Facebook wirus, proszę o pomoc

Post27 sie 2011, 11:38

Witam,
Niestety udało mi się załapać tego wirusa, opiszę co już zrobiłem i co dalej?
Najpierw blokada ESET i AVAST ciągły restart kompa , zainstalowałem Malwarebytes wyczyściłem wszystko i restart ustał, jednak nie mogę wejść na Facebook - przeglądarka wcale nie łączy się ze stroną.
Przesyłam logi z OTL i proszę o instrukcję jak odblokować facebooka i czy system jest juz czysty

OTL:
Dostępne tylko dla zarejestrowanych użytkowników

EXTRAS:
Dostępne tylko dla zarejestrowanych użytkowników

Z góry dzięki za pomoc

Post27 sie 2011, 12:40

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
IE - HKCU\..\URLSearchHook: {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files\Family Toolbar\tbhelper.dll ()
IE - HKCU\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O2 - BHO: (MHTBPos00 Class) - {0C37B053-FD68-456a-82E1-D788EE342E6F} - C:\Program Files\Family Toolbar\tbcore3.dll ()
O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Family Toolbar) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - C:\Program Files\Family Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Softonic-Polska Toolbar) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Family Toolbar) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - C:\Program Files\Family Toolbar\tbcore3.dll ()
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - Startup: C:\Users\Niunieczki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk = File not found
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011/08/22 15:58:33 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-7-0-lnk
[2011/08/22 15:58:33 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-7-0
[2011/08/22 11:40:29 | 000,000,000 | ---D | C] -- C:\windows\ufa
[2011/08/22 11:40:29 | 000,000,000 | ---D | C] -- C:\windows\phoenix
[2011/08/22 11:34:05 | 000,000,000 | -H-D | C] -- C:\windows\update.7.1
[2011/08/22 11:33:49 | 000,000,000 | -H-D | C] -- C:\windows\update.2
[2011/08/22 11:33:30 | 000,000,000 | -H-D | C] -- C:\windows\update.5.0
[2011/08/22 11:31:34 | 000,000,000 | ---D | C] -- C:\windows\av_ico
[2011/08/22 11:29:53 | 000,000,000 | -H-D | C] -- C:\windows\update.1
[2011/08/22 11:29:50 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-2-0-lnk
[2011/08/22 11:29:50 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-2-0
[2011/08/22 15:59:53 | 000,000,734 | ---- | M] () -- C:\windows\System32\drivers\etc\hîsts
[2011/08/22 11:40:28 | 005,589,370 | ---- | C] () -- C:\windows\phoenix.rar
[2011/08/22 11:40:28 | 001,075,284 | ---- | C] () -- C:\windows\rpcminer.rar
[2011/08/22 11:40:28 | 000,182,617 | ---- | C] () -- C:\windows\ufa.rar
[2011/08/22 11:33:17 | 004,636,907 | ---- | C] () -- C:\windows\geoiplist
[2011/08/22 11:33:16 | 000,904,792 | ---- | C] () -- C:\windows\geoiplist.rar
[2011/08/22 11:33:16 | 000,246,272 | ---- | C] () -- C:\windows\unrar.exe
[2011/08/22 11:33:12 | 000,000,201 | ---- | C] () -- C:\windows\info1
[2011/08/22 11:32:35 | 000,000,000 | ---- | C] () -- C:\windows\loader2.exe_ok
@Alternate Data Stream - 24 bytes -> C:\Windows:8FD0FF47582EAB47

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Ściągnij >Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

[2011/08/19 22:58:07 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{95681BB5-A893-48ED-AD93-9D048D948CA9}
[2011/08/19 22:58:02 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{74B3B907-0B33-47C3-9756-A51048005FE2}
[2011/08/19 08:46:11 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{02C16B3E-848D-4BA9-AA19-4C150A6D9D1B}
[2011/08/19 08:46:07 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{78F21B29-5B03-47B8-810D-E3593346A22B}
[2011/08/18 10:58:21 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{AA27C71C-F31D-4346-8C35-24CE79788635}
[2011/08/18 10:58:17 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{C5335B4F-689A-401B-A657-6FED7317D879}
[2011/08/17 22:48:24 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{7D7DF047-7CE9-4A45-860D-C20C2F6817E1}
[2011/08/17 22:48:20 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{1730B0EA-B84B-4197-817B-8322DB431BA2}
[2011/08/17 08:56:48 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{E980FBD5-E885-4CEC-89C1-DE2AA34D91BD}
[2011/08/17 08:56:43 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{58A1030E-D5F9-4800-9341-93987EB1E2A6}
[2011/08/16 11:45:40 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{7E42CE3A-3306-4E72-9494-6097FA44745F}
[2011/08/16 11:45:36 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{766C96BC-1D93-4867-853E-2D8436949D59}
[2011/08/15 08:49:06 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{FF239D89-8A7C-4B6A-A901-130CC8C3E809}
[2011/08/15 08:49:02 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{CEC12CED-616E-4D2A-B782-37904D56F02B}
[2011/08/14 12:45:47 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{1452716A-BBB9-412B-A4DA-592C66B0D0D5}
[2011/08/14 12:45:43 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{8FE6BD7A-CAEC-41AD-A1A8-8F4A04358EC8}
[2011/08/14 11:32:40 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{3EAAE1FC-4CCE-425B-9576-522FB163AF9A}
[2011/08/14 11:32:36 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{F903E577-F9BF-4254-819B-B6FF0180D0CA}
[2011/08/13 20:10:53 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{EB1EA995-D48F-47A6-B74F-90A071114F7F}
[2011/08/13 20:10:49 | 000,000,000 | ---D | C] -- C:\Users\Niunieczki\AppData\Local\{F3E8CA17-F4AE-4868-9E4E-2DDBE7E3765E}

Zajrzyj do któregoś z tych tajemniczych folderów - co tam jest?

F.

Post27 sie 2011, 12:56

Raport z AD-Remover:
Dostępne tylko dla zarejestrowanych użytkowników

Raport po restarcie:
Dostępne tylko dla zarejestrowanych użytkowników

Raport ze scanu OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Tajemniczych folderów??

Post27 sie 2011, 13:18

Tajemniczych folderów??

Chodzi o takie:

C:\Users\Niunieczki\AppData\Local\{74B3B907-0B33-47C3-9756-A51048005FE2}
C:\Users\Niunieczki\AppData\Local\{02C16B3E-848D-4BA9-AA19-4C150A6D9D1B}
C:\Users\Niunieczki\AppData\Local\{78F21B29-5B03-47B8-810D-E3593346A22B}

Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

F.

Post27 sie 2011, 13:36

Wygląda na to że wszystkie te tajemnicze foldery są puste !?
Czy mogę je usunąć i czy w kwestii rejestru i wirusa jest już wszystko ok?
Co daje ten FIX.REG -> pytam z ciekawości

Post27 sie 2011, 14:08

Jeśli są puste, to niech zostaną - może któryś Twój program będzie kiedyś je potrzebował (tylko po co?)

Infekcji już nie ma.

Fix Reg - usuwa jeden pusty, bezplikowy klucz, oraz ustawia w Internet Explore stronę startową na "Google.pl", bo USBFix zmienił stronę startową na swoją własną, francuską.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

To wszystko.

F.

Post27 sie 2011, 15:25

Wielkie dzięki za szybką pomoc.
Problem został usunięty

Pozdrawiam