facebook hi how are you kolejny problem

Post31 sie 2011, 18:47

czesc oto kolejny przypadek virusa hi how are you z facebooka

Dostępne tylko dla zarejestrowanych użytkowników extras

Dostępne tylko dla zarejestrowanych użytkowników OTL

z góry dzieki za pomoc

Post31 sie 2011, 20:30

1) Użyj USBFix, >USBFix
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.

2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-08-28 18:32:39 | 000,130,560 | ---- | M] () -- C:\WINDOWS\systemup.exe
MOD - [2011-08-23 19:27:45 | 000,636,416 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
MOD - [2011-08-21 22:35:24 | 000,355,840 | ---- | M] () -- C:\WINDOWS\update.5.0\svchost.exe
MOD - [2011-08-20 21:10:55 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
MOD - [2011-08-20 21:03:51 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
MOD - [2011-08-20 21:03:17 | 000,258,048 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
MOD - [2011-08-20 21:02:48 | 001,216,000 | -H-- | M] () -- C:\WINDOWS\update.tray-7-0\svchost.exe
MOD - [2011-08-20 21:02:48 | 001,216,000 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe
SRV - [2011-08-23 19:27:45 | 000,636,416 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-08-21 22:35:24 | 000,355,840 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-08-20 21:03:51 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-08-20 21:03:17 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-08-20 21:02:48 | 001,216,000 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
O4 - HKLM..\Run: [1457817.exe] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\1457817.exe ()
O4 - HKLM..\Run: [1832703.exe] File not found
O4 - HKLM..\Run: [3559262.exe] C:\WINDOWS\TEMP\3559262.exe ()
O4 - HKLM..\Run: [5726790.exe] File not found
O4 - HKLM..\Run: [59596115-loader2.exe] File not found
O4 - HKLM..\Run: [8640385.exe] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\8640385.exe ()
O4 - HKLM..\Run: [avast] File not found
O4 - HKLM..\Run: [avast!] File not found
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [QuestScan Service] C:\Documents and Settings\All Users\Dane aplikacji\QuestScan\questscan173.exe O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [w_distrib.exe] C:\WINDOWS\update.3\svchost.exe ()
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found
O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\nhshawud.exe ()
O9 - Extra Button: ShopperReports - Compare product prices - {DB38E21A-0133-419d-92AD-ECDFD5244D6D} - C:\Program Files\ShoppingReport2\Bin\2.7.37\ShoppingReport.dll (SmartShopper Networks)
O9 - Extra Button: ShopperReports - Compare travel rates - {EB620C54-E229-4942-87CE-E717109FC8C6} - C:\Program Files\ShoppingReport2\Bin\2.7.37\ShoppingReport.dll (SmartShopper Networks)
O20 - HKLM Winlogon: UserInit - (C:\Program Files\LTPSkFiVý´Š2Ěnhshawud.exe\nhshawud.exe) - C:\Program Files\LTPSkFiVý´Š2Ěnhshawud.exe\nhshawud.exe ()
O31 - SafeBoot: AlternateShell - services32.exe
O33 - MountPoints2\{06bee1b5-a680-11e0-a579-00142a81ec03}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\S-5-6-62-5455527278-6365002852-453031202-2606\fPysERJf.exe
O33 - MountPoints2\{06bee1b5-a680-11e0-a579-00142a81ec03}\Shell\explore\command - "" = \RECYCLER\S-5-6-62-5455527278-6365002852-453031202-2606\fPysERJf.exe
O33 - MountPoints2\{06bee1b5-a680-11e0-a579-00142a81ec03}\Shell\Open\command - "" = \RECYCLER\S-5-6-62-5455527278-6365002852-453031202-2606\fPysERJf.exe
O33 - MountPoints2\{91f4bde2-a33a-11e0-a563-00142a81ec03}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\S-1-1-35-2321417843-0133710348-488156112-1063\HlnhLkBt.exe
O33 - MountPoints2\{91f4bde2-a33a-11e0-a563-00142a81ec03}\Shell\explore\command - "" = \RECYCLER\S-1-1-35-2321417843-0133710348-488156112-1063\HlnhLkBt.exe
O33 - MountPoints2\{91f4bde2-a33a-11e0-a563-00142a81ec03}\Shell\Open\command - "" = \RECYCLER\S-1-1-35-2321417843-0133710348-488156112-1063\HlnhLkBt.exe
O33 - MountPoints2\{c9097908-ba6e-11e0-a5f6-00142a81ec03}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\S-4-7-33-0053716684-2210504306-360787267-3001\vHHiGcdk.exe
O33 - MountPoints2\{c9097908-ba6e-11e0-a5f6-00142a81ec03}\Shell\explore\command - "" = \RECYCLER\S-4-7-33-0053716684-2210504306-360787267-3001\vHHiGcdk.exe
O33 - MountPoints2\{c9097908-ba6e-11e0-a5f6-00142a81ec03}\Shell\Open\command - "" = \RECYCLER\S-4-7-33-0053716684-2210504306-360787267-3001\vHHiGcdk.exe
O33 - MountPoints2\{f7afff2c-abee-11e0-a59b-00142a81ec03}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\S-4-0-73-7671717265-1078437265-850337805-7504\RBFsXpkY.exe
O33 - MountPoints2\{f7afff2c-abee-11e0-a59b-00142a81ec03}\Shell\explore\command - "" = \RECYCLER\S-4-0-73-7671717265-1078437265-850337805-7504\RBFsXpkY.exe
O33 - MountPoints2\{f7afff2c-abee-11e0-a59b-00142a81ec03}\Shell\Open\command - "" = \RECYCLER\S-4-0-73-7671717265-1078437265-850337805-7504\RBFsXpkY.exe
[2011-08-25 22:37:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.8.1
[2011-08-22 08:43:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.3
[2011-08-22 08:10:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-08-22 08:06:45 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-08-22 08:06:45 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-08-20 21:15:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-20 21:15:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-08-20 21:15:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-20 21:06:46 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-08-20 21:04:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-20 21:03:52 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-08-20 21:02:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-08-22 06:38:20 | 000,130,560 | ---- | C] () -- C:\WINDOWS\systemup.exe
[2011-08-20 21:15:32 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-08-20 21:15:31 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-08-20 21:15:31 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-08-20 21:11:00 | 000,232,960 | ---- | C] () -- C:\WINDOWS\l1rezerv.exe
[2011-08-20 21:07:17 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-08-20 21:07:16 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-08-20 21:07:16 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-08-20 21:03:52 | 000,000,245 | ---- | C] () -- C:\WINDOWS\info1
[2011-08-20 21:03:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011-08-20 21:03:36 | 000,258,048 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
[2011-08-20 21:03:22 | 000,258,048 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe
[2011-08-20 21:02:54 | 001,216,000 | ---- | C] () -- C:\WINDOWS\services32.exe

:Files
C:\Program Files\LTPSkFiVý´Š2Ěnhshawud.exe

:Reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\update.3\svchost.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post01 wrz 2011, 17:32

dzieki za odp jutro kolo 18 bede dzialal dalej z tym bo to komp kolegi z pracy nawalil i nie ma mnie juz u niego jesli mozesz zajrzyj jutro do tematu kolo 18 bede wdzieczny pozdro

-- 01 wrz 2011, 17:19 --

raport z usb fix

Dostępne tylko dla zarejestrowanych użytkowników

-- 01 wrz 2011, 17:32 --

raport Dostępne tylko dla zarejestrowanych użytkowników

otl nowy skan Dostępne tylko dla zarejestrowanych użytkowników

Post01 wrz 2011, 22:11

USBFix miał być użyty z opcji DELETION (a nie Research) - powtórz, ale tym razem z DELETION

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O2 - BHO: (ShoppingReport2) - {258C9770-1713-4021-8D7E-1F184A2BD754} - File not found
O4 - HKLM..\Run: [sysdriver32.exe] File not found
O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\nhshawud.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Program Files\LTPSkFiVý´Š2Ěnhshawud.exe\nhshawud.exe) - C:\Program Files\LTPSkFiVý´Š2Ěnhshawud.exe\nhshawud.exe ()

:Files
C:\Program Files\LTPSkFiVý´Š2Ěnhshawud.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania..

Dodatkowo:
Do >Dostępne tylko dla zarejestrowanych użytkowników wklej:

:file
nhshawud.exe

:filefind
nhshawud.exe

:regfind
nhshawud.exe

:dir
LTPSkFiVý´Š2Ěnhshawud.exe

Naciśnij Look i pokaż raport.

F.

Post06 wrz 2011, 18:48

usbfix deletion Dostępne tylko dla zarejestrowanych użytkowników sorki ze teraz ale wczesniej sie nie dalo bo nie mialem dostepu do kompa :sciana:

-- 06 wrz 2011, 18:48 --

raport po wykonaniu skryptu Dostępne tylko dla zarejestrowanych użytkowników

nowe OTL Dostępne tylko dla zarejestrowanych użytkowników

Post07 wrz 2011, 16:24

2011-09-04 20:02:02 | 000,000,000 | ---D | C] -- C:\Program Files\hbVuoGHF

Znasz ten powyższy program?
Daję go do usuwania, ale jeśli znasz, to trzeba będzie zmienić Script.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2011-09-01 16:19:24 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-09-04 20:02:02 | 000,000,000 | ---D | C] -- C:\Program Files\hbVuoGHF

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.