wirs z fb usuwanie

Post02 lis 2011, 10:16

oto moje dane. z gory dzieki za pomoc
OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Extras:
Dostępne tylko dla zarejestrowanych użytkowników

Post02 lis 2011, 10:24

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O3 - HKLM\..\Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {63AB4C54-3310-44c9-85D8-AA92C2263D58} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKCU..\Run: [] File not found
O4 - Startup: C:\Documents and Settings\Mateo\Menu Start\Programy\Autostart\jvfhjelq.exe ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_17)
O31 - SafeBoot: AlternateShell - services32.exe
[2011-10-28 22:11:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-10-28 22:11:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-10-28 22:09:13 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-10-27 18:22:58 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-10-27 18:21:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-10-27 18:19:55 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-10-27 18:19:47 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0-lnk
[2011-10-27 18:19:47 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0
[2011-10-28 22:11:08 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-10-28 22:11:07 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-10-28 22:11:05 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-10-27 18:22:58 | 000,000,090 | ---- | C] () -- C:\WINDOWS\info1
[2011-10-27 18:22:56 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-10-27 18:22:55 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-10-27 18:22:55 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-10-27 18:22:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

2) Zainstaluj bezpieczniejszą wersję Javy >Dostępne tylko dla zarejestrowanych użytkowników

F.

Post02 lis 2011, 17:16

raport z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników
OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Post02 lis 2011, 17:49

Uruchom OTL i w dolne białe pole wklej to:

Kod: Zaznacz cały

:OTL
O20 - HKLM Winlogon: UserInit - (@ť"ž~Ď®Z,C:\Program Files\jDCVHblg\jvfhjelq.exe,) - File not found
[2011-11-02 18:04:47 | 000,076,148 | --S- | C] () -- C:\Documents and Settings\Mateo\Menu Start\Programy\Autostart\jvfhjelq.exe
[2011-10-28 21:45:05 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

:Files 
C:\Program Files\jDCVHblg

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj > Dostępne tylko dla zarejestrowanych użytkowników
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

F.

Post02 lis 2011, 18:53

wiec tak :
raport:
Dostępne tylko dla zarejestrowanych użytkowników
OTL:
Dostępne tylko dla zarejestrowanych użytkowników
MBAM:
Dostępne tylko dla zarejestrowanych użytkowników

Post02 lis 2011, 19:48

C:\Program Files\jDCVHblg

Sprawdź, czy ten folder jest. W logu OTL jest widoczny, ale potem MBAM go usuwał.
Problem w tym, że przed MBAM usuwał go także Script OTL - więc infekcja prawdopodobnie się odradza od nowa.
Jeśli dalej to jest, to zrobisz to:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O20 - HKLM Winlogon: UserInit - (C:\Program Files\jDCVHblg\jvfhjelq.exe) -C:\Program Files\jDCVHblg\jvfhjelq.exe ()
[2011-11-13 20:15:39 | 000,000,000 | ---D | C] -- C:\Program Files\jDCVHblg

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post02 lis 2011, 23:20

Zrobilem tak jak mowiles. problem sie powtarza. po wklejeniu sktyptu
OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Post03 lis 2011, 00:11

problem sie powtarza

Ale w nowym logu ja tego nie widzę. Czy teraz to widzisz?

.