Jak usunąć wirusa z Facebooka ?

[worek82]

Witam.
Wlasnie wykonalem skany OTL oto wyniki:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Prosze o pomoc bo nie wiem jak to przeksztalcic.

[djkamil09061991]

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
MOD - [2011-08-21 22:46:45 | 001,213,440 | -H-- | M] () -- C:\WINDOWS\update.tray-7-0\svchost.exe
MOD - [2011-08-21 22:46:45 | 001,213,440 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe
SRV - File not found [Auto | Stopped] -- -- (srvsysdriver32)
SRV - File not found [Auto | Stopped] -- -- (srviecheck)
SRV - File not found [Auto | Stopped] -- -- (srvbtcclient)
SRV - File not found [Auto | Stopped] -- -- (ddservice)
SRV - File not found [On_Demand | Stopped] -- -- (ACDaemon)
SRV - [2011-08-21 22:46:45 | 001,213,440 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O4 - HKLM..\Run: [1519658.exe] File not found
O4 - HKLM..\Run: [2114740.exe] File not found
O4 - HKLM..\Run: [48034201-loader2.exe] File not found
O4 - HKLM..\Run: [8083618.exe] File not found
O4 - HKLM..\Run: [9281939.exe] File not found
O4 - HKLM..\Run: [avast] File not found
O4 - HKLM..\Run: [l1rezerv.exe] File not found
O4 - HKLM..\Run: [sysdriver32.exe] File not found
O4 - HKLM..\Run: [sysdriver32_.exe] File not found
O4 - HKLM..\Run: [systemup] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O4 - HKU\.DEFAULT..\Run: [Nokia.PCSync] File not found
O4 - HKU\S-1-5-18..\Run: [Nokia.PCSync] File not found
O4 - HKU\S-1-5-21-1417001333-113007714-854245398-500..\Run: [ALLUpdate] File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-21 23:09:01 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-08-21 23:08:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-21 23:08:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-08-21 23:08:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-21 23:07:50 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-21 23:06:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\WinRAR
[2011-08-21 23:06:39 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-08-21 23:05:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-08-21 23:01:25 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-08-21 23:01:05 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-08-21 23:01:05 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-08-21 23:53:18 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-21 23:48:16 | 000,000,202 | ---- | M] () -- C:\WINDOWS\info1
[2011-08-21 23:08:50 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-08-21 23:08:50 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-08-21 23:08:50 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-08-21 23:08:47 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-08-21 23:08:01 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-08-21 23:06:41 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-08-21 22:46:45 | 001,213,440 | ---- | M] () -- C:\WINDOWS\services32.exe
[2011-08-21 23:06:43 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\Flash-Player.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
"C:\WINDOWS\update.tray-7-0-lnk\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-

:Commands
[emptytemp]
[resethosts]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

[worek82]

Oto raporty po restarcie:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0

:Files
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\Tasks\BMMTask.job

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. W aplecie panelu sterowania (Dodaj lub usuń programy) do deinstalacji śmiecie: BearShare MediaBar , My Global Search Bar , Winamp Toolbar

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

5. Tworzysz i wklejasz log z Dostępne tylko dla zarejestrowanych użytkowników. Jeżeli coś wykryje ignoruj a jedynie wklej loga.

6. Pokaż zawartość pliku boot.ini

Czyli końcowo pokazujesz:

• Raport z usuwania OTL (po restarcie),
• Raport z czyszczenia Ad-Remover'em,
• Nowe logi z OTL.
• Log z TDSSKiller'a

[worek82]

Smieci usunolem.
Raport z czyszczenia ad-remover'em: Dostępne tylko dla zarejestrowanych użytkowników
Logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSSKiller'a: Dostępne tylko dla zarejestrowanych użytkowników
Zarartosc pliq Boot.ini: Dostępne tylko dla zarejestrowanych użytkowników

-- 22 sie 2011, 19:55 --

Wieeelkieee dzieeeki!!!!!!!!!!!!!
Faceebook wrocił jeszcze tylko avasta zainstalowac

[XMan]

Faceebook wrocił jeszcze tylko avasta zainstalowac

Avast! Free Antivirus 6.0.1203
avast! Free Antivirus - zapoznanie i konfiguracja
Jeżeli korzystasz tylko z zapory systemowej to dodatkowo polecam do avasta WinPatrol 20.5.2011
oraz Malwarebytes Anti-Malware.
Obsługa programu Malwarebytes' Anti-Malware.

[worek82]

Ale ten wirus chyba jeszcze siedzi.
Zainstalowalem avasta i znwo przenioslo mnie w tryb awartjny, tam mialem przywracanie systemu do stanu z przed instalacji. Co mam teraz zrobić:(
Dodam ze wczesniej tez mialem go na kompie, i nie został chyba do końca usuniety. Avast Uniinstall utillity i co jeszcze radzicie?

[djarta]

Uruchom OTL i w białe okienko wklej te komendy:

netsvcs
msconfig
safebootminimal
safebootnetwork
%systemdrive%\*.*
/md5start
agp440.sys
atapi.sys
beep.sys
cdrom.sys
ndis.sys
winlogon.exe
eventlog.dll
/md5stop

Wciśnij przycisk Skanuj i pokaż powstały log.

[worek82]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O31 - SafeBoot: AlternateShell - services32.exe
SafeBootMin: wxpdrivers - Service

:Services
wxpdrivers

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Ale ten wirus chyba jeszcze siedzi.
Zainstalowalem avasta i znwo przenioslo mnie w tryb awartjny

To nie jest kwestia usunięcia (lub nie) infekcji, tylko kwestia usunięcia skutków tej infekcji.
Chodzi o to, że ta infekcja zmienia plik "boot.ini", dopisując w nim tekst Trybu Awaryjnego (dotyczy tylko Win XP, bo na Viście i Win 7 to działa jeszcze inaczej, choć skutek jest identyczny).

Edytuj plik C:\boot.ini wg instrukcji >Dostępne tylko dla zarejestrowanych użytkowników
Jeśli masz na komputerze tylko jeden System (XP), to pozostaw w nim tylko to (jeśli w Twoim "boot.ini będą inne numeracje dysku lub partycji, to niczego samodzielnie nie zmieniaj, tylko pokaż zawartość tego pliku!):

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff

lub (zależnie od tego, jak jest u Ciebie):

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

reszte , czyli te szkodliwe dopiski, usuń.

Najczęściej ten dopisek tak wygląda:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(1)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff /fastdetect /safeboot:minimal(alternateshell)

Pokaż treść tego pliku "boot.ini" zarówno przed usunięciem tego szkodliwego dopisku, jak i po usunięciu tego dopisku.t

F.

[worek82]

Otworzyłem plik boot.ini i po fastdetect nie mam na szczescie zadnego dopisku calosc wyglada tak:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff /fastdetect

[filutka78]

Czyli teoretycznie nie powinno być stałego startu w Trybie Awaryjnym.
Czy dalej taki start jest?

F.