Facebook problem

[stasiupan]

Standardowa sprawa. Wirus pochodzący z facebook'a, proszę o pomoc.

Dostępne tylko dla zarejestrowanych użytkowników

OTL : Dostępne tylko dla zarejestrowanych użytkowników
Extras : Dostępne tylko dla zarejestrowanych użytkowników

Dzięki z góry

[filutka78]

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O4 - HKLM..\Run: [wxpdrv] C:\Windows\update.1\svchost.exe (Cronosoft)
[2011-10-29 20:04:24 | 000,246,272 | ---- | M] () -- C:\windows\unrar.exe
[2011-10-27 14:31:22 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{44AD8B39-A5EC-4AF1-B578-10EE69302D8B}
[2011-10-27 14:30:57 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{A4EBA61E-5472-4496-A319-6AB5497B20B3}
[2011-10-25 18:10:46 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{A0062C05-3535-4880-82A0-2DA2A1C57D0A}
[2011-10-23 20:27:51 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{0EA52E3D-A118-48B1-97EF-9509D7FED5D7}
[2011-10-22 12:26:25 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{9122B77E-8FC9-4D1F-B138-79406D21009D}
[2011-10-22 00:13:42 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{3EC1C02E-7E74-4B43-9B95-9A1054976081}
[2011-10-21 20:06:37 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{2031CA07-0A03-49C7-AC0D-518DAF411F63}
[2011-10-21 20:06:12 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{E6EF7651-7F82-4B26-8063-5B9F3828568B}
[2011-10-16 19:13:01 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{86026918-4DFB-41D5-BFC0-9D1F6516D216}
[2011-10-16 15:37:19 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{C6205155-ABD4-4DD5-9ACE-FE5A09247938}
[2011-10-16 15:37:18 | 000,000,000 | ---D | C] -- C:\Users\Jola\AppData\Local\{FED467A8-3B09-43D5-BEAC-FBB38FECCD0C}
[2011-10-29 20:36:53 | 000,000,000 | -H-D | C] -- C:\windows\update.2
[2011-10-29 20:04:25 | 000,000,000 | ---D | C] -- C:\windows\ufa
[2011-10-29 20:04:25 | 000,000,000 | ---D | C] -- C:\windows\rpcminer
[2011-10-29 20:04:25 | 000,000,000 | ---D | C] -- C:\windows\phoenix
[2011-10-29 19:06:03 | 000,000,000 | -H-D | C] -- C:\windows\update.5.0
[2011-10-29 18:50:57 | 000,000,000 | -H-D | C] -- C:\windows\update.1
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Windows\update.1\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

2) Użyj MBAM >http://www.hotfix.pl/obsluga-programu-malwarebytes-anti-malware-a55.htm
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

3)Używałeś ComboFixa, więc pokaż log z tamtego używania,.

F.

[stasiupan]

Trochę to trwało ale mam
1) Dostępne tylko dla zarejestrowanych użytkowników - raport po restarcie
Dostępne tylko dla zarejestrowanych użytkowników - OTL
Dostępne tylko dla zarejestrowanych użytkowników - Extras
2) Dostępne tylko dla zarejestrowanych użytkowników Niestety nie mam dostępu do internetu w tym laptopie, więc nie mogłem zaktualizować. Jutro zrobię pełny skan po aktualizacji i podam logi.
3) Nie znalazłem logów z combofixa, ale jutro jak podepnę ten internet to zrobię i przekaże na forum. To nie mój komputer, a ComboFix już był.

[filutka78]

Nie znalazłem logów z combofixa, ale jutro jak podepnę ten internet to zrobię i przekaże na forum

Mi tylko chodziło o to, by zobaczyć, co usuwał ComboFix - więc robienie nowego logu nie ma sensu.

Powinno już być OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

[stasiupan]

Dzięki wielkie za pomoc. Okazało się, że jutro ponownie będę potrzebował pomocy, bo brat właścicieli laptopa, na którym dziś pracowałem, zrobił dokładnie to samo co siostra. Brzmi niewiarygodnie, ale tak jest.
Jeszcze raz dziękuję i .....do jutra