"hi, wanna laugh" facebook

[coccaina]

No więc, mam tego wirusa. Poczytałam sobie juz o tym na internecie. Sciągnęłam programy Malwarebytes' Anti-Malware i OTL, zrobiłam skany. No i nie wiem co dalej. Proszę, pomóżcie. Mam Wam podać jakieś logi czy coś ? Podajcie dość szczegółowe instrukcje, bo jestem w tych tematach zielona

Liczę na szybką odpowiedź i pozdrawiam ;p

[djkamil09061991]

Sciągnęłam programy Malwarebytes' Anti-Malware i OTL, zrobiłam skany

Wklej logi z OTL które zrobiłas na Dostępne tylko dla zarejestrowanych użytkowników i podaj do nich link

[coccaina]

No to podaję logi:
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[djkamil09061991]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - File not found [Auto | Stopped] -- -- (avgwd)
SRV - File not found [Auto | Stopped] -- -- (AVGIDSAgent)
SRV - File not found [On_Demand | Stopped] -- -- (AVG Security Toolbar Service)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O2 - BHO: (AVG Security Toolbar BHO) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - File not found
O3 - HKCU\..\Toolbar\WebBrowser: (AVG Security Toolbar) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - File not found
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avast] File not found
O4 - HKLM..\Run: [AVG_TRAY] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKCU..\Run: [AdobeBridge] File not found
O4 - HKCU..\Run: [Device Detector] File not found
O4 - HKCU..\Run: [EA Core] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-22 11:24:42 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0-lnk
[2011-08-22 11:24:42 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0
[2011-08-21 22:35:16 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011-08-21 22:33:59 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-08-21 22:32:15 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-08-21 22:32:15 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-08-21 22:30:33 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-08-21 18:22:48 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011-08-21 18:18:59 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-08-21 18:18:26 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-12-0-lnk
[2011-08-21 18:18:26 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-12-0
[2011-08-22 10:30:18 | 000,000,734 | ---- | M] () -- C:\Windows\System32\drivers\etc\hîsts
[2011-08-21 22:32:14 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-08-21 22:32:14 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-08-21 22:32:14 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-08-21 22:32:14 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-08-21 22:30:47 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-08-21 22:29:48 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
[2011-08-21 22:30:48 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist
@Alternate Data Stream - 24 bytes -> C:\Windows:F02C4848B65AF1E6

:Files
C:\Users\Dominika\AppData\Local\Temp*.html

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\Dominika\Downloads\Flash-Player.exe"=-
"C:\Windows\update.1\svchost.exe"=-
"C:\Windows\services32.exe"=-
"C:\Windows\update.tray-12-0\svchost.exe"=-
"C:\Windows\update.2\svchost.exe"=-

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

[filutka78]

:OTL
...
O4 - HKLM..\RunOnce: [AvgUninstallURL] C:\Windows\System32\cmd.exe (Microsoft Corporation)

Umieszczenie tego wpisu pod komenda :OTL spowoduje usunięcie legalnego pliku Microsoftu.
Nie wykonuj Scriptu, dopóki @djkamil09061991 tego jakoś nie zmieni

F.

[djkamil09061991]

Przepraszam mój błąd ale wydawało mi się ze należy to usunąć

[coccaina]

filutka78 : trochę za późno mi to mówisz, bo już wykonałam skrypt.

raport : Dostępne tylko dla zarejestrowanych użytkowników
otl: Dostępne tylko dla zarejestrowanych użytkowników

-- 25 sie 2011, 10:46 --

co dalej robić i co z tym microsoftem ??

[filutka78]

File move failed. C:\Windows\System32\cmd.exe scheduled to be moved on reboot.

Chyba System nie pozwolił na usunięcie tego pliku?
Sprawdź, czy masz ten plik w C:\Windows\System32
Nawet jeśli został usunięty, to System mógł samoczynnie natychmiast przywrócić jego kopię z folderu "dllcache"
W ostateczności będzie go można wyciągnąć z Kwarantanny C:\_OTL.

F.

[coccaina]

wszystko już działa ;p dziękuję
mam ten plik na swoim miejscu

[filutka78]

Kosmetyka:
Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"=-


Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.