FB virus

[An7yk]

Zdravim,
tady další FB vir chudák

Tak před hodinou jsem si povidal s anglicky mluvícím človíčkem, po te kliknul na odkaz ( a protože se směju vážně jako mentál ) tak to překonalo muj integrovaný blok v mozku neklikat na hovadiny a stahunl sem to a pokoušel sem se to naisntalovat... poté sem si rek, že neco nehraje, sel sem na viry.cz a precetl jsem si to co se tam píše... vytrhnul sem LAN kabel z PC a spustil scan, mám aviru, nic mito nenašlo ... zapojil sem kabel a začal brouzdat forum, nasel sem poruzunu určité informace třeba na blogu stella a informace o slozkach ve windows, jako třeba /ufa nebo /phoenix či soubor unrar.exe ....

nic jsem v počítači nenašel podezřelého, počítač normálně funguje, firewall online, antivir online ( a aktivně mi tady hlási že mi našel něco v systemech pro lineage 2 , což zadna havěť není kdo zná lineage 2 (jedine že bych roky žil podvedený! )))

PS: ještě nedošlo k restartu PC po nainstalovaní toho "flashplayeru" !! Jak jsem četl, po restartu by mi měl naběhnout nouzák a zrušit mi mou milovanou aviru ...

Otazky zní:

1. jsem infikován?
2. pokud ano, dá se to nějak zvrátit, než probehne restart PC a vir se projeví v plné síle ?

na tohle nikdy nezapomenu a snad se z toho vylížu jestli něco je a do konce života mám za vyučenou ...
jestli totiž něco dokáže mě klidase nastvat tak to jsou problémy s počítačem, hlavně ty softwarový problemy

Díky všem!

[stell]

zdravim
Ak si spustil instalaciu,fake flas-playera tak urcite mas pc, infikovane,
tento hajzel, zmeni bootloader zrusi antivirak, atd atd, zatial v ziadnom pripade nerestartuj pc,
Stiahnes>>mbam-setup
Nainstalovat, aktualizovat, a spustit skan.
Spravit RYCHLY skan,
Log vloz sem.
Podrobny Navod:
http://www.viry.cz/forum/viewtopic.php?f=29&t=67229

[Eastonko]

mne tiez isiel notas normalne az navecer som zistil ze to od toho kamarata bol virus a ten flash som len stiaholk ani neotvaral...a vidis riesili smeto tu tak na 7 stran:D

[An7yk]

díky za rychlou odpověď:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Verze databáze: 7253

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

23.7.2011 22:52:57
mbam-log-2011-07-23 (22-52-49).txt

Typ: Rychlá kontrola
Kontrolované objekty: 188381
Uplynulý čas: 4 minut, 14 sekund

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 3
Infikované hodnoty v registru: 1
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS (Trojan.Agent) -> No action taken.

Infikované hodnoty v registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wxpDrivers\ImagePath (Trojan.Agent) -> Value: ImagePath -> No action taken.

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
c:\Windows\services32.exe (Trojan.Dropper) -> No action taken.

[stell]

dobre zmaz vsetko
Uz vsetko bolo pripravene na zlikvidovanie AV a pc,
, este stale nedovol restart, ak aj Malwarebytes bude protestovat, ok.
do prikazoveho riadku napis, bcdedit.exe
potom daj screen

[An7yk]

Mno tak sem dal odstranit, program chce restartovat, aby mohl dokoncit proces, zatim sem nekliknul ani na ANO ani na NE, otevrel sem cmd a dal tam to bcdedit.exe a vyjelo mi:


Správce spouštění systému Windows
--------------------
identifikátor {bootmgr}
device partition=C:
description Windows Boot Manager
locale cs-CZ
inherit {globalsettings}
default {current}
resumeobject {5399cbf4-7c98-11df-bf29-b892364aac00}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30

Zaváděcí program pro spouštění systému Windows
-------------------
identifikátor {current}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale cs-CZ
inherit {bootloadersettings}
recoverysequence {5399cbf6-7c98-11df-bf29-b892364aac00}
recoveryenabled Yes
osdevice partition=C:
systemroot \Windows
resumeobject {5399cbf4-7c98-11df-bf29-b892364aac00}
nx OptIn
safeboot Minimal
safebootalternateshell Yes


screen myslim není třeba, více věcí na mě nevyjelo

[stell]

no, vidi sa mi ze uz zautocil na bootloader
safeboot Minimal
safebootalternateshell Yes

Takto vy exportuj bootloader prikazom
bcdedit /export "c:\BCD Backup"
a skontroluj ci skutocne je tam.BCD Backup
a napis

[An7yk]

tak sem to vyexportoval, snad dobře a pulka toho txt souboru obsahuje nečitelné znaky ale je tam i normální text, absolutne se v tom nevyznám ...

BCD backup jsem přiložil

[stell]

To je pre teba,tak aby bolo na c, ak by ti po uprave bootloadera nenabehol system.
Takze ak je subor tu c:\BCD Backup
Potom je ok
Teraz ak nemas po ruke druhy pocitac , tak tento prikaz zapis
bcdedit /import "c:\BCD Backup"
ked pouzijeme malwarebytes a po restarte by zacalo blbnut system, alebo vobec nenabehlo pouzijes tento prikaz z prikazoveho riadku , pri starte budes mackat F-8 ako do nudzoveho rezimu,v menu vyberies prikazovy riadok, a zadas hore uvedeny prikaz.ok, pre kazdy pripad

Teeraz do start spustit napis msconfig, klikni na zalozku BOOT, a pozri sa ci uz je tam zafajknute safeboot minimal, podla bootloadera ano,, a napis , alebo daj screen

[An7yk]

Mno mám to v češtině, takže hádám že BOOT = spuštění počítače

možnosti spuštění:

na vyber jsou 4 moznosti:

minimalni
alternativni prostredi
oprava sluzby active directory
sit

a vpravo nejake hovadiny nezaskrtané...

v mém případě je označeno " aleternativní prostredi "

kdyztak udělam screen, jen ja umim rychle psat takze radsi pisu

[stell]

takze teraz zadaj prikazy
bcdedit.exe /deletevalue safeboot [enter]
bcdedit.exe /deletevalue alternateshell[enter]

a znova daj prikaz bcdedit.exe
a vloz sem log , tak ako predtym

[An7yk]

C:\Users\An7yk>bcdedit.exe /deletevalue alternateshell
Zadaný typ datového prvku nebyl rozpoznán nebo se nevztahuje
k zadané položce.
Pomoc k příkazovému řádku získáte příkazem bcdedit /?.
Prvek nebyl nalezen.


Co dělám špatně? První příkaz byl uspesne proveden ...

[stell]

a ten prvy prikaz prebehol uspesne??

[An7yk]

prvni prikaz probeh uspesne...

a prave ten program odteba uspesne zablokoval utok z nejake IP adresy 95.169.....

[stell]

aha uz vidim

Vies co daj screen z msconfig>>boot