Wirus Facebook, ufa.exe obciąża procesor 100%

Post29 paź 2011, 17:03

Witam, na facebooku kolega wyslal mi jakis link i zaczely sie problemy, komputer sam sie resetuje i odpala tryb awaryjny, w procesach zauwazylem ufa.exe ktory powodowal 100% uzycia procesora, teraz ten proces znikl, ale komp dalej "szaleje". Prosze o pomoc.

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post29 paź 2011, 17:29

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - File not found [Auto | Stopped] -- -- (sufpvdl)
SRV - [2011-10-29 11:08:42 | 001,201,152 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
O2 - BHO: (no name) - {2353B454-FB73-4D1C-ACBF-59D08EA51146} - No CLSID value found.
O2 - BHO: (Reg Error: Value error.) - {62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A} - Reg Error: Value error. File not found
O2 - BHO: (no name) - {F1B5C8E0-174E-4D43-8AD0-94843CE68304} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [9140475.exe] "C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\9140475.exe" File not found
O4 - HKLM..\Run: [9402616.exe] "C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\9402616.exe" File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-2-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] C:\WINDOWS\update.tray-3-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe (Cronosoft)
O4 - HKU\S-1-5-21-725345543-1214440339-2146968213-500..\Run: [svchost] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\svchost.exe File not found
O20 - Winlogon\Notify\yayywVNd: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O28 - HKLM ShellExecuteHooks: {62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A} - Reg Error: Value error. File not found
O30 - LSA: Authentication Packages - (C:\windows\system32\yayyARIb) - File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011-10-29 11:54:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-10-29 11:52:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0-lnk
[2011-10-29 11:52:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0
[2011-10-29 11:46:23 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-3-0-lnk
[2011-10-29 11:46:23 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-3-0
[2011-10-29 11:33:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-10-29 11:33:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-10-29 11:33:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-10-29 11:13:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-10-29 11:11:20 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-10-29 11:08:42 | 001,201,152 | ---- | M] (Cronosoft) -- C:\WINDOWS\services32.exe
[2011-10-29 11:33:34 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-10-29 11:33:33 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-10-29 11:12:41 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-10-29 11:12:40 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-10-29 11:12:40 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-10-29 11:11:20 | 000,000,089 | ---- | C] () -- C:\WINDOWS\info1
[2011-10-29 11:09:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2008-08-01 08:54:44 | 000,000,901 | ---- | C] () -- C:\WINDOWS\System32\kjohylnp.dll
[2008-07-21 07:50:00 | 000,000,903 | ---- | C] () -- C:\WINDOWS\System32\rwkbmlvg.dll
[2008-07-19 07:04:38 | 000,000,903 | ---- | C] () -- C:\WINDOWS\System32\quuvftko.dll
[2008-07-18 06:20:58 | 000,000,903 | ---- | C] () -- C:\WINDOWS\System32\gohujitl.dll
[2008-07-17 06:16:44 | 000,000,903 | ---- | C] () -- C:\WINDOWS\System32\jxhlymey.dll
[2008-07-16 07:18:20 | 000,000,903 | ---- | C] () -- C:\WINDOWS\System32\fuurfwns.dll
[2011-10-29 16:30:17 | 000,000,256 | -H-- | M] () -- C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2011-10-29 16:44:00 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj MBAM > http://www.hotfix.pl/obsluga-programu-malwarebytes-anti-malware-a55.htm
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

F.

Post29 paź 2011, 19:05

Wiec tak, po kliknieciu Wykonaj skrypt i potwierdzeniu komunikatu o restarcie kompa, system przeszedl w stan wylaczania (zniknal pulpit) i sie niestety zwiesil, musialem go zresetowac recznie. Po starcie pojawil sie ten raport : Dostępne tylko dla zarejestrowanych użytkowników

Nowy log z OTL : Dostępne tylko dla zarejestrowanych użytkowników
oraz log z MBAM : Dostępne tylko dla zarejestrowanych użytkowników usunalem wszystkie zaznaczone (54 pozycje)

Post29 paź 2011, 19:24

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2011-10-29 12:09:02 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post29 paź 2011, 19:39

Nowy log z OTL : Dostępne tylko dla zarejestrowanych użytkowników
Po wykonaniu skryptu oraz zrestartowaniu systemu nie pojawil sie raport nie wiem czemu..

Post29 paź 2011, 20:22

Uruchom OTL i w dolne białe pole wklej to:

Kod: Zaznacz cały

:OTL
[2011-10-29 11:09:12 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post29 paź 2011, 20:54

Raport : Dostępne tylko dla zarejestrowanych użytkowników
Nowy log OTL : Dostępne tylko dla zarejestrowanych użytkowników

Post29 paź 2011, 21:05

Jest OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.
(W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.)
Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

F.

Post30 paź 2011, 12:31

Ok zrobione, dziekuje bardzo za pomoc