"wanna laugh?" wirus z fb

Post23 sie 2011, 17:14

Witam, ja niestety też padłam ofiarą tego wirusa. Udało mi się zainstalować Malwarebytes Anti-Malware i przeprowadziłam skan pełny i szybki, odnalezione trojany usunęłam, ale chyba dalej jest z nimi jakiś problem bo mam całkowicie zablokowaną stronę facebooka, a nie wiem co jeszcze może być nie tak. Z tego co wyczytałam pomóc może OTL, ale nie potrafię samodzielnie napisać skryptów - czy mogę prosić o pomoc? Załączam log ze skanu OTLem wykonany po usunięciu trojanów:

OTL: Dostępne tylko dla zarejestrowanych użytkowników

Z góry bardzo dziękuję za pomoc!

Post23 sie 2011, 17:26

Uruchom OTL i w dolne białe pole wklej to:

Kod: Zaznacz cały

:OTL
O4:[b]64bit:[/b] - HKLM..\Run: [Setwallpaper]  File not found
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-21 22:42:01 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-15-0-lnk
[2011-08-21 22:42:01 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-15-0
[2011-08-21 22:37:12 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011-08-21 22:35:48 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-08-21 22:34:57 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-08-21 22:34:57 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-08-21 22:32:38 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-08-21 22:29:09 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011-08-21 22:27:54 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-08-21 22:27:53 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0-lnk
[2011-08-21 22:27:53 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0
[2011-08-23 16:52:20 | 000,202,984 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\tmvsthfud.bin
[2011-08-23 16:50:58 | 000,202,984 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\tmvsthfss.bin
[2011-08-22 22:17:39 | 000,000,734 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hîsts
[2011-08-22 16:23:25 | 000,000,201 | ---- | M] () -- C:\Windows\info1
[[2011-08-21 22:34:56 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-08-21 22:34:56 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-08-21 22:34:56 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-08-21 22:34:56 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-08-21 22:31:48 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-08-21 22:29:53 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post23 sie 2011, 17:47

Poniżej raport z usuwania i nowy log OTL. Interpretację zostawiam Tobie;) jednakże sprawdziłam stronę fb i nadal jest zablokowana.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post23 sie 2011, 18:02

może i mi ktoś pomoże?

Post23 sie 2011, 19:08

Wysyłam raz jeszcze raport z usuwania i logi OTL, tym razem powstał też plik extras więc na wszelki w dołączam:

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post23 sie 2011, 19:22

File ptyflash] not found.
File ptytemp] not found.
File sethosts] not found.

Tu masz wyjaśnienie, dlaczego nie możesz dalej wejść na FB - po prostu część Scriptu się nie wykonała, bo przy wklejaniu do OTL obcięło lewy dolny brzeg.
Powtórka:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [Setwallpaper] File not found
[2011-08-23 18:58:50 | 000,202,984 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\tmvsthfud.bin
[2011-08-23 18:58:49 | 000,202,984 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\tmvsthfss.bin

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post23 sie 2011, 19:52

Tak właśnie myślałam, chociaż przy kopiowaniu nie zauważyłam, że coś obcięło. Ale teraz już chyba wszystko gra, bardzo dziękuję!!!

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post23 sie 2011, 20:03

[2011-08-23 19:42:18 | 000,000,003 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\tmvsthfud.bin
[2011-08-23 19:42:17 | 000,000,003 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\tmvsthfss.bin

Nie wiem, co to jest, i nie da się tego usunąć.
Być może to nie są szkodliwe pliki.?

Do >Dostępne tylko dla zarejestrowanych użytkowników wklej:

:file
C:\Windows\SysNative\drivers\etc\tmvsthfss.bin
C:\Windows\SysNative\drivers\etc\tmvsthfud.bin

:regfind
tmvsthfss
tmvsthfud

Naciśnij Look i pokaż raport.

F.

Post23 sie 2011, 20:17

też nie wiem co to...
Dostępne tylko dla zarejestrowanych użytkowników

Post23 sie 2011, 20:20

Ściągnij -->Dostępne tylko dla zarejestrowanych użytkowników.
wklej do niego ten tekst:

Kod: Zaznacz cały

Files to delete:
C:\Windows\SysNative\drivers\etc\tmvsthfss.bin
C:\Windows\SysNative\drivers\etc\tmvsthfud.bin

Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.

F.

Post23 sie 2011, 20:39

wszystko zrobiłam, ale żadnego raportu nie ma. Jak próbuje otworzyć loga to też mam komunikat, że albo żadna akcja nie została przeprowadzona albo nie udało się nic zapisać.

Post23 sie 2011, 21:17

Dobra, zostawiamy to w spokoju, skoro Twój System nie pozwala na usuwanie takich nieznanych "rzeczy".

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

To wszystko.

F.

Post23 sie 2011, 21:20

dziękuję pięknie! pozdrawiam!