wirus hi facebook

Post11 gru 2011, 20:32

witam mam problem zlapalam wirusa hi z facebooka i teraz nie dziala mi ta strona i nie wiem jak pozbyc sie wirusa czytalam cos o wykonaniu loga OTL wiec jakby ktos moglby mi to przyblizyc i pomoc byalabym wdzieczna ogolnie to sie nie znam na tym ale mam nadzieje ze z wasza pomoca mi sie to uda z gory dziekuje.

Strona WWW · Post11 gru 2011, 20:40

flooweer pisze:czytalam cos o wykonaniu loga OTL wiec jakby ktos moglby mi to przyblizyc i pomoc byalabym wdzieczna

Daj loga według tej instrukcji:
http://www.hotfix.pl/obsluga-programu-otl-a143.htm

Post12 gru 2011, 19:42

OTL
Dostępne tylko dla zarejestrowanych użytkowników

Post12 gru 2011, 20:06

Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługi -> Acer Update i Windows Defender.

Następnie odinstaluj -> Babylon Toolbar, Conduit Engine, Softonic-Polska Toolbar i Bing Bar (chyba, że używasz). Ponadto popraw deinstalację McAfee za pomocą tego -> Dostępne tylko dla zarejestrowanych użytkowników.

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- -- (MSK80Service)
SRV - File not found [Unknown | Stopped] -- -- (mfevtp)
SRV - File not found [Auto | Stopped] -- -- (mfefire)
SRV - File not found [Unknown | Stopped] -- -- (McShield)
SRV - File not found [Auto | Stopped] -- -- (McProxy)
SRV - File not found [Disabled | Stopped] -- -- (McOobeSv)
SRV - File not found [On_Demand | Stopped] -- -- (McODS)
SRV - File not found [Auto | Stopped] -- -- (McNASvc)
SRV - File not found [Auto | Stopped] -- -- (McNaiAnn)
SRV - File not found [Auto | Stopped] -- -- (mcmscsvc)
SRV - File not found [Auto | Stopped] -- -- (McMPFSvc)
SRV - File not found [Auto | Stopped] -- -- (McAfee SiteAdvisor Service)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3328877879-3482979902-3307199470-1000\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - SOFTWARE\Classes\CLSID\{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064}\InprocServer32 File not found
IE - HKU\S-1-5-21-3328877879-3482979902-3307199470-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{B7082FAA-CB62-4872-9106-E42DD88EDE45}: C:\Program Files\McAfee\SiteAdvisor
O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll File not found
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20110706192243.dll File not found
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll File not found
O2 - BHO: (no name) - {F385C231-605B-4d8f-ACA9-DBFF765BBE17} - No CLSID value found.
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll File not found
O8 - Extra context menu item: &Blokuj ten obraz (ABP) - C:\Program Files\Adblock Pro\blockimg.html File not found
O9 - Extra Button: Adblock Pro Preferences - {E7FD3540-AB30-40f1-91E7-101F733C1FD5} - C:\Program Files\Adblock Pro\AdblockPro.dll File not found
O9 - Extra 'Tools' menuitem : Adblock Pro Preferences - {E7FD3540-AB30-40f1-91E7-101F733C1FD5} - C:\Program Files\Adblock Pro\AdblockPro.dll File not found
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników ... s-i586.cab (Java Plug-in 1.4.1)
O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll File not found
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll File not found
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:9B750A13
@Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:C46995DA
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:798A3728

:Services
MSK80Service
mfevtp
mfefire
McShield
McProxy
McOobeSv
McODS
McNASvc
McNaiAnn
mcmscsvc
McMPFSvc
McAfee SiteAdvisor Service

:Files
C:\Program Files\Google\Update
C:\Program Files\McAfee
C:\Program Files\Common Files\McAfee
C:\Program Files\BabylonToolbar
C:\Windows\ufa
C:\Windows\phoenix
C:\$RECYCLE.BIN
C:\Program Files\Conduit
C:\Program Files\ConduitEngine
C:\Program Files\Softonic-Polska
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\System32\drivers\etc\hîsts
C:\Windows\info1
C:\Windows\phoenix.rar
C:\Windows\rpcminer.rar
C:\Windows\unrar.exe
C:\Windows\ufa.rar
C:\Windows\geoiplist.rar
C:\Windows\loader2.exe_ok
C:\Windows\geoiplist
C:\Windows\System32\ieuinit.inf

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AndroidManager"=-
"EgisTecPMMUpdate"=-
"EgisUpdate"=-
"iPatchData"=-
"iSyncData"=-
"LManager"=-
"Norton Online Backup"=-
"SuiteTray"=-
[HKEY_USERS\S-1-5-21-3328877879-3482979902-3307199470-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"AROReminder"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL, wykonane dokładnie (brak tym razem logu Extras.txt) zgodnie z instrukcją -> http://www.hotfix.pl/obsluga-programu-otl-a143.htm.

Post13 gru 2011, 18:09

wszystko ladnie pieknie do momentu az zakonczyl sie skrypt i program otl nie odpowiada.. zamklam go i probowalam wykonac kolejne skanowanie i to samo.. Otl nie odpowiada.. moze jakis innym programem bym sprobowala jakbys mogl podac linka wtedy jeszcze raz wykonalabym skrypt i nowy skan.

-- 13 gru 2011, 19:06 --

moze byc hijack this?

-- 13 gru 2011, 19:09 --

Dostępne tylko dla zarejestrowanych użytkowników

Post13 gru 2011, 18:35

HijackThis się obecnie do niczego nie nadaje. Spróbuj wykonać skrypt ponownie w trybie awaryjnym. Jeśli znowu ci się zatnie podaj nowe logi z OTL (podaj je również, jeśli wszystko pójdzie korzystnie).

Post13 gru 2011, 19:15

ok tryb awaryjny pomgl;) oto logi:
OTL : Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post13 gru 2011, 20:04

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O18 - Protocol\Handler\dssrequest - No CLSID value found
O18 - Protocol\Handler\sacore - No CLSID value found
O8 - Extra context menu item: &Blokuj ten obraz (ABP) - C:\Program Files\Adblock Pro\blockimg.html File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
O2 - BHO: (no name) - {F385C231-605B-4d8f-ACA9-DBFF765BBE17} - No CLSID value found.
O4 - HKU\S-1-5-21-3328877879-3482979902-3307199470-1000..\Run: [AROReminder] C:\Program Files\ARO 2011\ARO.exe -rem File not found

:Files
C:\Users\viola\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda
C:\Windows\ufa
C:\Windows\phoenix
C:\$RECYCLE.BIN
C:\Users\viola\AppData\Local\Babylon
C:\Users\viola\AppData\Roaming\Babylon
C:\Windows\System32\drivers\etc\hîsts
C:\Windows\update.*
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

Post13 gru 2011, 20:51

OTL: Dostępne tylko dla zarejestrowanych użytkowników
ad-remover: Dostępne tylko dla zarejestrowanych użytkowników

Post13 gru 2011, 21:02

Teraz wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługę -> Windows Defender.

Następnie odinstaluj -> Ad-Remover i HijackThis.

Następnie w trybie awaryjnym uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3328877879-3482979902-3307199470-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
O2 - BHO: (no name) - {F385C231-605B-4d8f-ACA9-DBFF765BBE17} - No CLSID value found.
O4 - HKU\S-1-5-21-3328877879-3482979902-3307199470-1000..\Run: [AROReminder] C:\Program Files\ARO 2011\ARO.exe -rem File not found
O8 - Extra context menu item: &Blokuj ten obraz (ABP) - C:\Program Files\Adblock Pro\blockimg.html File not found
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.4.1)
O18 - Protocol\Handler\dssrequest - No CLSID value found
O18 - Protocol\Handler\sacore - No CLSID value found
O20 - HKLM Winlogon: Shell - (Explorer.exe) -Explorer.exe (OldTimer Tools)

:Files
C:\Program Files\Google\Update
C:\Program Files\Ad-Remover
C:\Program Files\hijack
C:\Windows\ufa
C:\Windows\phoenix
C:\$RECYCLE.BIN
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\System32\drivers\etc\hîsts

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AndroidManager"=-
"EgisTecPMMUpdate"=-
"EgisUpdate"=-
"iPatchData"=-
"iSyncData"=-
"LManager"=-
"Norton Online Backup"=-
"SuiteTray"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL, wykonane dokładnie (brak tym razem logu Extras.txt) zgodnie z instrukcją -> http://www.hotfix.pl/obsluga-programu-otl-a143.htm.

Post13 gru 2011, 21:38

log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
nowy log OTL: Dostępne tylko dla zarejestrowanych użytkowników
niestety extras.txt nie zapisal sie nie wiem dlaczego po raz kolejny.. zawsze ten 1 log OTL sie zapisuje.

Post14 gru 2011, 18:59

Nie zaznaczasz filtrowania przy rejestrze skanie dodatkowym. Ponadto źle wykonałeś skrypt (skopiuj od

rocesses do [emptytemp] i naciśnij wykonaj skrypt). Wykonaj go ponownie, a następnie podaj logi z OTL (oba).

Post14 gru 2011, 23:19

log z usuwania : Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post15 gru 2011, 17:07

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O20 - HKLM Winlogon: Shell - (explorer.exe) -explorer.exe (OldTimer Tools)

:Services
gupdatem
gupdate

:Files
C:\$RECYCLE.BIN

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Windows\update.tray-9-0-lnk\svchost.exe"=-
"C:\Windows\update.1\svchost.exe"=-
"C:\Windows\update.2\svchost.exe"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. W OTL -> Sprzątanie.

Odinstaluj -> Adblock Pro x64 3.0.
Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję Java`y -> Java(TM) 6 Update 27 i Java 2 Runtime Environment, SE v1.4.1 i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.

Post15 gru 2011, 19:28

log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
zaraz biore sie za odinstalowania .

-- 15 gru 2011, 20:28 --

ok, wszystko zrobilam jak napisales. Przeciscilam dysk i zrobilam rejestr Cleaner'em ale nic nie wykazalo dopiero anti-malware wykazal 1 zainfekowane,ktore usunelam. oto log: Dostępne tylko dla zarejestrowanych użytkowników