Wirus HI z Facebooka

Post22 sie 2011, 23:20

Witam wszystkich.
Nie znam się zbytnio na tych wszystkich bajerach informatycznych ale mam nadzieję że znajdzie się tutaj jakaś osoba która mi pomoże ;(
Poczytałam troszkę na temat tego wirusa na tym forum i poniżej przesyłam potrzebne dane...

Mam nadzieje że to wystarczy i że uda się go w końcu usunąć.
Poniżej logi :

OTL- Dostępne tylko dla zarejestrowanych użytkowników
Extras- Dostępne tylko dla zarejestrowanych użytkowników

Post22 sie 2011, 23:38

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-08-21 16:56:14 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
SRV - [2011-08-21 16:56:14 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\.DEFAULT\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - File not found
IE - HKU\S-1-5-18\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - File not found
IE - HKU\S-1-5-21-504426513-2377171730-2650180866-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
O2 - BHO: (no name) - {53D74F34-13F8-48CA-A17D-1AE6D9334912} - Reg Error: Value error. File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - No CLSID value found.
O4 - HKLM..\Run: [egui] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O33 - MountPoints2\{72a63026-a72d-11dd-8603-0016ecf96be3}\Shell\AutoRun\command - "" = E:\lphfa.exe
O33 - MountPoints2\{72a63026-a72d-11dd-8603-0016ecf96be3}\Shell\open\Command - "" = E:\lphfa.exe
[2011-08-21 18:58:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-21 18:25:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-21 18:22:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-08-21 16:56:16 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-08-21 16:52:44 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-21 16:51:52 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-08-21 16:48:27 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-08-21 16:48:17 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0-lnk
[2011-08-21 16:48:17 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0
[2011-08-21 16:48:16 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-3-0-lnk
[2011-08-21 16:48:16 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-3-0
[2011-08-22 20:58:45 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-21 18:25:14 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-08-21 18:25:14 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-08-21 18:25:07 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-08-21 16:51:52 | 000,000,199 | ---- | C] () -- C:\WINDOWS\info1
[2011-08-21 16:51:28 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-08-21 16:51:27 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-08-21 16:51:27 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-08-21 16:50:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
[HKEY_USERS\S-1-5-21-504426513-2377171730-2650180866-1005\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post22 sie 2011, 23:57

DZIAŁA =) DZIĘKUJE BARDZO, POZDRAWIAM!

Post23 sie 2011, 05:56

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Temat do zamknięcia.

F.