13:40
22/8/2011

Uwaga, wirus na Facebooku!

Na Facebooku właśnie trwa duża fala ataków. Nie jest to nic specjalnie odkrywczego, ale liczba doniesień, które w związku z tym atakiem do nas napływają jest ponadprzeciętna, dlatego poniżej opisujemy jak wygląda atak i jak się przed nim ustrzec.

Facebook: wanna laugh ? :)))

Na początku odzywa się do nas poprzez czat jeden z naszych znajomych, ale tak naprawdę w jego imieniu rozmowę prowadzi bot, który zainfekował mu komputer. W przypadku tego ataku, rozmowa zawsze jest prowadzona po angielsku, nawet jeśli odzywają się do nas Polacy – już to powinno wzbudzić naszą czujność. Warto zaznaczyć, że znajomy nie jest świadomy, że jest zainfekowany i że z nami rozmawia poprzez Facebooka. Nie widzi także tego, co mu wyślemy za pomocą chatu.

Facebook Virus (chat bot)

Wirus na Facebooku: tak wygląda początek ataku. Chat bot rozpoczyna rozmowę i wysyła linka do śmiesznego filmu.

Bot z reguły już w drugiej lub trzeciej swojej wpowiedzi podsyła nam linka i nakłania do kliknięcia, pytając np.

  • “wowwwww!! you look so sexy”
  • “wanna laugh ? :)))”
  • “haholhahuahrahXh is this you?? LOL”

Link prowadzi do fałszywej strony udającej YouTube. Tam, żeby obejrzeć film rzekomo z naszym udziałem jesteśmy proszeni o pobranie lub aktualizację Adobe Flash Playera — nie instalujcie go, to trojan!

Facebook Virus youtube

Wirus na Facebooku -- fałszywa strona YouTube

Podesłany wersja trojana na dzień dzisiejszy wykrywana jest przez mniej niż połowę programów antywirusowych. Wśród tych bardziej znanych, które jeszcze nie wykrywają tego trojana są AVG, ClamAV, Fortinet, McAfee, Sophos, Symantec:

Facebook Trojan

Facebookowy Trojan nie jest wykrywany przez wszystkie antywirusy

Poniżej podajemy md5 2 plików z trojanem, które udało nam się zaobserwować:
md5 Flash-Player.exe
hxxp://77.253.81.140/Flash-Player.exe aa5d76d5ec44ce0b3f8e8ba8d187bc8e
hxxp://95.134.73.88/Flash-Player.exe b8f3e2aee9e0d7bca1691165b5a2eba1

Warto zaznaczyć, że adresy IP z których serwowany jest trojan zmieniają się często, podobnie jak i sam plik z trojanem (obchodzenie sygnatur AV). Dalsze prace związane z analizą tego pliku trwają, poinformujemy o ich wynikach niebawem. Póki co radzimy:

Jak zabezpieczyć się przed atakiem wirusa na Facebooku?

  • nie rozmawiać na Facebooku z Polakami, którzy rozpoczynają rozmowę po angielsku i podsyłają linki
  • nigdy nie instalować Flash Playera z linka na stronie, która mówi nam, że mamy złą wersję. Lepiej ręcznie wejść na stronę adobe.com i stamtąd pobrać odpowiedni plik.
  • jeśli zauważysz, że ktoś z twoich znajomych przesyła ci linka do wirusa, powiadom go za pomocą e-maila (a nie Facebooka!) że jego komputer jest zawirusowany. Możesz np. przesłać mu link do tego artykułu.

Osoby, które zainstalowały w/w fałszywy, zainfekowany “Flash Player” nie mogą skorzystać ze swojego antywirusa oraz wejść na Facebooka. Aby wyleczyć komputer należy wykonać następujące kroki:

    1. Zainstalować darmowy ComboFix, uruchomić
    2. Zainstalować i uruchomić nod32 online scanner
    3. Przeinstalować swojego antywirusa, który był na komputerze (zrobić aktualizację bazy sygnatur)
    4. Usunąć plik hosts (przywrócić go z pliku hists, znajdującego się w tym samym katalogu)
Jeśli chcesz być na bieżąco z Facebookowymi przekrętami/atakami, odwiedź to zobacz naszą specjalną stronę poświęconom najnowszym Facebookowym atakom.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

223 komentarzy

Dodaj komentarz
  1. Dostałem wczoraj… oczywiscie takie linki klikać tylko w przeglądarce w trybie incognito, a najbardziej zdziwiło mnie to, że napisał to znajomy, który od lat się nie odzywał ;d

    • To tryb incognito zabezpiecza przed infekcją trojanami i malware ?
      Człowiek całe życie się uczy…

    • Nie jestem pewien, czy tryb incognito cokolwiek pomoże – lepiej otwierać podejrzane linki na maszynie wirtualnej.

    • nie dopisałem

      ;)

    • ucięło mi ‘znacznik’ – dmuchacie na zimne ? ;)

    • @Torwald, ale zabezpiecza przed wykorzystaniem właśnie zalogowanej sesji.

    • lepiej w sandboxie, po co całą maszynę wirtualną do tego fatygować.

  2. Ja dostawałem inne wiadomości ale cel ten sam. Zainfekować komputer. Cytuję:
    “wowwwww!! you look so sexy http://www.facebookdeush.com/facebook-gallery-2543-JPEG” oraz “haholhahuahrahXh is this you?? LOL http://www.facebookauge.com/facebook-pic-033217-JPEG

    • Mógłbyś przynajmniej powiedzieć, że linki zawierają wirus win.logon . Avast! 5 to wykrył.

  3. Właśnie miałem o tym pisac na blogu ;P
    Dałem się nabrac na to cholerstwo i przez godzinę czyściłem komputer ze śmieci.
    A jest naprawdę zachodu żeby to pousuwac bo np po wejściu w tryb awaryjny, komputer sam się restartuje.

  4. Ma ktos ten filmik z szokujacym wystepem Piotra?

  5. hmm trochę spóźnione fala tego wirusa była z 2 tygodnie temu

    • Podobnie w naszym przypadku, ale masowo ludzie zaczęli to do nas nadsyłać 2-3 dni temu, widać ktoś wzmożył swoje wysiłki ;) Normalnie w ogóle byśmy o tym nie napisali (daj spokój, kto klika w aktualizację Flasha na YouTubie w domenie X.Y.Z.Ź?), ale liczba doniesień o infekcjach pokazała, że jednak jest sporo takich osób, dlatego zdecydowaliśmy się je mino wszystko ostrzec.

  6. Wirus ściąga BitCoin minera… ;)

  7. Pierwszą taką romowę dostałem 24 lipca

  8. Wszystko ładnie zapakowane, ale jak wywala tak mega trefny komunikat o instalacji wtyczki to ręce opadają – trzeba być (…) żeby to kliknąć – ajm sory, ale to wieje sandałem.

  9. @jurek ogórek:
    oczywiście, tutaj: http://www.youtube.com/watch?v=oHg5SJYRHA0

  10. Ja również miałem informować o tym, napisał do mnie 3 dni temu a drugi raz wczoraj, ale byłem czujny ;)

  11. Dzięki za pomoc ale poradziłem sobie w inny sposob. Do mnie też napisal kolega ale bardzo mnie to zdziwilo bo pisał po ang w skroconej formie a on nie zna skróconej formy tego języka no i dalem sie nabrac. Zadzwoniłem do jedo dziewczyny żeby go jakos poinformować. i ten wirus usunąl mi avasta i sam podaje sie ze jest avastem a nie jest. na szczescie windows defender to naprawil

    • Chłodna opowieść, a były tam smoki?

  12. Stronka, faktycznie, wygląda jak kopia YT 1:1. Gdyby nie artykuł, nie zorientowałbym się, że coś jest nie tak… ; )
    Z drugiej strony – ludzie są debilami… Naiwnymi debilami, więc to pewnie wystarcza…

    • Nie, to jest po prostu zaufanie i mało kto patrzy, że kolega mógł mu wysłać jakieś świństwo :)

    • “Zaufanie”? Kolego, błagam… Jak widzisz stronkę YT bez polecanych filmów, bez reklam, z adresem IP zamiast nazwy domeny i w dodatku dostajesz komunikat o konieczności aktualizacji Flash Playera, który nie przekierowuje na stronę Adobe, tylko każe coś ściągać na dysk…
      Nie, to nie jest kwestia zaufania, to jest kwestia skretynienia społeczeństwa. Obrazowo rzecz ujmując… ; )

  13. Dostałem to od kolegi przez GG, chciał abym ściągnął mu ten film na dysk, bo on jakoś nie może go odtworzyć… Link już nie działał, ale gdy pogrzebałem chwilę, to adres IP pochodził z Ukrainy.

  14. Hmm.. miałem już z 3 takie rozmowy.. naprawdę żenujące, od razu poznałem że coś nie jest tak ;p

  15. Ma ktoś mirror do pliku?

    • Jakbyś podał poprawnego e-maila, to dostałbyś w prezencie ;)

    • nvm Piotrze już znalazłem :)

      84.252.41.119/Flash-Player.exe

    • Ja bym poprosił, bo link niestety nie działa, a alternatywnie znalazłem tylko “facebook-pic00023434023.exe” co się dosyć łatwo usuwa, a maszyna wirtualna mi się marnuje:(

  16. niestety kliknelem, lecz gdy wlaczylem strone ukazalo mi sie ze strona jest niedostepna – czy mam sie obawiac zawirusowania pc?

    • Nie, bo nic nie pobrałeś i uruchomiłeś.

  17. Ja dostałem tego linka ze 2 dni temu. Zdziwiłem się, bo napisał to kolega co od podstawówki się nie odzywał, jeszcze do tego po angielsku.. Jednak zaraz jak zobaczyłem, że trzeba coś instalować i ten podejrzany url, to grzecznie opuściłem stronkę… Mniej podejrzewające osoby mogą się nabrać, bo sprawdzając czy adres jest faktycznie z YT, (zostawiając tylko adres hosta) – przenosi na YT.

  18. A wystarczyłoby przełączyć youtube na html5 i zapomnieć o czymś takim jak flash player.

    • Fajnie że w html5 dźwięk działa (w niektórych browserach tak, ale w większości nie). Dopóki dźwięk nie będzie działał w każdej przeglądarce (działające: FF; niedziałające: Opera, IE, Safari, Rekonq; czasem działa, czasem nie: Chrome, Chromium) użycie tego dla filmików nie ma sensu.

    • Nie zauważyłem żeby w Chrome albo Chromium nie działał, a html5 na youtube używam od kiedy tylko to uruchomili.

    • Na Operze pod ubuntu działa – sam korzystam

    • Cris, no niestety ale mi dźwięk w html5 w chrome nie działa.
      Paweł, a to sorry, nie wiedziałem. No ale w sumie dawno opery nie używałem, więc pewnie mam stare dane.

  19. Nowy test sprawdzenia inteligencji znajomych ;-) Do mnie nikt nie napisał, a do was?

  20. Ten wirus jest dosyć ciekawy, ponieważ sam w sobie wyłącza oprogramowanie antywirusowe i pokazuje komunikat, że przeszedł do bezpiecznego trybu i próbuje walczyć z wirusem. Nieźle musiałem się nabawić, żeby koledze te gówno wyrzucić. Najlepszy jak zwykle okazał się ComboFix, który część tego wyrzucił, następnie poszedł w ruch Dr.WEB CureIt, który też częściowo pousuwał resztę, a na koniec NOD32 online scanner i poszło już w całości. Wtedy dopiero dopuścił zainstalowanie antywirusa, który usunął pozostałości po tym.

    Co ciekawe, wirus ten blokuje dostęp do facebooka i z zainfekowanego komputera nie można się na niego zalogować :)

    • dzięki ci za twojego posta bardzo mi pomogłeś

    • Witaj,
      J atez niestety dałem się nabrać na tego dziada:)

      podlacyzlem dysk pod innego kompa i zrobilem skan, niby wszystko wyczyscilem ale nadal nie moge wejsc na facebook. Czy ktoś jest mi w stanie pomoc ??

  21. Zaraz jak przeczytałem tego arta, dostałem ten link na fejsie.
    Moje spostrzeżenie: strona jest generowana dla każdego do kogo zostaje wysłana, imie i nazwisko w tytule “filmiku” i nazwisko w opisie. Część linków prowadzi do Youtuba, dwa czy trzy pokazują błąd (zapewne coś by się stało ale lik na Linuxie otwieram).
    Pod filmikiem można znaleść komentarze, można tam znaleść swoich znajomych jak i przypadkowych ludzi.

    Co odrazu rzuca się w oczy to brak filmików sugerowanych po prawej i inny wygląd “komentarzy” oraz angielska wersja serwisu, u nas automatycznie ustawia się polska wersja.

  22. zdziwiłem się na początku, że osoby nie znające ang zagadują po angielsku : – D
    do mnie napisały 3 osoby, jak u was?

  23. Hahahha też dostałem ;D Ale mam luzik bo:

    a) Po kliknieciu w strone rzekomego youtube zamiast “youtube” pisało jakieś ip.
    b) Pod spodem były komentarze oczywiście po angielsku. Zdziwilo mnie ze napisała też moja siostra która wchodzi na youtube raz na ruski rok. Poza tym inni tez dziwnie sie zainteresowali, wiedziałem coś nie gra ;D
    c) Flash player??? WTF na drugiej karcie mam przeciez youtuba i wszystko gra
    d) Mam linuxa, trojan jest w exe moze mi possać. ;]

  24. Przed chwilą zostałem zaatakowany przez ten syf… Nieskutecznie ofc ;P

    • Btw: “Spare me the bullshit and send that malware in!” – made my day xD

      PS. Już powiadomiłem znajomą mailowo. Ciekawe, jak często zagląda na pocztę…

  25. a ja nie korzystam z Facebook i nie mam takich problemów ogólnie społecznościowe serwisy są do du*y wole pogadać ze znajomymi przez jabber albo na ircu i to w zupełności wystarcza a nie użerać się z bandą idiotów. Jedyna przykrość w tym że nie mogę tego wybić z głowy mojej dziewczynie heh.

    • “społecznościowe serwisy są do du*y wole pogadać ze znajomymi przez jabber albo na ircu i to w zupełności wystarcza”
      …a kłody w oku nie widzisz… ;)
      Wywal komputer na śmietnik, telefon spal a ze znajomymi kontaktuj się osobiście albo poprzez tradycyjne listy. Wtedy nie będziesz wyglądał na hipokrytę ;)

    • Bo znajomi z Facebooka z jabbera korzystają. https://www.facebook.com/sitetour/chat.php

  26. Ja jakiś czas temu dostałem wiadomość
    “foto3
    ( link )” Linku nie pamiętam ale też musiałem coś ściągać.

  27. Ludzie…. ktos wie jak to latwo usunąc tak aby znowu wszystko gralo ?????? czy bedziemy pisac….. ‘ooo u mnie tez taki problem…. kolega napisal….ble ble ….. ‘ jak to zwalczyc sie pytam ja ???????????????

    • Patrz komentarz bot’a (6 komciów wyżej):

      “Ten wirus jest dosyć ciekawy, ponieważ sam w sobie wyłącza oprogramowanie antywirusowe i pokazuje komunikat, że przeszedł do bezpiecznego trybu i próbuje walczyć z wirusem. Nieźle musiałem się nabawić, żeby koledze te gówno wyrzucić. Najlepszy jak zwykle okazał się ComboFix, który część tego wyrzucił, następnie poszedł w ruch Dr.WEB CureIt, który też częściowo pousuwał resztę, a na koniec NOD32 online scanner i poszło już w całości. Wtedy dopiero dopuścił zainstalowanie antywirusa, który usunął pozostałości po tym.

      Co ciekawe, wirus ten blokuje dostęp do facebooka i z zainfekowanego komputera nie można się na niego zalogować :)”

      GL ;)

  28. Prostą metodą na sprawdzenie czy piszesz z człowiekiem, czy z botem jest zadanie pytania:
    “Aby wykluczyć, że jesteś botem, napisz mi proszę, czy pies jest kotem?”
    lub
    “Udowodnij, że nie jesteś robotem-spamerem
    i napisz do mnie wiadomość o treści: Jestem człowiekiem.”
    Na szczęście (dla niektórych niestety) ta metoda czasami eliminuje ludzi z niskim IQ.

    • Szkoda, że nie można zaimportować tych reguł do firewalla :)

    • Ja mam takiego “antyspama” w GG ;-) Zdarza się, że i człowiek polegnie (jak czytam czasami logi, to aż mnie brzuch ze śmiechu potrafi rozboleć)

  29. Ekhm…
    Linux, bitchez

    Swoją drogą, kto pobiera flash z YT jeszcze w domenie A.B.C.D *facepalm*
    … i to jeszcze czytelnicy Niebezpiecznika *epic_facepalm*

    • np. specjalisci od ksiegowosci ktorzy co rok zmieniaja furke na taka jakiej Ty nie bedziesz mial w zyciu. Ale tak serio to pamietajmy ze nie kazdy jest “szpecem” od wszystkiego ..

    • Ja rozumiem, że wg. Ciebie “na Linuksa nie ma wirusów a M$ to zło wcielone” i w ogóle, ale zrozum, że na (GNU/)Linuksa też *są (ś)wirusy*, też są ludzie, którzy chcą zrobić krzywdę, a nawet można w repozytorium znaleźć programy, które Ci $(rm -rf /usr/ )

      Jak to kto pobiera? Użytkownicy facebooka, ja tam akurat bym się pewnie nie zorientował, że powinien być redirect do adobe’a bo nie instaluję flasha dwa razy dziennie :)
      Dodatkowo nie zawsze patrzę na adres url stron, które mi znajomi podsyłają.

      PS. Żeby Tobie przypadkiem jakieś myśli o flejmie, że System operacyjny X jest %$@! nie przyszły do głowy to napomknę (just in case), że używam BSD, GNU/Linuksa i M$ Windows (wymienione w kolejności alfabetycznej, różne wersje).

  30. Śmiechowe ;)
    Żaden ze mnie haker, ale atak jest tak naciągany, że można się chyba tylko celowo zainfekować. Ten adres YT i nazwa ” id the leading role. Shoking performance! ”
    Plz, powiedzcie, że chcieliście powalczyć z trojanem, a nie kliknęliście, bo uwierzyliście.

  31. Dobrze podawac obok MD5 wynik sha1sum czy nawet shaxsum bo “podrobic” wynik md5 takze można. To tak poza tematem – bo widzailem ze podane byly md5 plikow flasha.

  32. ja już dawno do was pisałem-znajomy udostępniał link-crazy-cat cośtam sex i przekierowało na stronę na której tak samo jak w tym przypadku był fałszywy filmik a pod spodem fałszywe komentarze po angielsku moich znajomych i też był motyw,że połowa filmiku poleciała a potem była prośba o pobranie kodeka,malware wykrył zaledwie 1 antywirus z virustotal.

  33. Dobrze że atak nie jest typu drive-by, bo wymaga zainstalowania malware samodzielnie. Ale z racji że z mojego komputera czasem może używać ktoś inny (najczęściej właśnie do fejsbuka) przeglądarki domyślnie uruchamiają się w izolowanym środowisku Sandboxie, oczywiście chroni mnie to dość skutecznie przed drive-by :D

  34. Robaczek nauczył się “polskiego” i atakuje również tekstem:
    “lol spojrzec!f1i!8 na to zdjecie hxxp://app-facebook.be-up.gr/view.php?=blablabla”

    :D

  35. Ilu outsiderów, wygnańców, antyspołecznych psychopatów zostało, co tego fejsbuka nadal konsekwentnie nie używają i żyją? Pokażcie się :) Jak widać powyżej jestem pierwszy :)

  36. Po raz kolejny widać, że darmowe antywirusy (ja używam Avasta) wcale nie odbiegają od linii tych komercyjncyh

    • Potwierdzam. Dostałem tego linka via Facebook od znajomej i Avast wykrył zagrożenie. Inna koleżanka miała mniejszczęści i czeka mnie wywalenie tego wirusa z jej komputera… Mam nadzieje że sposób usunięcia przy użyciu Combofixa i NODa opisany wyżej, zadziała.

  37. Po przeczytaniu tego artykułu, wszedłem na facebooka i właśnie ujrzałem hi – akurat składa się, że to moja sąsiadka :)

  38. 2 tygodnie temu wrzuciłem info o innym wirusie na walla – wtedy tylko jeden AV wykrywał trojana:
    https://www.virustotal.com/file-scan/report.html?id=1cd888f912f6e4edd7edd500ba94280e4371c8836d75af924d728ee9e2ad21a5-1313251396

  39. Parę dni temu siostra przyniosła mi laptopa do naprawy który został zainfekowany w ten sposób :P Zastanawiałem się czy pisać z tym do niebezpiecznika czy może to nic ważnego :P

    http://anubis.iseclab.org/?action=resulttask_id=1bd4908207f7d3ed465ed3338d02b6c4d

  40. http://www.virustotal.com/file-scan/report.html?id=45ce97b4163cc1f505270fc9d7ecd2ea29f5d7fc0cd9d195dc1a3c8c4592583c-1314010726

    nie działa !!! prosze i przesłac musze wiedzieć ! czy kaspersky wykrywa mój kochany ;p

  41. Czy wiecie jak sie pozbyc tego swinstwa (tak tak wiem, dalem sie podejsc jak dzieciak)? Komputer dziala, ale blokuje mojego nortona i nie moge usunac tego cholerstwa. Do tego od razu sie restartuje w momencie gdy probuje podlaczyc sie do interentu (przez kabel). Ciezka sprawa. Jakies sugestie?

  42. To już 2 fala tego wirusa, o poprzedniej nic nie było napisane

  43. “Uwaga, wirus na Facebooku!” – o matko, tytuł zabrzmiał jak jakiś artykuł na Wirtualnej Polsce albo coś. :D

  44. Pierwszy raz znalazłem to na IRCu – ktoś to dostał i podesłał linka – brak flasha mnie nie zdziwił, bo nie miałem flasha, ale nawet i to i tak youtube prowadzi prosto do strony adobe, a nie jakiegoś dziwnego ipeka. Osobiście dostałem to ~2 tyg później, ale uświadomienie by gg/xmpp/whatever pomogło.

  45. do mnie “napisał” znajomy z Czech, z którym porozumiewam się po niemiecku, więc trochę się zdziwiłam to widząc :) i było to jakoś w połowie lipca. nic nie instalowałam, kis11 zawył, zamigotał i zablokował tę stronę ;p

  46. Mi AVG wykryło. Może jak ktoś nie aktualizuje, to mu nie wykryje…

  47. nie, błagam… Ile lat można dawać się nabrać na TE SAME sztuczki :D Zastanawiam się, ile osób zaczęłoby formatować dysk, gdyby im to poradził po czesku znajomy z facebooka…

  48. Też to dostałem. Mi to nie grozi, bo korzystam z Linuxa.
    Ciekawi mnie właśnie ilu znajomych się na to nabierze.

  49. Heh Malwarebytes rozpoznaje trojana, a do Norton-a nawet go wysłać nie można :D

  50. mnie wlasnie zdziwilo to ze napisal do mnie chlopak ktory mi sie podoba.. a w ogole ze soba nie mielismy kontaktu, i jeszcze po angielsku napisal..

  51. hej, mnie też ten wirus zaatakował, czy mógł by mi ktoś wytłumaczyć krok po kroku jak się tego cholerstwa pozbyć .?

  52. Ja niestety jak dzieciak się naciąłem a teraz czeka mnie skan kompa = ; ]

  53. Identyczne wiadomości rozsyłane są na twitterze. Zło się szerzy :]

  54. Anonymous rozpoczęło atak? ;>

  55. Kur… jaki jest problem dla ogarniętego gościa wyj..ebać z FCB tego bota ?? nie czaje.. Podobno Polak potrafi ;) .Skoro doszło do was tyle skarg i wykryliście wirusa to powinien byc natychmiast zlikwidowany … Działajcie.

    • lol,to ekipa facebooka powinna(i teoretycznie tylko ona może) się tym zająć a nie ekipa niezpezpiecznika-ci drudzy mogą jedynie zgłozić szkodliwe serwery.

  56. Wczoraj dałam sie nabrać na tego wirusa , odrazu zeskanowałam komputer ale mam nadal problem na moim komputerze facebook nie otwiera sie wogóle nie moge sie zalogować wiecie jak moge to naprawić ?

  57. @ola – możesz podmienić plik hosts :)

  58. tak. wiemy jak to naprawic. zamiast biadolic nad swoja glupota, trzeba isc do servisu i placic za uswiadamianie.
    bardzo wam tak dobrze… jak mozna byc takim debilem zeby sie na takie cos nabrac wogole…
    I TO ILE LUDZI !!!

  59. U mnie rozmowa wyglądała tak:
    on: hi
    ja: na angielski się przestawiłeś?
    on: wanna laugh?
    ja: sure :D
    on: link…

    No i wysłałem mu sms-a z pewną informacją ;)

  60. jakie szkody może wyrządzić ten robak?

  61. Ahahh a ja się śmieje z was ludzie bo nawet nie mam Windowsa.
    Pingwiny rulez!

    • Tak, ja również piszę z lodówki pod kontrolą iOSxM3.500 i pół 2k10. Trochę ciężko, bo mi lód po łydkach spływa ale przynajmniej klawiatura telekinetyczna własnej roboty się sprawdza. Kto by pomyślał, że zrobiłem ją z zapałki, stojaka na pralkę i 3 kilometrów krawężnika?

      Widzę, że coraz więcej dzieciaków zagląda na Niebezpiecznika. Później mamy teksty typu “do mnie napisał chłopak który mi się podoba” lub “Ahahh a ja się śmieje z was ludzie bo nawet nie mam Windowsa”. Wieje onetem. Bardzo proszę ekipę modów o odsiewanie takich “perełek”, bo aż się płakać czasami chce.

  62. Witam , ja właśnie ten plik zobaczyłem 2 dni temu , jak mi znajomy podesłał. Pobrałem tego adoba lecz się skapnąłem że coś nie pasuje. I go nie odpaliłem . później zobaczyłem że to fake. Mogę się obawiać jakiegoś zagrożenia?

    • Tak, skoro jak głupi klikasz w dziwne linki od znajomych, to zdecydowanie masz się czego obawiać.

  63. zdziwiło mnie też to że komentarze pod tym niby filmikiem były tylko od moich znajomych i były zdjęcia i nazwy dokładnie takie jak na fejsa a przecież na YT nie ma zdjęć!!

  64. Ja dostałem wiadomość z takim linkiem: hxxp://facebook.morecarefree.com/view.php?=DSC3U73.JPEG i norton znalazł mi wirusa.

  65. no i ja własnie rospoczełam rozmowe z kimś takim !! 3 dni temu dostałam linka z moim imieniem i nazwiskiem i pisało varva navara wanna see laugh ? screaming weszłam na link niby miałam pobrać tam cos wcisnełam i szlak mi trafił facebooka i windowsa xp! mam teraz system ubuntu …. masakra !

    • piekna historia.
      nadszedl czas zeby bulic i to slono.

  66. heh
    a ja oszukałem system, bot do mnie nie odpisał :)
    -Hi
    -hi
    -Wana Laught?
    -Yep
    –koniec rozmowy–

  67. Czas by Facebook wreszcie zainwestował w antywirusy po stronie swoich serwerów i skanował linki. Pewnie takowe ma, ale jest jeszcze kwestia skanowania zamieszczanych linków.

    • Co po skanowaniu linków, skoro sam link nie prowadził wirusa, tylko do strony z linkiem do wirusa? Facebook by musiał rekurencyjnie skanować linki do stron i linki na stronach z linków do tych stron… Innymi słowy żeby wydajność portalu nie spadła musiałby mieć dziesiątki tysięcy takich systemów skanujących / pająków, a to wszystko po kosztach i po zasobach.. Nie można całe życie matkować innych, nawet ktoś nie zainteresowany informatyką, siadając do komputera musi mieć podstawową wiedzę/intuicję i przezorność żeby bezpiecznie z owego korzystać.

      Wiele razy próbowano organizować kampanie uświadamiające:
      “- nie klikajcie w podejrzane linki”
      “- sprawdzajcie podejrzane linki”
      “- nie pobierajcie na komputer czegoś czego nie oczekiwaliście”
      etc. etc…

      Może pora zrobić taką kampanie jakoś szerzej? Jakieś globalne nauczanie?
      NIEBEZPIECZNIK miałby takie możliwości – wystarczyłby artykuł na stronie oraz zachęcenie kilku[nastu] portali do do banera prowadzącego do artykułu. Ew. żeby zapobiec “reklamie” – niech portale same umieszczają np. kopię artykułu z niebezpiecznika i jakoś ją WYSZCZEGÓLNIAJĄ na łamach swoich portali. Jakąś taką dużą akcję zaplanować na np. okres TYGODNIA …

      Co o tym myślicie?

    • Najbardziej uświadamiającą kampanią był, jest i będzie czasowy ban. Przynajmniej tak jest na IRCu.

    • Zapominacie o Anonimowych ;P Oni też nieźle uświadamiają ;P

  68. MSE 2 chyba bezpieczne Facebooka! :)

  69. U mnie w firmie to mam wrażenie, że jest epidemia tego tałatajstwa… Głownie łapią to osoby z działów nietechnicznych ;-) (co w sumie nie jest dziwne).

    Metoda na usunięcie, którą zastosowałem: (thx @bot za naprowadzenie na dobry trop)
    1. ComboFix
    2. nod32 online scanner
    3. przeinstalować zwyczajowego antywirusa, który był na komputerze (comodo)+ update do najnowszej wersji
    4. plik hosts wywalić (jest jakiś bardzo duży z masą pustych linii) i przywrócić na miejsce poprzedni który leży obok jako “hists”

    • Bardzo fajnie…później ja dostanę do naprawy komputery po niewłaściwym zastosowaniu ComboFixa, bo ktoś gdzieś przeczytał, że jak jest infekcja to “combo ja zabije” i używa go przy każdym krzywym pierdnięciu systemu. Pogratulować.

      PS. CF jest w stanie usunąć CAŁĄ infekcję bez używania innych odysfiaczy.

    • To może napiszesz czemu ComboFix jest taki zły. Bo wszyscy mówią, że bez pozwolenia go nie uruchamiać, ale nikt nigdzie już nie napisze czemu…

    • Za dużo było tematów o combofix, żeby znów opisywać, a google baaaardzo ułatwiłoby Ci robotę… Lenistwo :F

      http://www.searchengines.pl/ComboFix-mechanizm-dezynfekcji-t66762.html/page__view__findpost__p__544578

    • Wybacz Nolias, ale poświęciłem wczoraj pół dnia, aby znaleźć taką informację i jedyne na co się natknąłem, to forum CFa, na którym ktoś pyta o okresloną sekcję w logu, a w odpowiedzi otrzymuje informację, że jest to niezwykle potężne narzędzie i żeby pozostawił to specjalistom…

      Pozostałe fora też jakoś nie kwapią się rozpisywania na ten temat… Dzięki za link.

    • to śmieszne takie straszenie combo,to tak samo antywirusem można system rozłożyć wystarczy zainstalować np. kaspersky i odpalić skaner kaspersky online-za 2 razem jest po systemie.Jak ktoś nie czyta instrukcji użycia żeby nie uruchamiać innych programów podczas pracy to trudno się dziwić jak coś się stanie.Mnie tylko się nie podoba,że program po skończeniu roboty zostawia przez siebie jeden port(któryś z tych które zamyka wwdc).

  70. Zanim ktoś odpali ComboFixa radziłbym poczytać o nim na forach żeby potem niedoświadczeni nie płakali, że coś poszło nie tak :]

  71. Witam
    a gdzie jest ten plik hists bo nie moge go znalezc ;/
    win Vista

  72. O skali tego co się dzieje w związku z tym wirusem widać choćby na forum dobreprogramy.pl ;D . W dziale „Bezpieczeństwo” – od piątej strony się to zaczyna a potem bite cztery następne to tylko topiki na ten sam temat. Niektórym odpisano ale części nie – wszak chodzi o to samo i trza by to skleić do jednego tematu no ale każdy nowy tworzy nowy topik i jest niezły bajzel. :D Ciekawe, że na forum searchengines.pl w dziale „Wirusy i Spyware – Bezpieczeństwo w sieci” niczego takiego nie ma choć jest to forum z tradycjami na tym polu. No ale czego oczekiwać od… wiadomo kogo. ;)

    Sam bym nawet nie wiedział, że coś takiego się dzieje gdyby znajomy na ircu nie wspomniał. Cóż, wraz z upowszechnieniem komputerów, dostępu do sieci to ludzi niekumatych i nieobytych z tym wzrasta a ogólnie to bardzo im dobrze w tej niewiedzy i niefrasobliwości przecież. ;)

    • Tylko że tam usuwają za pomocą OTL, każdy skrypt musi być przygotowany dla użytkownika osobno.

      ComboFix to nie zabawka i skaner AV, na tę infekcje jest zbyteczny, OTL starczy….

  73. do mnie też to dziadostwo dotarło,najgorsze jest to ze z mojego facebooka rozsyłały się linki i wiadomości po angielsku-a mnie nie było na fejsie,
    tymczasowo dezaktywowałam konto,czy ten wirus jest groźny jak nie ściągałam nic z fałszywej strony youtube ale czemu ode mnie to rozsyłało

    • Bo zostałaś zainfekowana. Jest w treści newsa.

    • dziwne ze zostałam zainfekowana-nic nie ściągałam

  74. Ten wirus to D e l f.KV
    Są instrukcje do jego usunięcia, nie trzeba się męczyć :P

  75. @Semtex

    Tak czy owak nikogo nie wyedukujesz. Nawet tu w komentarzach są cudotwórcy, którzy Combofixa instalują.
    Niesety CF stał się złotym środkiem na każdego byle śmiecia złapanego z sieci i ciemnota hurtem go używa, a potem rozpacz na forach, że Combofix zepsuł mi cośtam w systemie.

  76. Skala tego zjawiska jest tak duża że nawet zdziwiło mnie to.

    Są instrukcje do jego usunięcia, nie trzeba się męczyć :P
    Można także poprosić na forum komputerowym kogoś o pomoc ;)

  77. @Mery

    Wiem, jednak zawsze gdy widzę że ktoś proponuje CF na wszelkie zło sieci to muszę się odezwać, oczywiście nie miałem na myśli @OKII , w komentarzu do jego posta wcięło mi się to jako uzupełnienie i poniekąd usprawiedliwienie kolejki na DP ;)

    Jako ciekawostkę podam że w Polsce jest tylko jedno forum oficjalnie sygnowane do stosowania CF.

    Po za tym myślałem o czymś diabelskim, FaceBook Infection Remover (tylko przykład ;), który mógłby być fake AV, działoby się na forach…

  78. Wszystko fajnie, tylko jak usunac to cholerstwo w momencie gdy nie ma polaczenia z internetem (gdy tylko polacze, komputer sie wylacza)…

  79. Jedna z wypowiedzi na pewnym forum:
    “Otrzymałem od znajomej na FB link do filmu o mnie: http://92.249.140.203/?hd=100000901006008
    Pojawiło mi się że mam nieaktualną wersję Flash Playera więc pobrałem go ale Prevx poinformował mnie że to wirus. Nie wierzyłem w to. Wyłączyłem Prevx’a na 15 min, pobrałem Firefoksa i pobrałem ten plik. Uruchomiłem Flash Playera (ten plik) a po 3 minutach wyskoczył komunikat: “Error! Access denied!”. Mimo tego film nadal się nie pokazał. Następnie Zapora systemu Windows się wyłączyła. Po 15 minutach Prevx wykrył mi 7 wirusów. Jak włączyć ten film?”
    Ręce opadają.

  80. Tak zastanawia mnie jedno. Ten pseudo youtube ma dostęp do mojej listy znajomych. Jak to ejst możliwe że uzyskał takie dane bez mojego zezwolenia?

  81. :D Jaki jestem szczęśliwy że wyłączyłem fb moim użyszkodnikom w firmowej sieci… zwłaszcza że rozgarnięci to oni nie są ;)

  82. A jak sie nie ma antywirusa ? tylko zapore ta systemu windows to co ?

  83. Ja kliknęłam w ten link, bo mój znajomy często pisze mi po angielsku i wysyła rózne linki
    ale avast pokazał że zablokował połączenie
    jak sprawdzić czy mam trojana czy nie??
    Normalnie działa mi komp, internet i fb i do nikogo nie wysłałay mi się takie wiadomości z automatu

    wielkie dzieki za odp:)

  84. Do mnie ostatnio ktoś wysłał takie coś: lol spojrze.!w3l!1 na to zdj.cie hxxp://facebook.multibiz.gr/view.php?=usr-id6612-album738.JPEG Oczywiście nie wchodziłem w podany link, bo wydawało mi się o podejrzane. Co do powyższego artykułu to na tego wirusa złapało się minimum 3 moich znajomych.

  85. Ale teraz widzicie że, wasze dane nie są wcale w żadnym stopniu bezpieczne,każdy haker zrobi z nimi co chce i kiedy chce,I gdzieś czytałem jeszcze że podobno na allegro zaczyna się coś dziać!!!

  86. Średnio rozumiem tę rozmowę, nie odzywał się do mnie taki bot i nie instalowałem flash playera, ale ze dwa dni temu nie mogłem zalogować się na fejsbuka i pokazywała mi się ta powyższa plansza “Strona internetowa jest niedostępna
    Przeglądarka Google Chrome nie może wczytać strony internetowej, ponieważ oczekiwanie na odpowiedź serwera http://www.connect.facebook.com trwa zbyt długo” i t d.
    Klikałem na to , wychodziłem z tego i po jakimś czasie udało mi się zalogować – to mam wirusa czy nie? Pozdrawiam

  87. Jak wejdziecie na 77.253.81.140 to juz trojana nei ma, ponadto, jak wpiszecie admin/admin na glownej stronie ( htpasswd ) to dosatniecie access do jakiegoś routera.=D

  88. U znajomego na lapku co jak suszarka działał miałem przyjemność doradzać jak usuwać tego śmiecia – colin minnera. Najlepsze że to zainstalował mu jego młodszy braciszek (wyszedł z domu na 2 h wrócił i nagłe suszarka AVG brak i jakiś komunikat o wałczącym AV. Malwarebayts i AVAST poradziło sobie z tym (z tym że 2 razy instalował AVASTa).

    Co do niektórych opinii osób odnośnie CF – podzielam je OTL wystarczy, stosowanie CF do usunięcia wpisów tego śmiecia to jak strzelanie z armaty do komara (pozostaną dziury w ścianie).

    Pzdr.

  89. Ja na szczęscie nie używam Facebooka i takiego problemu nie mam ale sporo moich znajomych dało się bardzo łatwo nabrać więc rozesłałem im linki do tego artka napewno im pomoże

  90. do mnie napisał kolega: ‘hi’
    odpisalem mu po angielsku, bo myslalem, ze sobie robi jaja.
    Komputer mi się zawieszał, na fejsa wejsc nie moglem, na gadu opisu zmienic.
    I myslę, ze tego wirusa najlatwiej usunąć tak:

    ” po prostu przeinstalowac system’

    • Można również kupić nowy komputer.

  91. Ja też się nabrałem. Ja miałem taki problem, że net zamulał i na facebooka nie mogłem wejść, ale w końcu się udało i sam mi się ściągnął program antywirusowy McAfeeScanAndRepair_Releas, przeskanował on kompa, wirusy usunął i jest już dobrze :)

  92. Przewał ukraiński – stronka na serwerze w Sewastopolu a właścicielem jest niby jakaś spółka ltd…

  93. na fb szaleje cos nowego dostałam linka w którego weszłam i automatycznie ten link jest rozsyłany do wszystkich zanjomych dostepnych na fb.. zaczyna sie na “omg dj…” bądź tez “rofl hahasw http://” nie wim co to jest dostałam inf ze to jakiś trojan… uważajcie

  94. hej, mam problem, a mianowicie kolega wczoraj podesłał mi na facebooku link, jak pobrałam już zawartość linku i otworzyłam to (gratulacje dla mnie. -,-) okazało się, ze to jakiś wirus. komputer mi się wyłączył, nie mogę go włączyć w trybie awaryjnym, podczas ładowania się włącza mi się “narzędzie do naprawy systemu podczas uruchomienia.” zaczyna się coś skanować, następnie pojawia się komunikat “narzędzie do naprawy systemu podczas uruchomienia nie może automatyczne naprawić komputera.” pyta czy ma wysłać raport gdzieś tam, już nie pamiętam gdzie. następnie komputer się wyłącza, gdy go włączam z powrotem dzieje się to samo.
    mógłby ktoś pomóc?

    • Jak kolega taki cwaniak to niech teraz przyjdzie i naprawi. Psuć każdy głupi potrafi.

  95. @malan – umiesz czytać, tak? to przeczytaj artykuł nad komentarzami

    @Karola – najprostszym sposobem będzie odpięcie dysku i przeskanowanie go jakimś aktualnym programem antywirusowym z pod innego systemu (czystego)

  96. Pragnę dodać że owy trojan po uruchomieniu blokuję większość antywirusów.

  97. ja bym sie nie nabrał. bo zawsze patrze na górne okienko na jakiej stronie jestem – jak jestem np. na : http://www.youtube.com to jest ok , jeśli np. – http://www.yoyo/youtube.com to jest coś nie tak i wchdze na strone ejszcze raz.. tak samo jak są tylko liczby.. zawsze patrzeć jakie się otwiera strony !! Czytać linki !

  98. widzę że dużo tracę mając zawsze wyłączony chat na fb..

    zastanawia mnie tylko – czy każda strona prosząca o aktualizację flasha jest z góry podejrzana? jeśli każą coś instalować to i tak najczęściej przekierowują na strony adobe (trudno powiedzieć czy prawdziwe bo dawno tak nie miałam)

    no i co z tymi oknami które otwierają się czasami po starcie systemu prosząc o zainstalowanie flasha jeszcze zanim włączą się programy z autostartu (i nie wiem czy nie antywirus swoją drogą).. moja genialna avira nawet nie została ujęta w teście ze screena -.-

  99. ciekawie na facebooku się dzieje, może keidyś konto założę …

  100. ComboFix 11-09-16.01 – Administrator 2011-09-17 20:14:59.1.2 – x86
    Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1023.402 [GMT 2:00]
    Uruchomiony z: G:\ComboFix.exe
    * Utworzono nowy punkt przywracania
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\program files\Skype\Plugin Manager\SkypePM.exe
    c:\windows\btc_client_iplist.txt
    c:\windows\front_ip_list.txt
    c:\windows\geoiplist
    c:\windows\geoiplist.rar
    c:\windows\iecheck_iplist.txt
    c:\windows\info1
    c:\windows\iplist.txt
    c:\windows\loader2.exe_ok
    c:\windows\msmqinst.log
    c:\windows\phoenix
    c:\windows\phoenix.rar
    c:\windows\phoenix\kernels\phatk\__init__.py
    c:\windows\phoenix\kernels\phatk\__init__.pyc
    c:\windows\phoenix\kernels\phatk\BFIPatcher.py
    c:\windows\phoenix\kernels\phatk\BFIPatcher.pyc
    c:\windows\phoenix\kernels\phatk\kernel.cl
    c:\windows\phoenix\kernels\poclbm\__init__.py
    c:\windows\phoenix\kernels\poclbm\__init__.pyc
    c:\windows\phoenix\kernels\poclbm\BFIPatcher.py
    c:\windows\phoenix\kernels\poclbm\BFIPatcher.pyc
    c:\windows\phoenix\kernels\poclbm\kernel.cl
    c:\windows\phoenix\phoenix.exe
    c:\windows\proc_list1.log
    c:\windows\rpcminer.rar
    c:\windows\system32\_000018_.tmp.dll
    c:\windows\system32\drivers\etc\HSTS~1
    c:\windows\ufa.rar
    c:\windows\update.1
    c:\windows\update.2
    c:\windows\update.5.0
    c:\windows\winlog-dirs.txt
    c:\windows\winlog-ids.txt
    c:\windows\winsetupapi.log
    F:\Autorun.inf
    K:\AUTORUN.INF
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ——-\Legacy_SRVBTCCLIENT
    ——-\Legacy_SRVIECHECK
    ——-\Legacy_WXPDRIVERS
    .
    .
    ((((((((((((((((((((((((( Pliki utworzone od 2011-08-17 do 2011-09-17 )))))))))))))))))))))))))))))))
    .
    .
    2011-09-17 18:12 . 2011-09-17 18:12 ——– d—–w- c:\program files\ESET
    2011-09-04 12:40 . 2011-09-04 12:40 ——– d—–w- c:\program files\EA Games
    2011-09-04 12:38 . 2011-09-04 12:38 ——– d-s—w- c:\documents and settings\Alina\UserData
    2011-08-27 09:35 . 2011-08-27 09:35 ——– dc—-w- c:\documents and settings\SzymonPatryk\Dane aplikacji\ATI
    2011-08-27 09:35 . 2011-08-27 09:35 ——– d—–w- c:\documents and settings\SzymonPatryk\Ustawienia lokalne\Dane aplikacji\ATI
    2011-08-22 13:47 . 2011-08-22 13:47 ——– d—–w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\PCHealth
    2011-08-21 01:12 . 2011-08-21 01:12 ——– d—–w- c:\windows\system32\XPSViewer
    2011-08-21 01:11 . 2011-08-21 01:11 ——– d—–w- c:\program files\MSBuild
    2011-08-21 01:11 . 2011-08-21 01:11 ——– d—–w- c:\program files\Reference Assemblies
    2011-08-21 01:11 . 2008-07-06 12:06 89088 —-a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
    2011-08-21 01:10 . 2008-07-06 12:06 89088 -c—-w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
    2011-08-21 01:10 . 2008-07-06 12:06 117760 ——w- c:\windows\system32\prntvpt.dll
    2011-08-21 01:10 . 2008-07-06 12:06 575488 -c—-w- c:\windows\system32\dllcache\xpsshhdr.dll
    2011-08-21 01:10 . 2008-07-06 12:06 575488 ——w- c:\windows\system32\xpsshhdr.dll
    2011-08-21 01:10 . 2008-07-06 12:06 1676288 -c—-w- c:\windows\system32\dllcache\xpssvcs.dll
    2011-08-21 01:10 . 2008-07-06 12:06 1676288 ——w- c:\windows\system32\xpssvcs.dll
    2011-08-21 01:10 . 2008-07-06 10:50 597504 -c—-w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
    2011-08-21 01:10 . 2008-07-06 10:50 597504 ——w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
    2011-08-19 16:28 . 2011-08-19 16:29 ——– d—–w- c:\documents and settings\Administrator\Dane aplikacji\.minecraft
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-09-11 13:03 . 2011-02-26 16:34 139080 —-a-w- c:\windows\system32\drivers\PnkBstrK.sys
    2011-09-11 13:03 . 2011-07-13 15:41 270240 —-a-w- c:\windows\system32\PnkBstrB.xtr
    2011-09-11 13:03 . 2011-02-26 16:33 270240 —-a-w- c:\windows\system32\PnkBstrB.exe
    2011-09-05 15:08 . 2011-02-26 16:33 270240 —-a-w- c:\windows\system32\PnkBstrB.ex0
    2011-09-04 12:51 . 2011-07-11 16:17 138056 —-a-w- c:\documents and settings\Alina\Dane aplikacji\PnkBstrK.sys
    2011-09-04 12:51 . 2011-02-26 16:33 75136 —-a-w- c:\windows\system32\PnkBstrA.exe
    2011-07-26 11:34 . 2011-07-26 11:24 246272 -c–a-w- c:\windows\unrar.exe
    2011-07-06 17:52 . 2011-07-26 12:27 41272 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-07-06 17:52 . 2011-07-26 12:27 22712 —-a-w- c:\windows\system32\drivers\mbam.sys
    2011-07-04 11:43 . 2011-07-26 12:13 40112 —-a-w- c:\windows\avastSS.scr
    2011-07-04 11:43 . 2011-07-26 12:13 199304 —-a-w- c:\windows\system32\aswBoot.exe
    2011-07-04 11:36 . 2011-07-26 12:14 441176 —-a-w- c:\windows\system32\drivers\aswSnx.sys
    2011-07-04 11:36 . 2011-07-26 12:14 309848 —-a-w- c:\windows\system32\drivers\aswSP.sys
    2011-07-04 11:35 . 2011-07-26 12:14 43608 —-a-w- c:\windows\system32\drivers\aswTdi.sys
    2011-07-04 11:35 . 2011-07-26 12:14 102616 —-a-w- c:\windows\system32\drivers\aswmon2.sys
    2011-07-04 11:35 . 2011-07-26 12:14 96344 —-a-w- c:\windows\system32\drivers\aswmon.sys
    2011-07-04 11:32 . 2011-07-26 12:14 25432 —-a-w- c:\windows\system32\drivers\aswRdr.sys
    2011-07-04 11:32 . 2011-07-26 12:14 30808 —-a-w- c:\windows\system32\drivers\aavmker4.sys
    2011-07-04 11:32 . 2011-07-26 12:14 19544 —-a-w- c:\windows\system32\drivers\aswFsBlk.sys
    .
    .
    ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers0avast]
    @=”{472083B0-C522-11CF-8763-00608CC02F24}”
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2011-07-04 11:43 122512 -c–a-w- g:\avast software\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    “Creative Live! Cam Manager”=”g:\creative live! cam\Live! Cam Manager\CTLCMgr.exe” [2006-05-31 143360]
    “ares”=”g:\ares\Ares.exe” [2010-10-27 1015808]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    “C-Media Mixer”=”Mixer.exe” [2002-07-12 1581056]
    “StartCCC”=”c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2010-02-10 61440]
    “SunJavaUpdateSched”=”c:\program files\Common Files\Java\Java Update\jusched.exe” [2010-10-29 249064]
    “AVFX Engine”=”g:\creative live! cam\VideoFX\StartFX.exe” [2006-06-08 24576]
    “c:\windows\system32\V0220Cvw.dll”=”c:\windows\system32\V0220Cvw.dll” [2006-05-23 245760]
    “V0220Mon.exe”=”c:\windows\V0220Mon.exe” [2006-06-28 32768]
    “avast”=”g:\avast software\avastUI.exe” [2011-07-04 3493720]
    “CardDetectorZTEMF636″=”c:\program files\CardDetector\ZTEMF636\CardDetector.exe” [2008-10-14 274432]
    “BEWINTERNET-PLSessionManager”=”g:\orange\SessionManager\SessionManager.exe” [2008-10-24 131824]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    “CTFMON.EXE”=”c:\windows\system32\CTFMON.EXE” [2004-08-03 15360]
    .
    c:\documents and settings\Alina\Menu Start\Programy\Autostart\
    OpenOffice.org 3.3.lnk – d:\open office\program\quickstart.exe [2010-12-13 1198592]
    .
    c:\documents and settings\All Users\Menu Start\Programy\Autostart\
    Ralink Wireless Utility.lnk – c:\program files\RALINK\Common\RaUI.exe [2002-1-2 593920]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    “EnableSecureUIAPaths”= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk *aswBoot.exe /A:* /L:1045 /KBD:2 /dir:G:\AVAST
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
    2010-10-27 09:00 1015808 -c–a-w- g:\ares\Ares.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu 10]
    2011-06-01 13:14 13349472 -c–a-w- g:\gadu-gadu 10\gg.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
    2011-05-14 18:38 136176 —-atw- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
    2011-05-25 15:29 1951112 —-a-w- D:\hamachi-2-ui.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2001-07-09 10:50 155648 -c–a-w- c:\windows\system32\NeroCheck.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
    2011-03-08 10:02 17037704 —-a-w- c:\program files\Skype\Phone\Skype.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    “npggsvc”=3 (0x3)
    “SharedAccess”=2 (0x2)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    “FirewallOverride”=dword:00000001
    “DisableThumbnailCache”=dword:00000001
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    “EnableFirewall”= 0 (0x0)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    “%windir%\\system32\\sessmgr.exe”=
    “d:\\CS 1.6\\hl.exe”=
    “c:\\WINDOWS\\system32\\PnkBstrA.exe”=
    “c:\\WINDOWS\\system32\\PnkBstrB.exe”=
    “g:\\ares\\Ares.exe”=
    “c:\\Program Files\\Common Files\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe”=
    “c:\\Program Files\\Common Files\\SafeNet Sentinel\\Sentinel Keys Server\\sntlkeyssrvr.exe”=
    “f:\\Sacred Underworld\\Sacred Underworld\\gameserver.exe”=
    “f:\\Sacred Underworld\\Sacred Underworld\\sacred.exe”=
    “c:\\Program Files\\Skype\\Phone\\Skype.exe”=
    “d:\\steam\\Steam.exe”=
    “g:\\Gadu-Gadu 10\\gg.exe”=
    “c:\\Program Files\\Java\\jre6\\bin\\javaw.exe”=
    “d:\\Counter-Strike 1.6\\hl.exe”=
    “g:\\orange\\Connectivity\\ConnectivityManager.exe”=
    .
    R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2010-12-21 115008]
    R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2010-12-21 94872]
    R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;d:\hamachi-2.exe -s –> d:\hamachi-2.exe -s [?]
    R2 SentinelKeysServer;Sentinel Keys Server;c:\program files\Common Files\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [2009-09-17 369952]
    R2 SentinelSecurityRuntime;Sentinel Security Runtime;c:\program files\Common Files\SafeNet Sentinel\Sentinel Security Runtime\sntlsrtsrvr.exe [2009-09-17 292128]
    R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-26 22712]
    S2 MBAMService;MBAMService;g:\malwarebytes’ anti-malware\mbamservice.exe [2011-07-26 366640]
    S3 V0220Dev;Live! Cam Video IM;c:\windows\system32\drivers\V0220Dev.sys [2011-04-08 146112]
    S3 V0220Vfx;V0220VFX;c:\windows\system32\drivers\V0220Vfx.sys [2011-04-08 6272]
    S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [2011-08-11 103936]
    S4 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service –> c:\windows\system32\GameMon.des -service [?]
    .
    Zawartość folderu ‘Zaplanowane zadania’
    .
    2011-09-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-1801674531-725345543-500Core.job
    – c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-05-14 18:38]
    .
    2011-09-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-1801674531-725345543-500UA.job
    – c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-05-14 18:38]
    .
    2011-09-17 c:\windows\Tasks\WGASetup.job
    – c:\windows\system32\KB905474\wgasetup.exe [2011-02-13 21:18]
    .
    .
    ——- Skan uzupełniający ——-
    .
    uInternet Connection Wizard,ShellNext = iexplore
    FF – ProfilePath – c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profileso004mbh.default\
    FF – prefs.js: browser.startup.homepage – GOOGLE.PL
    FF – Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} – c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF – Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} – c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
    FF – Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} – c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    FF – Ext: Java Quick Starter: jqs@sun.com – c:\program files\Java\jre6\lib\deploy\jqs\ff
    FF – Ext: avast! WebRep: wrc@avast.com – g:\avast software\WebRep\FF
    FF – Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} – c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF – Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} – %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    .
    – – – – USUNIĘTO PUSTE WPISY – – – –
    .
    HKLM-Run-tray_ico – (no file)
    HKLM-Run-tray_ico3 – (no file)
    HKLM-Run-tray_ico4 – (no file)
    AddRemove-Quest3D 4.3.2_is1 – k:\moje dokumenty\Quest3D 4.3.2\unins000.exe
    AddRemove-WinGimp-2.0_is1 – c:\program files\GIMP-2.0\setup\unins000.exe
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista – rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-09-17 20:22
    Windows 5.1.2600 Dodatek Service Pack 2 NTFS
    .
    skanowanie ukrytych procesów …
    .
    skanowanie ukrytych wpisów autostartu …
    .
    skanowanie ukrytych plików …
    .
    skanowanie pomyślnie ukończone
    ukryte pliki: 0
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
    “ImagePath”=”c:\windows\system32\GameMon.des -service”
    .
    ——————— Pliki DLL ładowane pod uruchomionymi procesami ———————
    .
    – – – – – – – > ‘winlogon.exe'(812)
    c:\windows\system32\Ati2evxx.dll
    .
    – – – – – – – > ‘explorer.exe'(2480)
    c:\windows\system32\MSCTF.dll
    .
    ———————— Pozostałe uruchomione procesy ————————
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe
    D:\hamachi-2.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\PnkBstrA.exe
    c:\program files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\Mixer.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    g:\orange\Launcher\Launcher.exe
    g:\orange\systray\systrayapp.exe
    g:\orange\connectivity\connectivitymanager.exe
    g:\orange\PhoneTools\TextMessaging.exe
    c:\progra~1\COMMON~1\France Telecom\Shared Modules\AlertModule\AlertModule.exe
    g:\orange\connectivity\CoreCom\CoreCom.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\FTCOMModule.exe
    c:\program files\Mozilla Firefox\firefox.exe
    .
    **************************************************************************
    .
    Czas ukończenia: 2011-09-17 20:24:53 – komputer został uruchomiony ponownie
    ComboFix-quarantined-files.txt 2011-09-17 18:24
    .
    Przed: 883 605 504 bajtów wolnych
    Po: 3 174 121 472 bajtów wolnych
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT=”Microsoft Windows Recovery Console” /cmdcons
    UnsupportedDebug=”do not select this” /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Microsoft Windows XP Professional” /noexecute=AlwaysOff /fastdetect
    .
    – – End Of File – – 54D3350C45ADFE719EED3164928B8007

  101. niebezpiecznik.pl zmienia się w “prywatny” support czy zaakceptowaliście ten komentarz for fun?

    • The latter :>

    • The Bill…

  102. a ja dzisiaj dostałem jeszcze inną wiadomość, i od razu był w niej link: omfg lol nz hxxp://s6.myfilehd.com/g.php?3z4z5-Picture00.JPG

    Wiecie coś na ten temat??

  103. Może kogoś zainteresuje: http://securefocus.pl/aktualnosci/sharesafe-bezpieczni-na-facebooku

  104. Witam ja dostałem własnie ta wiadomosc co piszecie wanna lauh i nie moge wejsc na facbooka nawet probowałem z innego kompa i nic nie da sie zrobic co mam zrobic pomorzcie

    • Dla Ciebie nie ma już ratunku.

  105. Witam, kilka dni temu złapałem wirusa przez FB rozesłanego właśnie przy pomocy czatu. Zazwyczaj nie klikam w takie linki, tym razem zwykła ciekawość wygrała, w każdym razie wirusa usunąłem, przywróciłem następnie system do stanu sprzed wirusa, a teraz mi FB powoli zanika że tak to nazwę, mianowicie, wczoraj mi znikły listy, grupy i aplikacje, a dziś z głównej strony czat oraz znajomi będący aktualnie na Facebooku i teraz nie wiem czy to ma coś wspólnego z wirusem, dodam że to trojan był czy po prostu Facebook ma jakieś bugi które wybierają osoby losowo. Tu screen z tym co się stało do chwili obecnej z Facebookiem – http://imageshack.us/photo/my-images/97/gdgds.png/

  106. Up wygląda mi na bug

    Ja mam pytanko, też się na to nabrałem, tyle że link był z tinyurl i był zablokowany, po kliknięciu nic mi nie wyskoczyło tylko “błędny adres”, przesaknowałem komputer ale nic nie znalazło. A nawet jeśli otworzyłaby mi się ta strona to czy mogłoby automatycznie pobrać wirusa, czy musiałbym ściągnąć tę pseudo wtyczkę i dopiero?

  107. Jak napisałem temu botowi, że ta stronka ma IP zamiast normalnego adresu to napisał: “I’ll be back” hehehe

  108. Potrzebuję szybko rady-młodsza siostra mojej żony wczoraj dała się nabrać i teraz bawię się w usuwanie tego szajsu, ale mam pytanie-w którym miejscu znajduje się ten plik hosts i co dokładnie należy z nim zrobić, chodzi o punkt 4 radzenia sobie z wirusem.
    Przepraszam za takie głupie pytanie, ale jestem laikiem w tym temacie.

  109. Niestety nigdy nie spotkałam się z czymś takim i wgrałam sobie tego wirusa na moje nieszczęcie to akurat rozmawiałam z moim znajomym i nie patrzałam na nic poporstu weszłam bo dostałam tylko link. Zainstalowałam Combofix ale nie moge zainstalować nod32 online scanner nie wiem czemu. Bardzo bym prosiła o pomoc.

  110. Dalam sie na to nabrac, bo link pochodzil od dobrej znajomej, wiadomosc to tylko hi a flasha nie mialam na kompie, wiec nic nie podejrzewalam. No i teraz nie moge uruchomic komputera bo od razu sie restartuje. Co moge teraz zrobic? Kompletnie sie na tym nie znam :(

  111. Przepraszam a czy eset online scanner jest darmowy? wiem nie kumaty jestem

  112. a co mam zrobić ja??? bo to z mojego konta na face wychodzą wiadomości do znajomych….

  113. Nie myśleliście o tym, żeby napisać artykuł o ostatnio popularnych (chyba popularniejszych niż wszelkie wirusy facebookowe) fanpage’ach typu “10 wpadek filmowych” etc etc? Nie jest to może “groźne” w powszechnie rozumiany sposób, ale ciągle w grę wchodzi sprzedaż danych osobowych. ;)

    • Klasyk. Teraz szaleje “15 największych błędów w filmach wszech czasów” i ludzie klikają jak głupi:)

  114. Na maku ten wirus też działa, bo ostatnio też miałem przypadek takiej wiadomosci i nie wiem czy na przyszłość się przejmować, czy mieć wylane… (Nic nie ściągałem, tylko przerzuciło mnie na tego niby-youtube’a i cofnąłem się do wcześniejszej strony.)

  115. W poprzednim komentarzu zapomniałem dodać “?” po wyrazie “działa”, proszę moderatorów o dodanie tego znaku zapytania :)

  116. Jak się jednak tego pozbyć skoro komp się restartuje cały czas? Macie jakieś pomysły? Dziękuję za wszelkie pomocne uwagi.

  117. własnie przed chwilą to dostałem, ale kapnąłem sie bo nie rozmawiałem z tą osobą 4 lata i napisała mi “hi”

  118. Pawel, mialem ten sam problem. Najgorsze jest to ze ja nie uzywam zadnego antywirusa :) a raczej nie uzywalem. Po kilkunastu restartach, odlaczylem internet i mi sie nie zrestartowal. Sciaglem combofixa i nim wyleczylem system, pozniej jeszcze doprawilem programem online eset, znalazlo mi ok 20 wirusow :) ale wszystkie usunelo badz wyleczylo :) Pozdrawiam :)

  119. a ja pierwsze co zrobilam po wejsciu w linka na “niby youtube” nacisnelam znaczek youtube’a po lewej stronie u gory,ktory przenosi Cie na glowna strone..I tez odezwala sie znajoma ktora sie nigdy do mnie zbyt chetnie nie odzywala. :)

  120. aha,oczywiscie nie przenioslo mnie po nacisnieciu tego znaczka :)

  121. Czy ten wirus zostanie wyłapany przez antywirusa ESET SMART SECURITY?
    Bo mam takiego antywirusa i na razie mój facebook jest ok

  122. Zastosowałem się do wszystkich tych punktów, zeskanowałem, przeinstalowałem… tylko nadal tam gdzie jest plik hosts, nie ma pliku hists. I poza tym cały czas włączając system ustawia mi się bardzo mała rozdzielczość i gdy się wczytuje, to w takim okienku zamiast normalnego wczytywania pokazują się C:Windows/System itp. Jak się tego pozbyć, żeby wszystko włączało się normalnie?

  123. Witam ja podobnie jak przed mowca tylko tyle ze dotarlem tylko do 2 punktu czyli
    ” 2. Zainstalować i uruchomić nod32 online scanner ” po tym komp mi sie z restartowal i odpalil w trybie awaryjnym i juz nic nie moglem zrobic wiec postawilem system na nowo

  124. Ogólnie ja pogrzebałem w msconfig żeby Windows włączał się bez zabezpieczeń itp., więc teraz tylko muszę za każdym włączeniem zmienić rozdzielczość. Na samym początku wystarczyło tylko włączyć w procesach explorer.exe i dalej to msconfig. Potem porobiłem te wszystkie skany, naprawy, pousuwałem chore pliki i wszystko jest ok poza tą małą rozdzielczością, którą muszę zmieniać co chwile od nowa… -.-

  125. ale mi nnormalnie wykrylo wirusa i go usunelo tylko niewiem czemu dalej nie moge wejsc na tej wysukiwarce co w tedy bylem na fb ale moge normalnie na innej wyszukiwarce :>

  126. czy usunięcie pliku hosts jest konieczne ?

  127. Też miałem – kilka razy – taką sytuację. NIby mój znajomy, z którym nie utrzymywałem specjalnego kontaktu, zaczął od “?”. Gdy podpowiedziałem “Co się stało?”, to wysłał mi link – rzekomo youtube.com, ale nie spodobał mi się adres IP. Podejrzewałem, że coś jest nie tak, bo wcześniej aktualizowałem Aobe Flash Player, więc tego nie ściagnąłem.

    Comodo Internet Security i Malwarebtes wykryły, że to “Trojan.Generic” (o ile się nie mylę).

  128. hxxp://www.facebook.com.439532752.tk/Image-HVK7y4q.jpeg

    ja dostalam takie cos powie mi ktos co to??

  129. ja mam takie coś, po tym jak wszedłem w niby zaproszenie do gry od znajomej na Facebooku, że mi się cały czas tera jakieś zaproszenia do znajomych do gier i jakieś tyłki wysyłają i jak dziewczyna sie z mojego kompa loguje to też, miał ktoś takie coś ?? wie jak to naprawić ?????, bede bardzo wdzieczny za pomoc, krew mnie zalewa poprostu przez to, ludzie do mnie piszą że im coś wysyłam itd.

  130. Nadal nie działa mi facebook. Miałam kiedyś tego wirusa, usunęłam go, ale facebook nie działa. Co mam zrobić?

  131. Postaw system na nowo wiecej stracisz czasu na szukanie info na temat jak to zrobic niz to jest warte ja mialem tez teg wisrusa robilem to co jaest napisane na tej stronie i nic mi nie pomoglo stracilem 2 dni w koncu postawilem sysytem na nowo i z problem z bani teraz zrobilem sobie jeszcze tylko obraz systemu i na przyszlosc juz sie nie bede marwil ;) pozdro

  132. Mój mąż w jakiś sposób ściągnął trojana (nie wiem czy to dokładnie ten sam), który pokazywał setki komentarzy o różnego rodzaju błędach w komputrze oraz samowolnie wykonywał ‘skan’ w poszukiwaniu błędów – “System check”. Ze strony Symantec ściągnęłam Norton … Eraser, który odnalazł wirusy i je usunął ale efektem ubocznym jest to, że ikony z pulpitu, oraz wiele programów, jak też dokumenty i tym podobne, są nadal niewidoczne. Jak odzyskac dostęp do nich? Czy rozwiązaniem jest przywrócenie systemu? jesli tak, to czy za datę ataku uznać moment, kiedy komp przestał poprawnie działać?
    Pozdrawiam i proszę o pomoc.

  133. DZIĘKUJE BARDZO BARDZO MI POMOGLISCIE JA ZARAZILEM SIE TYM TROJANEM NA JAKIMS FORUM DZIEKI WIELKIE ZA POMOC KOMP CZYSTY !!!

  134. ComboFix 12-02-27.02 – Administrator 2012-02-27 23:45:39.1.1 – x86
    Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2046.1424 [GMT 1:00]
    Uruchomiony z: c:\documents and settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe
    AV: Avira AntiVir PersonalEdition *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
    .
    UWAGA – TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    C:\autorun.inf
    c:\windows\msmqinst.log
    c:\windows\regopt.log
    c:\windows\system\WINSPOOL.DRV
    D:\Autorun.inf
    D:\pvav.exe
    .
    c:\windows\system32\msgsvc.dll . . . jest zainfekowany!!
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ——-\Legacy_AMSINT32
    ——-\Service_amsint32
    .
    .
    ((((((((((((((((((((((((( Pliki utworzone od 2012-01-27 do 2012-02-27 )))))))))))))))))))))))))))))))
    .
    .
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-12-21 08:04 . 2012-02-27 21:18 121816 —-a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    “ORAHSSSessionManager”=”c:\program files\Livebox\SessionManager\SessionManager.exe” [2008-06-10 189168]
    “iTunesHelper”=”c:\program files\iTunes\iTunesHelper.exe” [2005-09-03 274432]
    “StartCCC”=”c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2008-01-21 135168]
    “WinampAgent”=”c:\program files\Winamp\Winampa.exe” [2002-03-20 80384]
    “avgnt”=”c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” [2008-02-12 262401]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    “CTFMON.EXE”=”c:\windows\system32\CTFMON.EXE” [2002-12-31 15360]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    “tscuninstall”=”c:\windows\system32\tscupgrd.exe” [2002-12-31 44544]
    .
    c:\documents and settings\All Users\Menu Start\Programy\Autostart\
    Microsoft Office.lnk – c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 143412]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    “ForceClassicControlPanel”= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    “AntiVirusOverride”=dword:00000001
    “FirewallOverride”=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    “AntiVirusOverride”=dword:00000001
    “AntiVirusDisableNotify”=dword:00000001
    “FirewallDisableNotify”=dword:00000001
    “FirewallOverride”=dword:00000001
    “UpdatesDisableNotify”=dword:00000001
    “UacDisableNotify”=dword:00000001
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    “EnableFirewall”= 0 (0x0)
    “DisableNotifications”= 1 (0x1)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    “%windir%\\system32\\sessmgr.exe”=
    “c:\\Program Files\\Livebox\\connectivity\\CoreCom\\CoreCom.exe”=
    “i:\\livebox.exe”=
    “c:\\Program Files\\Livebox\\Launcher\\Launcher.exe”=
    “c:\\Program Files\\Livebox\\SessionManager\\SessionManager.exe”=
    “c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe”=
    “c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\MOM.exe”=
    “c:\\ghsmgo.exe”=
    “c:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe”=
    “c:\\Program Files\\Winamp\\Winamp.exe”=
    “c:\\Program Files\\Livebox\\Connectivity\\ConnectivityManager.exe”=
    “c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe”=
    “c:\\Program Files\\Bonjour\\mDNSResponder.exe”=
    .
    R3 cwrwdm;Sterownik SoundFusion(tm) WDM;c:\windows\system32\drivers\cwrwdm.sys [2012-02-27 48640]
    .
    — Inne Usługi/Sterowniki w Pamięci —
    .
    *NewlyCreated* – AMSINT32
    *NewlyCreated* – PCANDIS5
    *NewlyCreated* – WS2IFSL
    .
    .
    ——- Skan uzupełniający ——-
    .
    TCP: DhcpNameServer = 192.168.1.1
    FF – ProfilePath – c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ayuvv1qo.default\
    FF – prefs.js: browser.startup.homepage – http://www.google.pl
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista – rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2012-02-27 23:52
    Windows 5.1.2600 Dodatek Service Pack 2 NTFS
    .
    skanowanie ukrytych procesów …
    .
    skanowanie ukrytych wpisów autostartu …
    .
    skanowanie ukrytych plików …
    .
    skanowanie pomyślnie ukończone
    ukryte pliki: 0
    .
    **************************************************************************
    .
    ——————— Pliki DLL ładowane pod uruchomionymi procesami ———————
    .
    – – – – – – – > ‘winlogon.exe'(664)
    c:\windows\system32\Ati2evxx.dll
    .
    – – – – – – – > ‘explorer.exe'(176)
    c:\program files\Livebox\Launcher\Inactivity.Dll
    .
    ———————— Pozostałe uruchomione procesy ————————
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
    c:\program files\Livebox\Launcher\Launcher.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
    c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\system32\imapi.exe
    .
    **************************************************************************
    .
    Czas ukończenia: 2012-02-27 23:53:33 – komputer został uruchomiony ponownie
    ComboFix-quarantined-files.txt 2012-02-27 22:53
    .
    Przed: 40 753 094 656 bajtów wolnych
    Po: 40 800 997 376 bajtów wolnych
    .
    – – End Of File – – 21AD9FCE46F4F83C04D5DA5C8589CB78
    to tak wygladalko wielkie dzieki !!!

  135. mam pytanie , jeśli otworzyłam link i szybko zamknęłam ( antywirus dał mi znać o zagorzeniu ) to jest jakiś powód do obawy ?

  136. Dostałem dzisiaj i rozpocząłem pobieranie ale w połowie chrome mnie ostrzegł że plik może być groźny hmm mądry.

  137. *_* Co to jest za przykra faza u siebie nie mogę wejsc na fejsaa u kogoś innego mogę ?

  138. Mi sie też coś takiego stało ze facebook nie chce sie załadować na moim komputerze na siostry normalnie chodzi a siostra jak tam czytała cos własnie to weszła przez jakis program i wyskakuje ze “twoje konto zostało zablokowane tymczasowo”. Nic sie nie da zrobić podejrzewamze to tez ten virus. Wszystkie stronki czyta a FB nie wchodzi w ogole.

  139. witam ja mam od wczoraj ze na wszystkie strony moge wejsc a na facebooka nie da rady wyskakuje ze polaczenie zostalo zresetowane, nie wiem czy to przez to ale kliknelem zeby zainstalowalo microsoft silverlight i wydaje mi sie ze to wlasnie przez to, ale nie jestem pewien, antyvirus znalazl mi jakies trojany, usunelem je i dalej bylo to samo, przeinstalowalem caly system, sformatowalem dyski i nadal jest to samo. prosze o pooc bo juz nie mam sil, nie wiem jak sobie z tym poradzic i co to moze byc.

  140. aha ten microsoft silverlight byl na stronie tvn, jakas wtyczka do tvn player czy cos.

  141. Mam to samo co Damian . Od wczoraj nic nie działa , nie pomógł reinstal systemu , skanowania ponad programami anty-virus. W czym leży problem?

  142. wczoraj padłem ofiarą mój fejs przestał działać o dziwno nic nie otwierałem po prostu przestał działać mimo starań nie mogę sobie poradzić skanowałem już kilka razy niestety bez skutku

  143. Ten sam problem co przedmówcy.

  144. witam dlaczego nie chce mi działac facebook wchodze wyskakuje cos takiegonoi co ja mam z tym zrobic niby jak ja chcem miec w tej chwili facebook a nie ma i coo???????????????????????????????????????????????

    0 Wiadomości
    Wyślij nową wiadomość
    Wiadomości

    Zobacz wszystkie wiadomości
    11 Powiadomienia
    Powiadomienia

    Pokaż starsze
    Zobacz wszystkie powiadomienia
    Szukaj
    Jarosław Gawlik
    Szukaj znajomych
    Strona główna
    Ustawienia konta
    Korzystaj z Facebooka jako:

    0
    Jarosław Gawlik
    Reklamuj się
    Ustawienia konta
    Ustawienia prywatności

    Pomoc

  145. U mnie troche ktos buszowal teraz sam nie wiem czy jeszcze siedzi ale prawdopodobnie ze strony dziswieczorem.pl tak cos mi sie wydaje, ale nie mam pewnosci

  146. FB uszczelniło chat? teraz tablica… ^_^)

  147. własnie usuwam krok po kroku tego wirusa ale nie wim co oznacza 3. Przeinstalować swojego antywirusa, który był na komputerze (zrobić aktualizację bazy sygnatur) proszę o pomoc :(

  148. ja dostalam KARAOKE ekdr http://julsfejboooks.net/video.php?watch=video&s=frsjo&resource=youtube&q=Ewa Giee :* kliknelam i mi zapisalo z folderze zablokowalm wszystki aplikacje na fb ale tego pliku dalej nie moge usunac szukalam na google to pisalo ze to hakerzy i ze najlepiej zmienic haslo jak usunac ten plik?

  149. a mi zablokowali fejsa bo ktos rzekomo z mojego konta wyslal jakich spam

  150. mam białą tablicę na fb i czat mi zanika .co z tym zrobić????

  151. Mój antywirus bez problemu rozprawił się z wirusikiem :) AVAST PREMIUM <33

  152. Dzisjaj ten problem powraca otóż dostałem link hehehhhhhhhhhee http ://www . sendspace .com / pro /d l/ mfbm4n / 2704 sorry że robiłem odstepy ale taki link był i zostałem rozsyłany na Facebooku przez czat. Więc postanowiłem poskanować komputer przez ESET Nod 32 a w nim 22 zagrożenia więc udało się wyleczyć i mam pytanie czy jest taki program żeby dla bezpieczeństwa.Przywrócić pliki nie chodzi o robal na FB tylko te co robal np. ukrył pliki.

  153. ja dostałem coś takiego jak to usunąć ? http://bit.ly/12kcyn7

  154. mi przyszło to i bot rozesłał to do moich znajomych LOL
    plik, otwórz http://bit.ly/VbMVgW

  155. Niestety wcisnęlam, i co? No po pięciokrotnym zeskanowaniu
    kompa antyvirusem Avast! zarażonych plików za ostatnim razem było
    177! Widać popracowali nad swoim robaczkiem i nawet już rozsyłają
    po polsku wiadomości na FB. Tak więc uważajcie co robicie, bo
    jednak jest jakiś % osób, które nie mają o tym pojęcia :\

  156. u mnie było inaczej, a mianowicie tak że kolega z którym pisze czesto wysłał mi plik jakiś i pisało żebym to pobrała że to fajne (a często sobie wysyłamy różne rzeczy) więc klikłam w to i nie wyskoczyło mi nic w youtubie jak wam ale jakiś plik exe który pobrałam i teraz mój antywirus pokazuje zagrożenie koniem trojańskim generic30.BYLW i nie może go usunąć bo jak usuwam ten plik który mam zapisany na pulpicie i daje go do kosza to on sie tak jakby na nowo odtwarza . co mam zrobić ? prosze o pomoc .

    mój antywirus to AVG

  157. ComboFix 13-01-08.01 – FD 2013-01-08 18:05:45.1.8 – x64
    Microsoft Windows 7 Home Premium 6.1.7601.1.1250.48.1045.18.4029.1717 [GMT 1:00]
    Uruchomiony z: c:\users\FD\Downloads\ComboFix.exe
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\program files (x86)\Vid-Saver
    c:\program files (x86)\Vid-Saver\Uninstall.exe
    c:\program files (x86)\Vid-Saver\Vid-SaverGui.exe
    c:\users\FD\AppData\Local\Galileo\galileo.exe silent
    c:\users\FD\AppData\Local\Vid-Saver
    c:\users\FD\AppData\Local\Vid-Saver\Chrome\Vid-Saver.crx
    c:\users\FD\wegy.exe
    c:\windows\s.bat
    .
    .
    ((((((((((((((((((((((((( Pliki utworzone od 2012-12-08 do 2013-01-08 )))))))))))))))))))))))))))))))
    .
    .
    2013-01-08 17:19 . 2013-01-08 17:19 ——– d—–w- c:\users\Default\AppData\Local\temp
    2013-01-05 14:36 . 2013-01-05 14:36 172080 —-a-w- c:\windows\system32\drivers\SYMEVENT64x86.SYS
    2013-01-05 14:35 . 2007-03-21 19:39 1060864 —-a-w- c:\windows\SysWow64\MFC71.DLL
    2013-01-05 14:32 . 2013-01-05 14:32 ——– d—–w- C:\SEPWin64
    2013-01-05 13:47 . 2013-01-05 13:47 ——– d—–w- C:\TotalUninstallPortable
    2013-01-04 22:55 . 2012-11-08 17:24 9125352 —-a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B0526FA1-3C86-435F-9A6F-26553DF4782C}\mpengine.dll
    2013-01-04 21:37 . 2013-01-04 21:37 ——– d—–w- C:\Drivers
    2013-01-03 23:37 . 2013-01-03 23:37 ——– d—–w- c:\users\FD\AppData\Local\Symantec
    2013-01-03 23:36 . 2013-01-05 14:36 ——– d—–w- c:\program files\Symantec
    2013-01-03 23:32 . 2013-01-05 15:33 ——– d—–w- c:\program files (x86)\Common Files\Symantec Shared
    2013-01-03 23:32 . 2013-01-05 14:35 ——– d—–w- c:\program files\Common Files\Symantec Shared
    2013-01-03 23:32 . 2013-01-03 23:32 ——– d—–w- c:\program files (x86)\Symantec
    2012-12-20 22:46 . 2012-12-16 17:11 46080 —-a-w- c:\windows\system32\atmlib.dll
    2012-12-20 22:46 . 2012-12-16 14:13 34304 —-a-w- c:\windows\SysWow64\atmlib.dll
    2012-12-20 22:46 . 2012-12-16 14:45 367616 —-a-w- c:\windows\system32\atmfd.dll
    2012-12-20 22:46 . 2012-12-16 14:13 295424 —-a-w- c:\windows\SysWow64\atmfd.dll
    2012-12-16 11:44 . 2013-01-04 22:47 ——– d—–w- c:\users\FD\AppData\Roaming\NapiProjekt
    2012-12-12 08:51 . 2012-11-09 05:45 2048 —-a-w- c:\windows\system32\tzres.dll
    2012-12-12 08:50 . 2012-11-02 05:59 478208 —-a-w- c:\windows\system32\dpnet.dll
    2012-12-12 08:50 . 2012-11-02 05:11 376832 —-a-w- c:\windows\SysWow64\dpnet.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-12-13 22:36 . 2011-08-01 16:28 67413224 —-a-w- c:\windows\system32\MRT.exe
    2012-11-13 15:29 . 2008-06-19 23:11 233120 —-a-w- c:\windows\system32\drivers\WpsHelper.sys
    2012-10-16 08:38 . 2012-11-27 18:47 135168 —-a-w- c:\windows\apppatch\AppPatch64\AcXtrnal.dll
    2012-10-16 08:38 . 2012-11-27 18:47 350208 —-a-w- c:\windows\apppatch\AppPatch64\AcLayers.dll
    2012-10-16 07:39 . 2012-11-27 18:47 561664 —-a-w- c:\windows\apppatch\AcLayers.dll
    .
    .
    ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
    2012-07-04 13:03 1310040 —-a-r- c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
    “{EEE6C35B-6118-11DC-9C72-001320C79847}”= “c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll” [2012-07-04 1310040]
    .
    [HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
    [HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
    [HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
    [HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    “Gadu-Gadu 10″=”c:\program files (x86)\Gadu-Gadu 10\gg.exe” [2011-07-04 13374048]
    “ALLUpdate”=”c:\program files (x86)\ALLPlayer\ALLUpdate.exe” [2011-08-16 1379840]
    “Galileo”=”c:\users\FD\AppData\Local\Galileo\galileo.exe” [2012-08-27 4044800]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    “IAStorIcon”=”c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe” [2009-11-20 284696]
    “332BigDog”=”c:\program files (x86)\USB Camera2\VM332_STI.EXE” [2009-09-15 536576]
    “MuteSync”=”c:\progra~2\Lenovo\LENOVO~2\MuteSync.exe” [2009-12-28 336384]
    “Lenovo SplitScreen”=”c:\program files\Lenovo\Lenovo SplitScreen\SplitScreen\AutoRunSpS.exe” [2010-04-01 778592]
    “UCam_Menu”=”c:\program files (x86)\Lenovo\YouCam\MUITransfer\MUIStartMenu.exe” [2009-05-19 222504]
    “YouCam Mirror Tray icon”=”c:\program files (x86)\Lenovo\YouCam\YouCamTray.exe” [2010-02-03 167008]
    “UpdateP2GShortCut”=”c:\program files (x86)\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe” [2008-12-03 218408]
    “Lenovo SlideNav2″=”c:\program files\Lenovo\Lenovo SlideNav\SlidebarNavigator\SlideNavVDM.exe” [2009-12-30 318400]
    “GrooveMonitor”=”c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe” [2009-02-26 30040]
    “StartCCC”=”c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2011-12-05 343168]
    “Adobe ARM”=”c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe” [2012-01-03 843712]
    “SweetIM”=”c:\program files (x86)\SweetIM\Messenger\SweetIM.exe” [2012-05-29 115032]
    “Sweetpacks Communicator”=”c:\program files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe” [2012-08-15 231768]
    “ccApp”=”c:\program files (x86)\Common Files\Symantec Shared\ccApp.exe” [2008-12-18 115560]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    “WLStart”=”c:\program files (x86)\Windows Live\Installer\wlstart.exe” [2009-07-26 785744]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Bluetooth.lnk – c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2010-1-12 1082656]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    “ConsentPromptBehaviorAdmin”= 5 (0x5)
    “ConsentPromptBehaviorUser”= 3 (0x3)
    “EnableUIADesktopToggle”= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
    @=”Service”
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
    @=”Service”
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
    @=”Service”
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    “DisableMonitoring”=dword:00000001
    .
    R2 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-10-21 196176]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [x]
    R2 ReadyComm.DirectRouter;ReadyComm.DirectRouter;c:\windows\System32\IgrsSvcs.exe [x]
    R3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\Drivers\ssadadb.sys [2011-05-13 36328]
    R3 Bridge0;Bridge0;c:\windows\system32\drivers\WDBridge.sys [2009-07-16 79376]
    R3 COH_Mon;COH_Mon;c:\windows\system32\Drivers\COH_Mon.sys [2008-11-18 25424]
    R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2011-07-29 16776]
    R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2011-07-29 9096]
    R3 ew_usbenumfilter;huawei_CompositeFilter;c:\windows\system32\DRIVERS\ew_usbenumfilter.sys [x]
    R3 ewusbmbb;HUAWEI USB-WWAN miniport;c:\windows\system32\DRIVERS\ewusbwwan.sys [x]
    R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys [x]
    R3 IGRS;IGRS;c:\program files (x86)\Lenovo\ReadyComm\common\IGRS.exe [2009-07-15 38152]
    R3 Lenovo ReadyComm AppSvc;Lenovo ReadyComm AppSvc;c:\program files\Lenovo\ReadyComm\AppSvc.exe [2009-08-14 509192]
    R3 Lenovo ReadyComm ConnSvc;Lenovo ReadyComm ConnSvc;c:\program files\Lenovo\ReadyComm\ConnSvc.exe [2009-11-17 575304]
    R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368]
    R3 PS_MDP;ReadyComm Presentation Space Helper Service;c:\windows\System32\IgrsSvcs.exe [x]
    R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-09-19 127488]
    R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-09-19 18944]
    R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-09-19 161280]
    R3 ss_bserd;SAMSUNG USB Mobile Logging Driver;c:\windows\system32\DRIVERS\ss_bserd.sys [2009-09-19 128000]
    R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-05-13 157672]
    R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-05-13 16872]
    R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-05-13 177640]
    R3 ssadserd;SAMSUNG Android USB Diagnostic Serial Port (WDM);c:\windows\system32\DRIVERS\ssadserd.sys [2011-05-13 146920]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
    R3 WatAdminSvc;Usługa Technologie aktywacji systemu Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2011-07-31 1255736]
    R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys [2009-07-21 121840]
    S0 LHDmgr;LHDmgr;c:\windows\System32\DRIVERS\LhdX64.sys [2010-01-15 39008]
    S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2011-07-30 834544]
    S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-12-06 235520]
    S2 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE [2011-10-13 249648]
    S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-11-20 13336]
    S2 Slidebar Notifier Service;Slidebar Notifier Service;c:\program files\Lenovo\Lenovo SlideNav\SlidebarNavigator\SlidebarNotifier.exe [2009-12-30 69568]
    S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-11-04 2320920]
    S3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\DRIVERS\AcpiVpc.sys [2009-10-19 28176]
    S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-12-05 95248]
    S3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-12-14 53800]
    S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 35104]
    S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2012-12-17 138912]
    S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
    S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2010-03-26 160880]
    S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet – NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2009-10-16 321064]
    S3 vm332avs;Lenovo Camera2;c:\windows\system32\Drivers\vm332avs.sys [2010-02-01 214000]
    S3 wdmirror;wdmirror;c:\windows\system32\DRIVERS\WDMirror.sys [2009-07-16 11280]
    .
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
    IgrsSvcs REG_MULTI_SZ ReadyComm.DirectRouter PS_MDP
    REG_SZ
    .
    Zawartość folderu ‘Zaplanowane zadania’
    .
    2013-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    – c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-28 19:44]
    .
    2013-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    – c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-28 19:44]
    .
    .
    ——— X64 Entries ———–
    .
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    “RtHDVCpl”=”c:\program files\Realtek\Audio\HDA\RAVCpl64.exe” [2010-04-23 10775072]
    “RtHDVBg”=”c:\program files\Realtek\Audio\HDA\RAVBg64.exe” [2010-04-23 2040352]
    “OnekeyStudio”=”c:\program files (x86)\Lenovo\Onekey Theater\OnekeyStudio.exe” [2009-12-19 776608]
    “EnergyUtility”=”c:\program files (x86)\Lenovo\Energy Management\utility.exe” [2010-03-11 4448704]
    “Energy Management”=”c:\program files (x86)\Lenovo\Energy Management\Energy Management.exe” [2010-03-11 7056832]
    “Logitech Download Assistant”=”c:\windows\System32\LogiLDA.dll” [2010-11-03 1580368]
    .
    ——- Skan uzupełniający ——-
    .
    uStart Page = hxxp://home.sweetim.com/?st=6&barid={8FE88668-F159-11E1-867C-F07BCBCC7ACF}
    uLocal Page = c:\windows\system32\blank.htm
    mStart Page = hxxp://home.sweetim.com/?crg=3.1010000.10005&barid={8FE88668-F159-11E1-867C-F07BCBCC7ACF}
    mLocal Page = c:\windows\SysWOW64\blank.htm
    IE: E&ksportuj do programu Microsoft Excel – c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
    IE: Wyślij obraz do urządzenia &Bluetooth… – c:\program files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
    IE: Wyślij stronę do urządzenia &Bluetooth… – c:\program files\Lenovo\Bluetooth Software\btsendto_ie.htm
    TCP: DhcpNameServer = 62.179.1.62 62.179.1.63
    .
    – – – – USUNIĘTO PUSTE WPISY – – – –
    .
    Toolbar-Locked – (no file)
    SafeBoot-mcmscsvc
    SafeBoot-MCODS
    SafeBoot-Symantec Antvirus
    Toolbar-Locked – (no file)
    HKLM-Run-SynTPEnh – c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
    HKLM-Run-SynBtnAsst – c:\program files (x86)\Synaptics\SynTP\SynBtnAsst.exe
    HKLM-Run-TNod UP – c:\program files (x86)\TNod User & Password Finder\TNODUP.exe
    .
    .
    .
    ——————— ZABLOKOWANE KLUCZE REJESTRU ———————
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
    @Denied: (A 2) (Everyone)
    @=”FlashBroker”
    “LocalizedString”=”@c:\\windows\\system32\\Macromed\\Flash\\FlashUtil10d.exe,-101”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
    “Enabled”=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
    @=”c:\\windows\\SysWow64\\Macromed\\Flash\\FlashUtil10d.exe”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
    @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @=”Shockwave Flash Object”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @=”c:\\windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx”
    “ThreadingModel”=”Apartment”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @=”0″
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @=”ShockwaveFlash.ShockwaveFlash.10″
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @=”c:\\windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx, 1″
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @=”{D27CDB6B-AE6D-11cf-96B8-444553540000}”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @=”1.0″
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @=”ShockwaveFlash.ShockwaveFlash”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @=”Macromedia Flash Factory Object”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @=”c:\\windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx”
    “ThreadingModel”=”Apartment”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @=”FlashFactory.FlashFactory.1″
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @=”c:\\windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx, 1″
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @=”{D27CDB6B-AE6D-11cf-96B8-444553540000}”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @=”1.0″
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @=”FlashFactory.FlashFactory”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
    @Denied: (A 2) (Everyone)
    @=”IFlashBroker3″
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
    @=”{00020424-0000-0000-C000-000000000046}”
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
    @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
    “Version”=”1.0”
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    “BlindDial”=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    “BlindDial”=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    “BlindDial”=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}003\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    “BlindDial”=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}004\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    “BlindDial”=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Czas ukończenia: 2013-01-08 18:26:45
    ComboFix-quarantined-files.txt 2013-01-08 17:26
    .
    Przed: 57 689 055 232 bajtów wolnych
    Po: 59 148 234 752 bajtów wolnych
    .
    – – End Of File – – 4601FE48E8CACEC875B5AB841B932E6C

  158. a co zrobić, jeśli wysyła sie to w twojego konta bez twojej wiedzy? :C

  159. Ja mam inny problem. otóż tak z mojego konta są wysyłane wiadomości do znajomych oraz posty na ich tablicach typu : LOL uruchom ten plik i link podany, to ty i link , jesteś geje i link mam już tego dosyć bo znajomi się mnie ciągle czepiają ze im to przychodzi nie wiecie jak to może usunąć żeby się to nie wysyłało

  160. Mam problem bo właśnie kliknołem w ten link i zainfekował
    mnie. Rozwiązałem problem przez tą stronkę ale linki zostały
    wysłane do znajomych. Czy grozi mi odpowiedźalność grzywna lub
    karalna jeśli nie wiedziałem że coś takiego dzieje mi się na moim
    koncie?

  161. Witam mam problem wlasnie chodzi o tego wirusa dostalem linka i bez zastanowienia odpalilem i pobralem wtyczke adobe ;/ i teraz mam wielki problem co robic ? jak sie tego pozbyc prosze pomozcie nawet nie moge wejsc na swojego boje sie tez ze wirus wypatrzy moje inne konta w internecie np bankowe allegro itp co robic

  162. Mam pytanie. Nie znam się na wirusach, ale jeśli ten plik pobrałem ale go nie otworzyłem to mój komputer może być zainfekowany?

  163. Jak do mnie znajoma (która ma pałę z angola i nie wie co to tłumacz google) napisała po angielsku i to jeszcze “wowwwww!! you look so sexy” to natychmiast wzięłam komórkę i do niej zadzwoniłam. Powiedziałam jej że coś jest nie tak z jej komputerem i Facebookiem. Jakoś ten syf usunęła, a ja wtedy szybko wyszłam z Fejsa, włączyłam skanowanie kompa i jakoś było, ale nie radzę się w to wplątywać.

  164. Ite gry na faceboku tesz są zainfekowane wirusami

  165. Jak wyłączy tego wirusa z fecebook ? bo szukam i nie mogę znalezc powie mi ktoś jak tego wirusa wylaczyc z fb ..Proszę o pomoc i z góry Dziękuje za udzieloną mi pomoc :)

  166. 1szy raz zaatakował mnie robak wysłał do moich znajomych linki do pobrania ….Tłumaczyłam pisałam, by nikt nie pobierał ..ZA póżno 4 osoby pobrały…..Ktos poradził zmianę hasła …Czy to coś da ….Wyczyściłam wiadomości przez program antywirusowy….Czy to wystarczy ? ,,,Nic się nie dzieje od tego czasu….

  167. Mi niby moja koleżanka coś przysłała, moje zdjęcie profilowe w formie “filmiku”, nie wiedziałam co jest grane i weszłam w to, ale chyba na szczęście niczego nie zainstalowałam, nie mam żadnych programów nowych. Ale zawirusował mi się facebook, do wszystkich moich znajomych wysyła mi się to co ja dostałam od koleżanki i tylko muszę się tłumaczyć o co chodzi. POMOCY!

  168. Tak to juz jest z tymi botami:)

  169. ktos podszywa się pod moją rodzinę i z tego adresu rozsyła wirusa:

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: