Wirus facebooka "hi wanna laugh"

[zadek121]

Jak wiele osób na forum mam wirusa facebooka poprzez pobranie niby "wtyczki"

Extras: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

C:\WINDOWS\csrss\csrss.exe

Sprawdź go na --> Dostępne tylko dla zarejestrowanych użytkowników albo na Dostępne tylko dla zarejestrowanych użytkowników albo na Dostępne tylko dla zarejestrowanych użytkowników

F.

[zadek121]

[ArcaVir]
Brak dostępnych wyników
[F-Secure Anti-Virus]
2010-06-30 Nic nie znaleziono
[Avast! antivirus]
2010-06-30 Nic nie znaleziono
[G DATA]
2010-06-30 Rootkit.31700
[Grisoft AVG Anti-Virus]
2010-06-30 Nic nie znaleziono
[Ikarus]
2010-06-30 Virus.Win32.Rootkit
[Avira AntiVir]
2010-06-30 Nic nie znaleziono
[Kaspersky Anti-Virus]
2010-06-30 Nic nie znaleziono
[Softwin BitDefender]
2010-06-30 Rootkit.31700
[ESET NOD32]
2010-06-30 Nic nie znaleziono
[ClamAV]
2010-06-30 Nic nie znaleziono
[Panda Antivirus]
2010-06-30 Nic nie znaleziono
[CPsecure]
2010-06-30 Nic nie znaleziono
[Quick Heal]
2010-06-30 Nic nie znaleziono
[Dr.Web]
2010-06-30 Nic nie znaleziono
[Sophos]
2010-06-30 Nic nie znaleziono
[Emsisoft Anti-Malware]
Brak dostępnych wyników
[VirusBlokAda VBA32]
2010-06-30 Nic nie znaleziono
[Frisk F-Prot Antivirus]
2009-12-22 Nic nie znaleziono
[VirusBuster]
2010-06-30 Rootkit.Agent.UKGO

takie coś mi wyszło na JOTTI

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-08-18 17:57:04 | 001,208,832 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe
SRV - File not found [Auto | Stopped] -- -- (srvsysdriver32)
SRV - File not found [Auto | Stopped] -- -- (srviecheck)
SRV - File not found [Auto | Stopped] -- -- (srvbtcclient)
SRV - File not found [Auto | Stopped] -- -- (ddservice)
SRV - [2011-08-18 17:57:04 | 001,208,832 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
IE - HKU\S-1-5-21-1960408961-1563985344-682003330-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2011-08-21 12:20:42 | 000,002,566 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\h783mik3.default\searchplugins\askcom.xml
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-1563985344-682003330-500\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-1563985344-682003330-500\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\update.1\svchost.exe ()
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Reg Error: Key error. (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-20 11:22:39 | 000,000,000 | -H-D | C] -- C:\windows\update.7.1
[2011-08-18 18:02:46 | 000,000,000 | ---D | C] -- C:\windows\ufa
[2011-08-18 18:02:46 | 000,000,000 | ---D | C] -- C:\windows\rpcminer
[2011-08-18 18:02:46 | 000,000,000 | ---D | C] -- C:\windows\phoenix
[2011-08-18 17:59:15 | 000,000,000 | -H-D | C] -- C:\windows\update.5.0
[2011-08-18 17:58:36 | 000,000,000 | -H-D | C] -- C:\windows\update.2
[2011-08-18 17:57:26 | 000,000,000 | -H-D | C] -- C:\windows\update.1
[2011-08-18 18:02:45 | 005,589,370 | ---- | C] () -- C:\windows\phoenix.rar
[2011-08-18 18:02:45 | 000,182,617 | ---- | C] () -- C:\windows\ufa.rar
[2011-08-18 18:02:44 | 001,075,284 | ---- | C] () -- C:\windows\rpcminer.rar
[2011-08-18 18:00:05 | 004,636,907 | ---- | C] () -- C:\windows\geoiplist
[2011-08-18 18:00:03 | 000,904,792 | ---- | C] () -- C:\windows\geoiplist.rar
[2011-08-18 18:00:03 | 000,246,272 | ---- | C] () -- C:\windows\unrar.exe
[2011-08-18 17:58:35 | 000,000,179 | ---- | C] () -- C:\windows\info1
[2011-08-18 17:58:14 | 000,000,000 | ---- | C] () -- C:\windows\loader2.exe_ok
[2011-08-18 17:57:26 | 001,208,832 | ---- | C] () -- C:\windows\services32.exe
[2009-05-31 12:28:32 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\.#

:Files
C:\FOUND.*

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\windows\csrss\csrss.exe"=-
"C:\windows\update.1\svchost.exe"=-
"C:\windows\update.2\svchost.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[zadek121]

wkleiłem to i dałem "wykonaj skrypt" i komp sie w momencie zrestartował :/

-- 25 sie 2011, 00:54 --

Mimo to dałem skan i taki otl wyszedł

OTL: Dostępne tylko dla zarejestrowanych użytkowników

[Fix00ser]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej zawartość skryptu

Kod: Zaznacz cały

:OTL
PRC - [2011-08-18 17:57:04 | 001,208,832 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe
PRC - [2011-08-18 17:57:04 | 001,208,832 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe
MOD - [2011-08-18 17:57:04 | 001,208,832 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe
SRV - [2011-08-18 17:57:04 | 001,208,832 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)

FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: zigboom@ymail.com:1.2.4
FF - prefs.js..extensions.enabledItems: {48e23fba-bb14-4745-b768-382150cd83fb}:1.0.1
FF - prefs.js..extensions.enabledItems: djziggy@gmail.com:1.2.4
FF - prefs.js..extensions.enabledItems: {beab8ae9-eb2d-4ded-3b29-d35f6b82bfa5}:1.0
FF - prefs.js..extensions.enabledItems: zigboom@hotmail.com:1.2.4
FF - prefs.js..extensions.enabledItems: {d122ad80-ff45-11dd-87af-0800200c9a66}:3.6.29.01.10
FF - prefs.js..extensions.enabledItems: {07b2a769-ed19-4483-87ce-c643914c9626}:1.6
 
FF - user.js..browser.search.openintab: false
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.

O3 - HKU\S-1-5-21-1960408961-1563985344-682003330-500\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-1563985344-682003330-500\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\update.1\svchost.exe ()
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\enhanced  keyboard driver.lnk = C:\Program Files\EnhanceKeyboard\kb_2k.exe ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - Reg Error: Key error. File not found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Value error. - Reg Error: Value error. File not found

[2011-08-22 11:40:34 | 000,000,000 | -HSD | C] -- C:\FOUND.106
[2011-08-21 23:06:50 | 000,000,000 | -HSD | C] -- C:\FOUND.105
[2011-08-21 22:29:06 | 000,000,000 | -HSD | C] -- C:\FOUND.104

[2011-08-20 11:37:03 | 000,000,000 | ---D | C] -- C:\Program Files\ATI
[2011-08-20 11:22:39 | 000,000,000 | -H-D | C] -- C:\windows\update.7.1
[2011-08-18 18:02:46 | 000,000,000 | ---D | C] -- C:\windows\ufa
[2011-08-18 18:02:46 | 000,000,000 | ---D | C] -- C:\windows\rpcminer
[2011-08-18 18:02:46 | 000,000,000 | ---D | C] -- C:\windows\phoenix
[2011-08-18 18:00:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\WinRAR
[2011-08-18 17:59:15 | 000,000,000 | -H-D | C] -- C:\windows\update.5.0
[2011-08-18 17:58:36 | 000,000,000 | -H-D | C] -- C:\windows\update.2
[2011-08-18 17:57:26 | 000,000,000 | -H-D | C] -- C:\windows\update.1
[2011-08-18 18:02:46 | 005,589,370 | ---- | M] () -- C:\windows\phoenix.rar
[2011-08-18 18:02:46 | 001,075,284 | ---- | M] () -- C:\windows\rpcminer.rar
[2011-08-18 18:02:46 | 000,246,272 | ---- | M] () -- C:\windows\unrar.exe
[2011-08-18 18:02:46 | 000,182,617 | ---- | M] () -- C:\windows\ufa.rar
[2011-08-18 18:02:12 | 000,904,792 | ---- | M] () -- C:\windows\geoiplist.rar
[2011-08-18 17:58:24 | 000,000,000 | ---- | M] () -- C:\windows\loader2.exe_ok
[2011-08-18 17:57:04 | 001,208,832 | ---- | M] () -- C:\windows\services32.exe
[2011-08-18 17:51:32 | 000,001,409 | ---- | M] () -- C:\windows\QTFont.for

:Commands
[CLEARALLRESTOREPOINTS]
[RESETHOSTS]
[emptytemp]


Następnie kliknij w <Wykonaj skrypt> i zatwierdź restart komputera,
i wklej ponownie nowe logi z OTL

[filutka78]

Nic się nie usunęło.
Spróbuj powtórzyć usuwanie.

EDIT:
Jeśli chcesz wykonać Script podany przez @Fix00ser, to usuń ze Scriptu przynajmniej tę linijkę:

[2011-08-18 18:00:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\WinRAR

WINRAR jest wykorzystywany przez infekcję, ale nie jest częścią infekcji, ani nie jest zarażony.
W tym Scripcie jest więcej "rzeczy", które nie powinny być usuwane, ale to już Twój wybór.

F.

[zadek121]

no i dalej sie restartuje ;/ wklejam całe i daje wykonaj skrypt i w momencie naciśnięcia przycisku jest restart

-- 25 sie 2011, 01:16 --

cały czas to samo a na pasku dolnym w otl pisze "KILLING PROCESS Input... (jakoś tak)"

[filutka78]

Ściągnij -->Dostępne tylko dla zarejestrowanych użytkowników.
wklej do niego ten tekst:

Kod: Zaznacz cały

Files to delete:
C:\WINDOWS\update.1\svchost.exe
C:\windows\phoenix.rar
C:\windows\ufa.rar
C:\windows\rpcminer.rar
C:\windows\geoiplist
C:\windows\geoiplist.rar
C:\windows\unrar.exe
C:\windows\info1
C:\windows\loader2.exe_ok
C:\windows\services32.exe

Folders to delete:
C:\WINDOWS\update.1
C:\windows\update.7.1
C:\windows\ufa
C:\windows\rpcminer
C:\windows\phoenix
C:\windows\update.5.0
C:\windows\update.2
C:\windows\update.1
C:\FOUND.*

Drivers to delete:
srvsysdriver32
srviecheck
srvbtcclient
ddservice
wxpdrivers

Registry keys to delete:
HKLM\\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\3CA2F312-6F6E-4B53-A66E-4E65E497C8C0

Registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | wxpdrv


Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Zrób to:
>>C:\WINDOWS\system32\drivers\etc\HOSTS >> otwórz jako Notatnik>>usuń wszystkie wpisy , zostaw tylko:
127.0.0.1 localhost
Daj nowe logi z OTL.

F.

[zadek121]

w tym avengerze sa jakieś znaczki tylko których sie nawet nie da skopiować :/

[filutka78]

wykonaj to z HOSTS i daj nowe logi - zobaczymy, czy coś się zmieniło.

F.

[zadek121]

extras: Dostępne tylko dla zarejestrowanych użytkowników
otl: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Jednak Avenger trochę usunął, więc może teraz się uda usuwanie przy pomocy OTL?
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKU\S-1-5-21-1960408961-1563985344-682003330-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2011-08-21 12:20:42 | 000,002,566 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\h783mik3.default\searchplugins\askcom.xml
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-1563985344-682003330-500\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-1563985344-682003330-500\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [wxpdrv] File not found
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Reg Error: Key error. (Reg Error: Key error.)
O31 - SafeBoot: AlternateShell - services32.exe
[2009-05-31 12:28:32 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\.#

:Files
C:\FOUND.*

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\windows\csrss\csrss.exe"=-
"C:\windows\update.1\svchost.exe"=-
"C:\windows\update.2\svchost.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.