Wirus Hi z Facebooka - prośba o pomoc

Post30 paź 2011, 12:45

Witam.
Niestety mój komp został zainfekowany tym syfem i nie mogę sobie z nim dać rady. Próbowałem już różnych metod znalezionych w necie ale jednak nic nie pomoglo. Ogolnie komputer włącza mi się normalnie, ale gdy robię coś z antywirusem to momentalnie przełącza mi się w tryb awaryjny i to trwa przez jakieś 2 minuty, a potem znowu przełącza mi się w tryb normalny na stronę logowania. Próbowałem już combofixem i nod32 i coś tam mi usunął, ale problem nadal występuje.Teraz zrobiłem scan programem OTL i wklejam logi jakie mi wyszły i proszę o pomoc :oops:

OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Extras:
Dostępne tylko dla zarejestrowanych użytkowników

Post30 paź 2011, 13:40

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-10-29 19:57:33 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
SRV - [2011-10-30 09:47:53 | 001,942,528 | ---- | M] () [Disabled | Running] -- C:\Windows\update.2\svchost.exe -- (srviecheck)
SRV - [2011-10-29 19:59:37 | 000,344,576 | ---- | M] () [Auto | Running] -- C:\Windows\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-10-29 19:57:33 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-10-29 19:45:02 | 001,109,504 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\Windows\update.1\svchost.exe -- (wxpdrivers)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3830102107-4015357865-3902774096-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=c1cdf744-f438-11e0-866d-001d72ca080c&q="
O4 - HKLM..\Run: [3158743.exe] C:\Users\RAFAŁ\AppData\Local\temp\3158743.exe ()
O4 - HKLM..\Run: [3501183.exe] "C:\Windows\Temp\3501183.exe" File not found
O4 - HKLM..\Run: [5623997.exe] C:\Windows\TEMP\5623997.exe ()
O4 - HKLM..\Run: [6299452.exe] "C:\Users\RAFA~1\AppData\Local\Temp\6299452.exe" File not found
O4 - HKLM..\Run: [6499655.exe] "C:\Windows\Temp\6499655.exe" File not found
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-8-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe File not found
O4 - HKU\S-1-5-21-3830102107-4015357865-3902774096-1000..\Run: [Microsoft Firewall 2.9] C:\Users\RAFAŁ\AppData\Roaming\WMPRWISE.EXE File not found
[2011-10-29 20:06:34 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-10-29 20:01:18 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-10-29 20:01:18 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011-10-29 20:01:18 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-10-29 19:59:38 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-10-29 19:57:23 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011-10-29 19:56:04 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-10-29 19:56:00 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-8-0-lnk
[2011-10-29 19:56:00 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-8-0
[2011-10-30 09:48:20 | 000,000,734 | ---- | M] () -- C:\Windows\System32\drivers\etc\hîsts
[2011-10-29 20:01:17 | 005,589,370 | ---- | C] () -- C:\Windows\phoenix.rar
[2011-10-29 20:01:17 | 001,075,284 | ---- | C] () -- C:\Windows\rpcminer.rar
[2011-10-29 20:01:17 | 000,182,617 | ---- | C] () -- C:\Windows\ufa.rar
[2011-10-29 19:59:23 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist
[2011-10-29 19:59:22 | 000,904,792 | ---- | C] () -- C:\Windows\geoiplist.rar
[2011-10-29 19:59:22 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe
[2011-10-29 19:58:53 | 000,000,113 | ---- | C] () -- C:\Windows\info1
[2011-10-29 19:58:03 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok
[2011-10-29 19:58:00 | 000,258,048 | ---- | C] () -- C:\Windows\sysdriver32_.exe
[2011-10-29 19:57:46 | 000,258,048 | ---- | C] () -- C:\Windows\sysdriver32.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post30 paź 2011, 14:09

Restartu nie musiałem zatwierdzać, bo komputer sam mi się zrestartował.
to jest raport jaki mi się pojawił po restarcie: Dostępne tylko dla zarejestrowanych użytkowników
A to po ponownym skanie OTL : Dostępne tylko dla zarejestrowanych użytkowników

Post30 paź 2011, 14:27

Uruchom OTL i w oknie Własne opcje skanowania/Scriptwpisz (a nie wklej!) to:

:OTL
O31 - SafeBoot: AlternateShell - services32.exe

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post30 paź 2011, 14:57

Raport: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników

Post30 paź 2011, 15:19

Jest OK.
Ale z doświadczenia wiem, że po tej infekcji trzeba jeszcze użyć MBAM >http://www.hotfix.pl/obsluga-programu-malwarebytes-anti-malware-a55.htm
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

F.

Post30 paź 2011, 16:12

Przeskanowałem, a oto raport: Dostępne tylko dla zarejestrowanych użytkowników
Mam jeszcze pytanie odnośnie antywira tzn. Czy teraz muszę od nowa go zainstalować? Jakie programy AV polecasz?

Post30 paź 2011, 16:28

Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\sysdriver32.exe]

[-HKEY_LOCAL_MACHINE\SOFTWARE\systeminfog]

[-HKEY_LOCAL_MACHINE\SOFTWARE\SERVICES32.EXE]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

Co do Antivirusa, to spróbuj go teraz użyć - może już się da go normalnie używać?

F.

Post30 paź 2011, 19:10

Niestety nie dało się go używać ponownie, więc zainstalowałem inny.
Czy ten wirus mógł uzyskać z mojego konta na fb bądź innych witrynach jakieś dane?

Post30 paź 2011, 20:32

Prawdę mówiąc, to nie wiem.

F.

Post30 paź 2011, 23:00

Temat zamknąć?