Wirus HI

[sarumani]

Witam, proszę o pomoc z wirusem Hi - Wanna Laugh? na którego złapałem się na portalu społecznościowym Facebook.com


OTL.txt Dostępne tylko dla zarejestrowanych użytkowników
Extras,txt Dostępne tylko dla zarejestrowanych użytkowników
OTL po restarcie Dostępne tylko dla zarejestrowanych użytkowników
AD-R scan Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Użyj USBFix, >http://www.hotfix.pl/uzytkowanie-programu-usbfix-a310.htm
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.

[2011-08-16 22:25:08 | 001,770,088 | ---- | C] () -- C:\WINDOWS\KURKA-10D25F7B42011-08-16---22-25-08.gif
[2011-08-16 22:24:08 | 002,383,239 | ---- | C] () -- C:\WINDOWS\KURKA-10D25F7B42011-08-16---22-24-08.gif
[2011-08-16 22:23:08 | 002,161,640 | ---- | C] () -- C:\WINDOWS\KURKA-10D25F7B42011-08-16---22-23-08.gif
[2011-08-16 22:22:08 | 001,738,653 | ---- | C] () -- C:\WINDOWS\KURKA-10D25F7B42011-08-16---22-22-08.gif
[2011-08-16 22:21:08 | 002,603,822 | ---- | C] () -- C:\WINDOWS\KURKA-10D25F7B42011-08-16---22-21-08.gif

W folderze Systemowym WINDOWS masz bardzo dużo obrazków. Ja daję je do usuwania, bo pojawiły się dokładnie o tej samej porze, co infekcja. Jesli to jednak Ty je tam wstawiłeś, to trzeba by było zmienić Script.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-08-22 02:41:45 | 000,035,346 | ---- | M] () -- C:\WINDOWS\system32\temp1.exe
MOD - [2011-08-16 22:03:52 | 000,008,192 | ---- | M] () -- C:\WINDOWS\system32\28463\HWPW.006
MOD - [2011-08-16 22:03:52 | 000,005,632 | ---- | M] () -- C:\WINDOWS\system32\28463\HWPW.007
MOD - [2011-08-03 15:36:30 | 003,542,616 | ---- | M] () -- c:\Program Files\Common Files\Akamai\netsession_win_2da1ebd.dll
SRV - File not found [Auto | Stopped] -- -- (wxpdrivers)
SRV - File not found [Auto | Stopped] -- -- (srvsysdriver32)
SRV - File not found [Auto | Stopped] -- -- (srviecheck)
SRV - File not found [Auto | Stopped] -- -- (srvbtcclient)
SRV - File not found [Auto | Stopped] -- -- (ddservice)
SRV - [2011-08-03 15:36:30 | 003,542,616 | ---- | M] () [Auto | Running] -- c:\Program Files\Common Files\Akamai\netsession_win_2da1ebd.dll -- (Akamai)
O4 - HKLM..\Run: [2698786.exe] File not found
O4 - HKLM..\Run: [3227128.exe] File not found
O4 - HKLM..\Run: [4109710.exe] File not found
O4 - HKLM..\Run: [4910960.exe] File not found
O4 - HKLM..\Run: [7487401.exe] File not found
O4 - HKLM..\Run: [90064209-loader2.exe] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbarsrv.exe (Babylon Ltd.)
O4 - HKLM..\Run: [HWPW Agent] C:\WINDOWS\system32\28463\HWPW.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] File not found
O4 - HKLM..\Run: [Microsoft] C:\WINDOWS\system32\Download.exe (Microsoft)
O4 - HKLM..\Run: [PCSpeedUp] File not found
O4 - HKLM..\Run: [sysdriver32.exe] File not found
O4 - HKLM..\Run: [sysdriver32_.exe] File not found
O4 - HKLM..\Run: [wxpdrv] File not found
O4 - HKCU..\Run: [Windows Update] C:\WINDOWS\system32\Download.exe (Microsoft)
F3 - HKCU WinNT: Load - (C:\WINDOWS\svchost.exe) - C:\WINDOWS\svchost.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O31 - SafeBoot: AlternateShell - services32.exe
O33 - MountPoints2\{200277d8-9061-11e0-acd3-000e2ee5e049}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
O33 - MountPoints2\{b56a87cb-9601-11e0-ace0-000e2ee5e049}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
[2011-08-21 21:07:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-08-21 21:07:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-21 20:59:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\update.5.0
[2011-08-21 15:45:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\update.7.1
[2011-08-21 15:42:02 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-16 22:08:02 | 001,047,860 | ---- | C] (Microsoft) -- C:\WINDOWS\System32\Download.exe
[2011-08-16 22:03:52 | 000,000,000 | -HSD | C] -- C:\WINDOWS\System32\28463
[2011-08-22 02:41:45 | 000,035,346 | ---- | M] () -- C:\WINDOWS\System32\temp1.exe
[2011-08-22 02:41:45 | 000,002,085 | ---- | M] () -- C:\WINDOWS\System32\temp2.exe
[2011-08-21 21:18:51 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-21 21:07:50 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-08-21 21:07:50 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-08-21 21:07:49 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-08-21 15:40:02 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-08-21 15:38:30 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-06-06 19:19:41 | 000,070,207 | RHS- | C] () -- C:\WINDOWS\svchost.exe
[2011-06-06 19:19:41 | 000,035,346 | ---- | C] () -- C:\WINDOWS\System32\temp1.exe
[2011-06-06 19:19:41 | 000,002,085 | ---- | C] () -- C:\WINDOWS\System32\temp2.exe
[2011-06-06 19:19:41 | 000,001,211 | RHS- | C] () -- C:\WINDOWS\xcopy.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-

:Files
C:\WINDOWS\KURKA-10D*.gif

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Zainstaluj bezpieczniejszą wersję Javy >Dostępne tylko dla zarejestrowanych użytkowników
Starą wersję odinstaluj.

F.

[sarumani]

Zrobiłem wszystko co mówiłeś.

Deletion Dostępne tylko dla zarejestrowanych użytkowników
OTL po restarcie Dostępne tylko dla zarejestrowanych użytkowników
OTL.txt Dostępne tylko dla zarejestrowanych użytkowników
Jave też przeinstalowałem na wersje 7 (poprzednią oczywiście usunąłem)

A z fb, dalej nie mogę się połączyć.

[XMan]

Przeskanuj komputer programem Malwarebytes Anti-Malware.
Pełne skanowanie.
Obsługa programu Malwarebytes' Anti-Malware.

Przeczyść komputer programem CCleaner.
U góry po lewej "Cleaner" na dole Analiza - Uruchom Cleaner
później "Rejestr" Skanuj by znaleźć problemy - Napraw zaznaczone problemy.
CCleanera używaj po częstym surfowaniu po internecie oraz po każdej deinstalacji programów i sterowników.

kliknij aby powiększyć :
Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

oraz programem Eusing Free Registry Cleaner.
Wybierasz język / language / Polish.
Przewiń -> Skanuj rejestr -> Napraw rejestr.

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Wrzuć ponownie p/w logi oraz z Malwarebytes' Anti-Malware.

[filutka78]

Dodatkowo:
1) Ściągnij >Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

2)

File EY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] not found.
File ptyflash] not found.
File ptytemp] not found.
File sethosts] not found.

Script został ucięty z lewego dolnego brzegu przy wklejaniu do OTL, więc komendy się nie wykonały.
W efekcie nie możesz się połączyć z FB.
Powtórka:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.