Wirus Facebook HI wanna laugh

[bender23]

Witam, ja również padłem ofiarą tego właśnie wirusa
Proszę osoby bardziej kompetentne ode mnie (jest Was wielu ) o pomoc.
Z góry dzięki.
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

1) Ściągnij >Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

2) Użyj USBFix, >http://www.hotfix.pl/uzytkowanie-programu-usbfix-a310.htm
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.

3) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-08-21 22:52:21 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
MOD - [2011-08-21 17:12:03 | 001,216,000 | -H-- | M] () -- C:\Windows\update.tray-9-0\svchost.exe
SRV - File not found [Auto | Running] -- -- (Bonjour Service)
SRV - [2011-08-21 22:47:02 | 000,355,840 | ---- | M] () [Auto | Running] -- C:\Windows\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-08-21 17:32:16 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-08-21 17:31:44 | 000,634,880 | ---- | M] () [Auto | Running] -- C:\Windows\update.2\svchost.exe -- (srviecheck)
SRV - [2011-08-21 17:29:09 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-08-21 17:12:03 | 001,216,000 | -H-- | M] () [Auto | Running] -- C:\Windows\update.1\svchost.exe -- (wxpdrivers)
SRV - [2011-03-03 21:21:33 | 000,107,136 | ---- | M] (TMRG, Inc.) [Auto | Running] -- C:\Program Files\RelevantKnowledge\rlservice.exe -- (RelevantKnowledge)
IE - HKU\S-1-5-21-2649169327-3253725906-3772058910-1000\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - File not found
O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - File not found
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - File not found
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - File not found
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - File not found
O4 - HKLM..\Run: [1932006.exe] C:\Windows\Temp\1932006.exe ()
O4 - HKLM..\Run: [364492.exe] C:\Windows\Temp\364492.exe ()
O4 - HKLM..\Run: [9956810.exe] C:\Users\Admin\AppData\Local\Temp\9956810.exe ()
O4 - HKLM..\Run: [eRecoveryService] File not found
O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-9-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_17)
O31 - SafeBoot: AlternateShell - services32.exe
O33 - MountPoints2\{2b2bf6a7-2d25-11e0-99a0-001d72f5a205}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\WinJoke.exe
O33 - MountPoints2\{9c411cce-5a80-11de-948f-0019477e3fab}\Shell\AutoRun\command - "" = F:\s1.exe
O33 - MountPoints2\{9c411cce-5a80-11de-948f-0019477e3fab}\Shell\open\Command - "" = F:\s1.exe
O33 - MountPoints2\{9cf86317-fd12-11de-bb84-001e692db0f7}\Shell\AutoRun\command - "" = F:\q93fi6kf.exe
O33 - MountPoints2\{9cf86317-fd12-11de-bb84-001e692db0f7}\Shell\open\Command - "" = F:\q93fi6kf.exe
[2011-08-22 12:23:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
[2011-08-21 17:32:54 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-08-21 17:32:54 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011-08-21 17:32:54 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-08-21 17:32:17 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011-08-21 17:31:45 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-08-21 17:31:13 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-08-21 17:28:26 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011-08-21 17:26:57 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-08-21 17:24:45 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-9-0-lnk
[2011-08-21 17:24:45 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-9-0
[2011-08-22 12:25:32 | 000,000,201 | ---- | M] () -- C:\Windows\info1
[2011-08-22 12:25:31 | 000,139,776 | ---- | M] () -- C:\Windows\systemup.exe
[2011-08-22 12:21:25 | 000,000,734 | ---- | M] () -- C:\Windows\System32\drivers\etc\hîsts
[2011-08-21 22:52:21 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
[2011-08-21 22:04:21 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-08-21 22:04:21 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-08-21 17:32:53 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-08-21 17:32:53 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-08-21 17:32:53 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-08-21 17:29:43 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
[2011-08-21 17:29:09 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32_.exe
[2011-08-21 17:29:09 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
[2011-08-21 17:22:30 | 000,008,212 | ---- | M] () -- C:\Windows\mfebcdata
[2011-08-21 17:12:03 | 001,216,000 | ---- | M] () -- C:\Windows\services32.exe
[2011-08-22 12:25:40 | 000,139,776 | ---- | C] () -- C:\Windows\systemup.exe
[2011-08-21 22:52:26 | 000,232,960 | ---- | C] () -- C:\Windows\l1rezerv.exe
[2011-08-21 22:04:22 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist
[2011-08-21 22:04:21 | 000,904,792 | ---- | C] () -- C:\Windows\geoiplist.rar
[2011-08-21 17:32:53 | 005,589,370 | ---- | C] () -- C:\Windows\phoenix.rar
[2011-08-21 17:32:53 | 001,075,284 | ---- | C] () -- C:\Windows\rpcminer.rar
[2011-08-21 17:32:53 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe
[2011-08-21 17:32:53 | 000,182,617 | ---- | C] () -- C:\Windows\ufa.rar
[2011-08-21 17:31:13 | 000,000,201 | ---- | C] () -- C:\Windows\info1
[2011-08-21 17:29:43 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok
[2011-08-21 17:29:41 | 000,258,048 | ---- | C] () -- C:\Windows\sysdriver32_.exe
[2011-08-21 17:29:27 | 000,258,048 | ---- | C] () -- C:\Windows\sysdriver32.exe
[2011-08-21 17:12:24 | 001,216,000 | ---- | C] () -- C:\Windows\services32.exe
[2009-05-15 14:05:09 | 000,000,000 | -HSD | M] -- C:\Users\Admin\AppData\Roaming\.#

:Files
C:\Windows\ufa

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

4) Zainstaluj bezpieczniejszą wersję Javy >Dostępne tylko dla zarejestrowanych użytkowników
Starą wersję odinstaluj.

5) Daj nowe logi z OTL.

F.

[bender23]

Ad-remove: Dostępne tylko dla zarejestrowanych użytkowników
OTL po Scripcie: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

nic nie pomogło narazie:(

[filutka78]

nic nie pomogło narazie:(

Ależ pomogło, bo infekcji w nowych logach już nie ma (problemy pozawirusowe to nie ten dział Forum).
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
[2011-08-22 18:49:42 | 000,000,000 | ---D | C] -- C:\Program Files\relevantknowledge(292)

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.stronastartowa.com/"
[HKEY_USERS\S-1-5-21-2649169327-3253725906-3772058910-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[bender23]

Dzięki za szybką odpowiedź:) dodam tylko, że po kazdym restarcie systemu nie mogę sie połaczyć z internetem i za każdym razem muszę przywracać system.

[filutka78]

Przywracanie Systemu grozi przywróceniem infekcji.
Spróbuj naprawić połączenie internetowe wg opisu umieszczonego na dole tej strony >Dostępne tylko dla zarejestrowanych użytkowników

F.

[bender23]

OTL: Dostępne tylko dla zarejestrowanych użytkowników

-- 22 sie 2011, 21:42 --

raport po restarcie nie wyskoczył

[filutka78]

Na szczęście w logu nie widać infekcji z Facebooka - choć widać infekcję pendrivową:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O33 - MountPoints2\{9c411cce-5a80-11de-948f-0019477e3fab}\Shell\AutoRun\command - "" = F:\s1.exe
O33 - MountPoints2\{9c411cce-5a80-11de-948f-0019477e3fab}\Shell\open\Command - "" = F:\s1.exe
O33 - MountPoints2\{9cf86317-fd12-11de-bb84-001e692db0f7}\Shell\AutoRun\command - "" = F:\q93fi6kf.exe
O33 - MountPoints2\{9cf86317-fd12-11de-bb84-001e692db0f7}\Shell\open\Command - "" = F:\q93fi6kf.exe
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - File not found
O4 - HKLM..\Run: [eRecoveryService] File not found
SRV - [2011-03-03 21:21:33 | 000,107,136 | ---- | M] (TMRG, Inc.) [Auto | Running] -- C:\Program Files\RelevantKnowledge\rlservice.exe -- (RelevantKnowledge)

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[bender23]

Niestety wciaz mam problem z polaczeniem z internetem. Po starcie systemu wyskakuje komunikat o braku dostepu domuslug windows. System nie znajduje nawet sieci, ktora moglby naprawic.

-- 22 sie 2011, 22:20 --

raport: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - File not found

Patrząc na ten powyższy wpis można podejrzewać, że został uszkodzony łańcuch Winsock.
A może karta sieciowa potrzebuje zresetowania?
A le to tylko takie moje domysły, bo na połączeniach internetowych się nie znam.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

[bender23]

log OTL: Dostępne tylko dla zarejestrowanych użytkowników
log Extras: Dostępne tylko dla zarejestrowanych użytkowników

co jeszcze moge zrobić, żeby dowiedzieć się, co jest nie tak z tymi usługami windows? dodam jeszcze, że co jakiś czas wyskakuje czarne na ułamek sekundy.

Wielkie dzięki za pomoc:) postawiłbym duże piwo jakbym mógł

-- 22 sie 2011, 22:46 --

to okno to chyba relevantknowledge

[filutka78]

Po każdym "Przywracaniu " wraca do Ciebie także infekcja pendrivowa.

Kiedyś to zrobisz:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - [2011-03-03 21:21:33 | 000,107,136 | ---- | M] (TMRG, Inc.) [Auto | Running] -- C:\Program Files\RelevantKnowledge\rlservice.exe -- (RelevantKnowledge)
O33 - MountPoints2\{2b2bf6a7-2d25-11e0-99a0-001d72f5a205}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\WinJoke.exe
O33 - MountPoints2\{9c411cce-5a80-11de-948f-0019477e3fab}\Shell\AutoRun\command - "" = F:\s1.exe
O33 - MountPoints2\{9c411cce-5a80-11de-948f-0019477e3fab}\Shell\open\Command - "" = F:\s1.exe
O33 - MountPoints2\{9cf86317-fd12-11de-bb84-001e692db0f7}\Shell\AutoRun\command - "" = F:\q93fi6kf.exe
O33 - MountPoints2\{9cf86317-fd12-11de-bb84-001e692db0f7}\Shell\open\Command - "" = F:\q93fi6kf.exe


:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script.

SRV - File not found [Auto | Running] -- -- (Bonjour Service)

Jeśli masz uszkodzony łańcuch Winsock, to prawdopodobnie przez nieumiejętne usunięcie "Bonjour".
Ja nie zajmuję się takimi naprawami, ale wiem, gdzie @Picasso umie takie problemy załatwiać: >Dostępne tylko dla zarejestrowanych użytkowników
To tylko tak na marginesie.

F.

[djkamil09061991]

Jeśli masz uszkodzony łańcuch Winsock

Sprawdz program winsock repair:
Dostępne tylko dla zarejestrowanych użytkowników
uruchamiasz i klikasz repair winsock

[bender23]

Wygląda na to, że wszystko śmiga:D wielki dzięki djkamil09061991 a przede wszystkim dzięki filutka78 pozdrawiam!