Wirus na Facebooku

[Qemot]

Zainfekowano mnie wirusem z facebooka. Na czacie znajomy napisał "Hi" następnie "wanna laugh?" i stronę z niby filmikiem. Było tam napisane, że trzeba pobrać najnowszą wersję Flash Playera. Pobrałem, a gdy zorientowałem się, że to wirus od razu pousuwałem pliki z tym związane. Usunęło mi także Avast'a, więc zainstalowałem go ponownie. Poczytałem o tym trochę. I zdziwiłem się, ponieważ u mnie nie uruchamiał się tylko facebook, a u innych w ogóle przeglądarka. Ściągnąłem taki program: Malwarebytes. Zrobiłem pełny skan. Wyszukało osiem zainfekowanych plików. Usunąłem je tym programem i uruchomiłem ponownie komputer, jak zalecono. Później zresetowaniu zrobiłem szybki skan. Wyszukało 18 zainfekowanych plików. Usunąłem, ale tym razem nie resetowałem. Znowu dałem szybki skan i 38 zainfekowanych. Postąpiłem tak samo jak poprzednio. Teraz nie wiem co robić. Zrobiłem pełny skan. Zarzucam loga:
Dostępne tylko dla zarejestrowanych użytkowników
Pomóżcie co robić! Facebook dalej nie działa.

[djkamil09061991]

Pokaz logi z OTL według instrukcji:
http://www.hotfix.pl/obsluga-programu-otl-a143.htm

[Qemot]

Wyskoczyły mi 2 pliki .txt
Oto one:
1. Dostępne tylko dla zarejestrowanych użytkowników
2. Dostępne tylko dla zarejestrowanych użytkowników
co dalej?

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O4 - HKLM..\Run: [DrvIcon] File not found
O4 - HKLM..\Run: [facemoods] File not found
O4 - HKLM..\Run: [IR] C:\WINDOWS\IR22ic.exe ()
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found
SRV - File not found [On_Demand | Stopped] -- -- (SQLAgent$SONY_MEDIAMGR)
SRV - [2011-08-20 18:48:04 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
MOD - [2011-08-20 18:48:04 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
[2011-08-20 20:44:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-20 20:44:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-20 18:47:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\WinRAR
[2011-08-21 23:18:01 | 000,001,136 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-1284227242-1801674531-1003UA.job
[2011-08-21 23:07:16 | 000,090,840 | ---- | M] () -- C:\WINDOWS\System32\langs.xml
[2011-08-21 22:44:26 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\nluhae.sys
[2011-08-21 22:44:26 | 000,002,480 | ---- | M] () -- C:\WINDOWS\System32\vmky
[2011-08-21 22:43:34 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\nvml.sys
[2011-08-21 22:39:13 | 000,000,250 | ---- | M] () -- C:\WINDOWS\tasks\Game_Booster_Startup.job
[2011-08-21 20:33:23 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-20 20:44:18 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-08-20 20:44:18 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-08-20 20:44:17 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-08-20 20:44:16 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-08-20 20:35:50 | 000,000,175 | ---- | M] () -- C:\WINDOWS\info1
[2011-08-20 18:47:17 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-08-20 18:42:43 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok

:Files
C:\WINDOWS\update.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. W aplecie panelu sterowania (Dodaj lub usuń programy) do deinstalacji śmiecie: facemoods Toolbar , Softonic-Eng7 Toolbar , HyperCam Toolbar , Conduit Engine

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

5. Tworzysz i wklejasz log z Dostępne tylko dla zarejestrowanych użytkowników. Jeżeli coś wykryje ignoruj a jedynie wklej loga.

6. Pokaż zawartość pliku boot.ini

Czyli końcowo pokazujesz:

• Raport z usuwania OTL (po restarcie),
• Raport z czyszczenia Ad-Remover'em,
• Nowe logi z OTL.
• Log z TDSSKiller'a

[Qemot]

W "dodaj lub usuń programy" nie ma facemoods Toolbar.
Dostępne tylko dla zarejestrowanych użytkowników log z OTL.

-- 22 sie 2011, 00:52 --

Dostępne tylko dla zarejestrowanych użytkowników log z TDSSKiller'a.

-- 22 sie 2011, 00:53 --

Dostępne tylko dla zarejestrowanych użytkowników zawartość pliku boot.ini