 2320920]
S3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\DRIVERS\AcpiVpc.sys [2009-10-19 28176]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-12-05 95248]
S3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-12-14 53800]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 35104]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2012-12-17 138912]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2010-03-26 160880]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet – NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2009-10-16 321064]
S3 vm332avs;Lenovo Camera2;c:\windows\system32\Drivers\vm332avs.sys [2010-02-01 214000]
S3 wdmirror;wdmirror;c:\windows\system32\DRIVERS\WDMirror.sys [2009-07-16 11280]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
IgrsSvcs REG_MULTI_SZ ReadyComm.DirectRouter PS_MDP
REG_SZ
.
Zawartość folderu ‘Zaplanowane zadania’
.
2013-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
– c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-28 19:44]
.
2013-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
– c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-28 19:44]
.
.
——— X64 Entries ———–
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“RtHDVCpl”=”c:\program files\Realtek\Audio\HDA\RAVCpl64.exe” [2010-04-23 10775072]
“RtHDVBg”=”c:\program files\Realtek\Audio\HDA\RAVBg64.exe” [2010-04-23 2040352]
“OnekeyStudio”=”c:\program files (x86)\Lenovo\Onekey Theater\OnekeyStudio.exe” [2009-12-19 776608]
“EnergyUtility”=”c:\program files (x86)\Lenovo\Energy Management\utility.exe” [2010-03-11 4448704]
“Energy Management”=”c:\program files (x86)\Lenovo\Energy Management\Energy Management.exe” [2010-03-11 7056832]
“Logitech Download Assistant”=”c:\windows\System32\LogiLDA.dll” [2010-11-03 1580368]
.
——- Skan uzupełniający ——-
.
uStart Page = hxxp://home.sweetim.com/?st=6&barid={8FE88668-F159-11E1-867C-F07BCBCC7ACF}
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://home.sweetim.com/?crg=3.1010000.10005&barid={8FE88668-F159-11E1-867C-F07BCBCC7ACF}
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&ksportuj do programu Microsoft Excel – c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Wyślij obraz do urządzenia &Bluetooth… – c:\program files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Wyślij stronę do urządzenia &Bluetooth… – c:\program files\Lenovo\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 62.179.1.62 62.179.1.63
.
– – – – USUNIĘTO PUSTE WPISY – – – –
.
Toolbar-Locked – (no file)
SafeBoot-mcmscsvc
SafeBoot-MCODS
SafeBoot-Symantec Antvirus
Toolbar-Locked – (no file)
HKLM-Run-SynTPEnh – c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-SynBtnAsst – c:\program files (x86)\Synaptics\SynTP\SynBtnAsst.exe
HKLM-Run-TNod UP – c:\program files (x86)\TNod User & Password Finder\TNODUP.exe
.
.
.
——————— ZABLOKOWANE KLUCZE REJESTRU ———————
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@=”FlashBroker”
“LocalizedString”=”@c:\\windows\\system32\\Macromed\\Flash\\FlashUtil10d.exe,-101”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
“Enabled”=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@=”c:\\windows\\SysWow64\\Macromed\\Flash\\FlashUtil10d.exe”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@=”Shockwave Flash Object”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@=”c:\\windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx”
“ThreadingModel”=”Apartment”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@=”0″
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@=”ShockwaveFlash.ShockwaveFlash.10″
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@=”c:\\windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx, 1″
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@=”{D27CDB6B-AE6D-11cf-96B8-444553540000}”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@=”1.0″
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@=”ShockwaveFlash.ShockwaveFlash”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@=”Macromedia Flash Factory Object”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@=”c:\\windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx”
“ThreadingModel”=”Apartment”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@=”FlashFactory.FlashFactory.1″
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@=”c:\\windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx, 1″
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@=”{D27CDB6B-AE6D-11cf-96B8-444553540000}”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@=”1.0″
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@=”FlashFactory.FlashFactory”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@=”IFlashBroker3″
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@=”{00020424-0000-0000-C000-000000000046}”
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
“Version”=”1.0”
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
“BlindDial”=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
“BlindDial”=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
“BlindDial”=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
“BlindDial”=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
“BlindDial”=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Czas ukończenia: 2013-01-08 18:26:45
ComboFix-quarantined-files.txt 2013-01-08 17:26
.
Przed: 57 689 055 232 bajtów wolnych
Po: 59 148 234 752 bajtów wolnych
.
– – End Of File – – 4601FE48E8CACEC875B5AB841B932E6C
a co zrobić, jeśli wysyła sie to w twojego konta bez twojej wiedzy? :C
Ja mam inny problem. otóż tak z mojego konta są wysyłane wiadomości do znajomych oraz posty na ich tablicach typu : LOL uruchom ten plik i link podany, to ty i link , jesteś geje i link mam już tego dosyć bo znajomi się mnie ciągle czepiają ze im to przychodzi nie wiecie jak to może usunąć żeby się to nie wysyłało
Mam problem bo właśnie kliknołem w ten link i zainfekował
mnie. Rozwiązałem problem przez tą stronkę ale linki zostały
wysłane do znajomych. Czy grozi mi odpowiedźalność grzywna lub
karalna jeśli nie wiedziałem że coś takiego dzieje mi się na moim
koncie?
Witam mam problem wlasnie chodzi o tego wirusa dostalem linka i bez zastanowienia odpalilem i pobralem wtyczke adobe ;/ i teraz mam wielki problem co robic ? jak sie tego pozbyc prosze pomozcie nawet nie moge wejsc na swojego boje sie tez ze wirus wypatrzy moje inne konta w internecie np bankowe allegro itp co robic
Mam pytanie. Nie znam się na wirusach, ale jeśli ten plik pobrałem ale go nie otworzyłem to mój komputer może być zainfekowany?
Jak do mnie znajoma (która ma pałę z angola i nie wie co to tłumacz google) napisała po angielsku i to jeszcze “wowwwww!! you look so sexy” to natychmiast wzięłam komórkę i do niej zadzwoniłam. Powiedziałam jej że coś jest nie tak z jej komputerem i Facebookiem. Jakoś ten syf usunęła, a ja wtedy szybko wyszłam z Fejsa, włączyłam skanowanie kompa i jakoś było, ale nie radzę się w to wplątywać.
Ite gry na faceboku tesz są zainfekowane wirusami
Jak wyłączy tego wirusa z fecebook ? bo szukam i nie mogę znalezc powie mi ktoś jak tego wirusa wylaczyc z fb ..Proszę o pomoc i z góry Dziękuje za udzieloną mi pomoc :)
1szy raz zaatakował mnie robak wysłał do moich znajomych linki do pobrania ….Tłumaczyłam pisałam, by nikt nie pobierał ..ZA póżno 4 osoby pobrały…..Ktos poradził zmianę hasła …Czy to coś da ….Wyczyściłam wiadomości przez program antywirusowy….Czy to wystarczy ? ,,,Nic się nie dzieje od tego czasu….
http://www.pfb.unssa.rs.ba/?mlr9lp=df1762addcb7ab dostałam coś takiego i coś takiego http://chaosium.com/?kbvn5v=673c21b82273b13f4822457
Mi niby moja koleżanka coś przysłała, moje zdjęcie profilowe w formie “filmiku”, nie wiedziałam co jest grane i weszłam w to, ale chyba na szczęście niczego nie zainstalowałam, nie mam żadnych programów nowych. Ale zawirusował mi się facebook, do wszystkich moich znajomych wysyła mi się to co ja dostałam od koleżanki i tylko muszę się tłumaczyć o co chodzi. POMOCY!
Tak to juz jest z tymi botami:)
ktos podszywa się pod moją rodzinę i z tego adresu rozsyła wirusa: