Facebook wirus "hi, wanna laugh?"

[AndreV29]

Witam. Mam problem z popularnym wirusem z facebooka. Jak wchodzę na fb to wiadomości same mi się wysyłają do znajomych. Zaczyna sie "hi", potem "wanna laugh?", a następnie podaje link jakiś. Wkurzające to. Po drugie to czasem komputer sam mi się uruchamia ponownie i wchodzi w tryb awaryjny a po chwili wraca do normalnego trybu. Zainstalowałem Emsisoft Anti-Malware 5.0, przeskanowałem trybem szybkim i inteligentnym, wykryto ponad 300 wirusów(trojanów i innych wirusów). Usunąłem zainfekowane pliki. Jednak po tym problem nie ustąpił. Próbowałem zainstalować AntiVira 10 i Avasta 5 ale po ponownym uruchomieniu te programy nie działały(jak najechał na ikonę w pasku zadań to niby był prowadzony jakiś proces, wyskakiwało takie czerwone okno i napisy po angielsku, odziwo w obu programach identyczne). Następnie odinstalowałem te programy i poczytałem trochę na waszej stronie o całym tym wirusie. Zainstalowałem program Malwarebytes Anti-Malware i przeprowadziłem skany: błyskawiczny, szybki i pełny. Załączam logi tych skanów wg kolejności jakie je wykonałem. Wykryto razem ponad 50 infekcji w różnych sektorach systemu.

Błyskawiczny: Dostępne tylko dla zarejestrowanych użytkowników
Szybki: Dostępne tylko dla zarejestrowanych użytkowników
Pełny: Dostępne tylko dla zarejestrowanych użytkowników

Następnie przeskanowałem jeszcze raz błyskawicznym i szybkim skanem i nie wykazano żadnych infekcji. Spróbowałem wejść na fb, ale teraz nawet nie mogę otworzyć tej strony, jakby nie było połączenia, a na wszystkie inne strony mogę wchodzić.

Przed chwilą zrobiłem skany za pomocą OTL i DDS, załączam poniżej logi.
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników
Attach: Dostępne tylko dla zarejestrowanych użytkowników
DDs: Dostępne tylko dla zarejestrowanych użytkowników

Czekam na szybką odpowiedź czy wszystko już jest w porządku lub też dlaczego nie mogę wejść na fb. Mam nadzieje że logi pomogą

[djkamil09061991]

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
SRV - File not found [Disabled | Stopped] -- -- (RelevantKnowledge)
SRV - [2011-08-19 17:41:31 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
O2 - BHO: (no name) - {AE90C38C-97CF-4696-B290-C7973DC9675E} - No CLSID value found.
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {C3CD744D-2FAE-4640-8297-16B5DA423104} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O31 - SafeBoot: AlternateShell - services32.exe
O32 - AutoRun File - [2011-07-28 14:04:22 | 000,000,127 | -HS- | M] () - C:\AUTORUN.INF -- [ NTFS ]
[2011-08-20 11:35:25 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-8-0-lnk
[2011-08-20 11:35:25 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-8-0
[2011-08-20 11:02:24 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011-08-20 11:00:45 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0-lnk
[2011-08-20 11:00:45 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0
[2011-08-19 17:41:32 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011-07-26 17:08:46 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-07-26 17:08:46 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-07-26 17:00:33 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-07-26 16:39:41 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-07-26 16:37:33 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-08-20 14:22:38 | 000,002,432 | ---- | M] () -- C:\Users\ADRIAN\AppData\Local\TempNy3824.html
[2011-08-20 14:22:38 | 000,002,089 | ---- | M] () -- C:\Users\ADRIAN\AppData\Local\TemprQ3824.html
[2011-08-19 17:42:16 | 000,000,225 | ---- | M] () -- C:\Windows\info1
[2011-07-26 17:08:45 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-07-26 17:08:45 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-07-26 17:08:45 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-07-26 17:08:44 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-07-26 16:40:30 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-07-26 16:38:57 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:4769CB2A

:Files
C:\Users\ADRIAN\AppData\Local\Temp*.html

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[resethosts]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

[AndreV29]

Raport z usuwania OTL: Dostępne tylko dla zarejestrowanych użytkowników
log OTL.Txt: Dostępne tylko dla zarejestrowanych użytkowników
log Extras.Txt: Dostępne tylko dla zarejestrowanych użytkowników

I jak?

[djkamil09061991]

Jak dla mnie czysto, jeśli problem już nie występuje naciśnij w OTL sprzątanie to go usunie.

[marta9221]

Witam. mnie również dotyczy ten problem. przeskanowałam komputer programy OTL, a oto linki do skanów:
ekstras: Dostępne tylko dla zarejestrowanych użytkowników
otl: Dostępne tylko dla zarejestrowanych użytkowników

Prosze o instrukcje co robić dalej.
z góry wam dziękuję.

[djkamil09061991]

marta9221 na przyszłośc nie podpinaj się do cudzych tematów.
W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
MOD - [2011-08-20 11:59:16 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
SRV - [2011-08-20 11:58:43 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-08-20 11:57:41 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
O3 - HKU\S-1-5-21-2381082281-2144667440-2211860514-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [142211.exe] C:\Windows\Temp\142211.exe ()
O4 - HKLM..\Run: [37385119-loader2.exe] C:\Windows\Temp\37385119-loader2.exe ()
O4 - HKLM..\Run: [3773580.exe] C:\Windows\Temp\3773580.exe ()
O4 - HKLM..\Run: [4515334.exe] C:\Users\User\AppData\Local\Temp\4515334.exe ()
O4 - HKLM..\Run: [5444997.exe] C:\Users\User\AppData\Local\Temp\5444997.exe ()
O4 - HKLM..\Run: [6056536.exe] C:\Windows\Temp\6056536.exe ()
O4 - HKLM..\Run: [6696944.exe] C:\Windows\Temp\6696944.exe ()
O4 - HKLM..\Run: [7777620.exe] C:\Users\User\AppData\Local\Temp\7777620.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-20 12:00:03 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-08-20 12:00:03 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011-08-20 12:00:03 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-08-20 11:59:03 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-08-20 11:58:52 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-08-20 11:58:46 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011-08-20 11:57:14 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-08-20 20:17:37 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-08-20 20:17:37 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-08-20 20:17:37 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-08-20 20:17:37 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-08-20 11:59:32 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
[2011-08-20 11:59:29 | 000,000,177 | ---- | M] () -- C:\Windows\info1
[2011-08-20 11:59:16 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
[2011-08-20 11:58:58 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-08-20 11:57:41 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
[2011-08-20 11:57:03 | 001,182,208 | ---- | M] () -- C:\Windows\services32.exe
[2011-08-20 11:58:59 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[resethosts]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

[AndreV29]

Wszystko gra, dzięki za pomoc

[sara2325]

mam ten sam problem.
a teraz nawet nie moge wejsc na facebooka.

[djkamil09061991]

sara2325 załóz nowy temat w tym dziale i wykonaj logi z OTL według instrukcji:
http://www.hotfix.pl/obsluga-programu-otl-a143.htm

[TYNKA015]

dzięki temu odblokowałam facebooka, bo miałam ten sam problem. Dzięki.

ale na początku ściągałam antywirusy.. różne, oczywiście nie działały i nie działają do tej pory. co z tym zrobić ? nie ma się nawet odinstalować tego.

[djkamil09061991]

Tutaj masz instrukcje tworzenia logów z OTL
http://www.hotfix.pl/obsluga-programu-otl-a143.htm
załóz swój temat wchodząc w dział bezpieczeństwo i kliknij Rozpocznij Wątek

[marta9221]

tak więc dodaje:
raport: Dostępne tylko dla zarejestrowanych użytkowników

nowy zestaw logów:
ekstars: Dostępne tylko dla zarejestrowanych użytkowników

otl: Dostępne tylko dla zarejestrowanych użytkowników

co dalej?

[Klient00]

djkamil09061991 jak ty to robisz ?
ja nie wiem co mam zrobic, zrobilam to skanuj na OTL, najpierw zrobilam na Malwarebytes Anti-Malware no ale dobra szczegół, i tu są skany
Extras - Dostępne tylko dla zarejestrowanych użytkowników
OTL - Dostępne tylko dla zarejestrowanych użytkowników

a teraz nie wiem co mam wpisac w wlasne opcje skanowania/ skrypt
pomozcie prosze, jestem w kropce ; (

[djkamil09061991]

Klient00 na przyszłośc nie podpinaj się pod cudze tematy
W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
MOD - [2011-08-20 13:29:12 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
SRV - File not found [Auto | Stopped] -- -- (gusvc)
SRV - [2011-08-20 13:29:12 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - No CLSID value found.
O4 - HKLM..\Run: [avast!] File not found
O4 - HKLM..\Run: [BearShare] File not found
O4 - HKCU..\Run: [AdobeBridge] File not found
O4 - HKCU..\Run: [swg] File not found
O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-20 21:32:01 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.3
[2011-08-20 13:42:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-20 13:42:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-20 13:35:10 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-08-20 13:32:46 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-20 13:29:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\WinRAR
[2011-08-20 13:29:14 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-08-19 15:52:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-08-19 15:50:24 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-08-19 15:50:18 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-08-19 15:50:18 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-08-21 15:47:16 | 000,000,201 | ---- | M] () -- C:\WINDOWS\info1
[2011-08-21 15:05:50 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-20 13:42:17 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-08-20 13:42:17 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-08-20 13:42:17 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-08-20 13:42:15 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-08-20 13:29:28 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-08-19 15:53:00 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-08-20 13:29:31 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
@Alternate Data Stream - 508 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF
@Alternate Data Stream - 127 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:89C2A42C
@Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:888AFB86

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Islamm\Moje dokumenty\Downloads\Flash-Player.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\update.3\svchost.exe"=-

:Commands
[emptytemp]
[resethosts]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

[Klient00]

prosze bardzo tutaj raport
Dostępne tylko dla zarejestrowanych użytkowników

a u mnie juz z fejsem wszystko w poarzadku dzieki tobie dziekuje dziekuje dziekuje!
a i nowych zestawow logow juz nie ma