kolejna ofiara wirusa z facebooka

[bombka87]

Dostępne tylko dla zarejestrowanych użytkowników -OTL
Dostępne tylko dla zarejestrowanych użytkowników - Extras

Proszę o Sprawdzenie, wykonałem skanowanie i zamieszczam powyżej utworzone pliki
z góry dzięki za pomoc

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-10-27 11:21:21 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
MOD - [2011-10-27 11:20:30 | 000,376,832 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
MOD - [2011-10-27 11:19:53 | 000,976,384 | ---- | M] () -- C:\WINDOWS\update.5.0\svchost.exe
MOD - [2011-10-27 11:13:48 | 000,380,416 | ---- | M] () -- C:\WINDOWS\systemup.exe
MOD - [2011-10-27 11:11:52 | 001,943,040 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
MOD - [2011-10-27 11:06:55 | 000,258,048 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011-10-27 11:23:09 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-10-27 11:23:09 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-10-27 11:23:08 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-10-27 11:21:25 | 000,232,960 | ---- | C] () -- C:\WINDOWS\l1rezerv.exe
[2011-10-27 11:13:56 | 000,380,416 | ---- | C] () -- C:\WINDOWS\systemup.exe
[2011-10-27 11:11:53 | 000,000,225 | ---- | C] () -- C:\WINDOWS\info1
[2011-10-27 11:10:56 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-10-27 11:10:55 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-10-27 11:10:55 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-10-27 11:07:35 | 000,258,048 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
[2011-10-27 11:07:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011-10-27 11:07:10 | 000,258,048 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe
[2011-10-27 12:24:59 | 000,000,225 | ---- | M] () -- C:\WINDOWS\info1
[2011-10-27 11:23:09 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-10-27 11:23:09 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-10-27 11:23:09 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-10-27 11:23:08 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-10-27 11:21:21 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
[2011-10-27 11:13:48 | 000,380,416 | ---- | M] () -- C:\WINDOWS\systemup.exe
[2011-10-27 11:10:55 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-10-27 11:07:26 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-10-27 11:06:55 | 000,258,048 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
[2011-10-27 11:06:55 | 000,258,048 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011-10-27 10:11:49 | 001,198,080 | ---- | M] (Cronosoft) -- C:\WINDOWS\services32.exe
[2011-10-27 14:37:58 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
2011-10-27 11:23:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-10-27 11:23:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-10-27 11:23:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-10-27 11:20:31 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-10-27 11:19:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-10-27 11:14:59 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.8.1
[2011-10-27 11:11:55 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-10-27 11:04:31 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
O31 - SafeBoot: AlternateShell - services32.exe
O4 - HKCU..\Run: [jspeq] C:\Documents and Settings\Murach\jspeq.exe ()
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\bsdtxmltbpi.dll ()
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [1248395.exe] C:\WINDOWS\TEMP\1248395.exe ()
O4 - HKLM..\Run: [3926112.exe] C:\WINDOWS\TEMP\3926112.exe ()
O4 - HKLM..\Run: [5637154.exe] C:\WINDOWS\TEMP\5637154.exe ()
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\BearShare Applications\MediaBar\Datamngr\datamngrUI.exe (MusicLab, LLC)
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe (Cronosoft)
O4 - HKCU..\Run: [] File not found
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC)
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\bsdtxmltbpi.dll ()
[2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
[2011-05-09 12:22:30 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\Murach\Dane aplikacji\Mozilla\Firefox\Profiles\s7ly9cct.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search"
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="
SRV - [2011-10-27 11:20:30 | 000,376,832 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-10-27 11:19:53 | 000,976,384 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-10-27 11:11:52 | 001,943,040 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-10-27 11:06:55 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-10-27 10:11:49 | 001,198,080 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
MOD - [2010-09-05 21:02:55 | 000,061,440 | RHS- | M] () -- C:\Documents and Settings\Murach\jspeq.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj >Dostępne tylko dla zarejestrowanych użytkowników i kliknij w nim Clean
Link zapasowy > Dostępne tylko dla zarejestrowanych użytkowników
Pokaż raport z niego.

F.

[bombka87]

niestety po restarcie komputer nie włącza się...

[filutka78]

Spróbuj włączyć w Trybie Awaryjnym (F8 przed startem Systemu).

F.

[bombka87]

ok mam już:
OTL
Dostępne tylko dla zarejestrowanych użytkowników
raport:
Dostępne tylko dla zarejestrowanych użytkowników

-- 27 paź 2011, 18:17 --

i raport z Ad
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"jspeq"=-


Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Napisz, jak teraz przedstawia się sytuacja.

F.

[bombka87]

ok zrobione. coś dalej?

[filutka78]

Windows XP Professional Edition Dodatek Service Pack 2

Masz dziurawy System, przydałoby się zainstalować ServicePack 3 (Dostępne tylko dla zarejestrowanych użytkowników), ale u Ciebie to nie jest taka oczywista sprawa, bo masz niezbyt wiele wolnej pamięci RAM (29,56%), i niezbyt wiele miejsca na dysku (16,75%), ale może warto?

Wracając do infekcji:
Możesz jeszcze użyć > MBAM
Na końcu kliknij na Usuń zaznaczone.

F.

[bombka87]

komputer ok, włącza się normalnie. Nie działa mi jedynie internet...

[filutka78]

>Dostępne tylko dla zarejestrowanych użytkowników
Spróbuj postępować wg sposobu opisanego na dole tego linku.

F.

[bombka87]

ok wszystko działa:) dzięki przeogromne:)

-- 27 paź 2011, 18:56 --

to jest już stary komp i nie wiem czy warto jeszcze coś z nim robić;) potrzeba było go uruchomić ponownie bo dużo na nim potrzebnych plików, które muszę teraz pokopiować na ten komp.