Wirus z facebook'a. ("hi. how are you")

Post21 sie 2011, 22:49

Jak widzę nie ja sam padłem ofiarą owego wirusa. Poczytałem wcześniejsze wątki i mam już za sobą skan OTL'em.

Tutaj załączam raporty i bardzo proszę o dalsze instrukcje

OTL.txt
Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt
Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post21 sie 2011, 23:03

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
MOD - [2011/07/25 13:04:48 | 000,114,176 | ---- | M] () -- C:\Windows\systemup.exe
MOD - [2011/07/25 13:03:52 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
MOD - [2011/07/24 23:36:56 | 001,174,016 | -H-- | M] () -- C:\Windows\update.tray-14-0-lnk\svchost.exe
MOD - [2011/07/24 23:36:56 | 001,174,016 | -H-- | M] () -- C:\Windows\update.tray-14-0\svchost.exe
SRV - [2011/08/19 14:42:05 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011/07/28 21:04:27 | 000,256,000 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [1437914.exe] C:\Users\gr\AppData\Local\Temp\1437914.exe ()
O4 - HKLM..\Run: [1657022.exe] C:\Windows\TEMP\1657022.exe ()
O4 - HKLM..\Run: [2407600.exe] C:\Windows\Temp\2407600.exe ()
O4 - HKLM..\Run: [7142395.exe] C:\Windows\Temp\7142395.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-14-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [w_distrib.exe] C:\Windows\update.3\svchost.exe ()
O4 - HKLM..\Run: [wxpdrv] File not found
O4 - HKU\S-1-5-21-3241744518-2920951783-1875277025-1000..\Run: [RGSC] File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011/08/19 14:42:06 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011/08/09 03:18:37 | 000,000,000 | -H-D | C] -- C:\Windows\update.3
[2011/07/25 13:44:50 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011/07/25 13:44:50 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011/07/25 13:44:50 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011/07/25 13:02:15 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011/07/25 00:40:04 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011/07/25 00:38:03 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011/07/25 00:37:47 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-14-0-lnk
[2011/07/25 00:37:47 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-14-0
[2011/07/24 23:54:29 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011/08/21 22:29:53 | 000,000,247 | ---- | M] () -- C:\Windows\info1
[2011/08/01 02:09:22 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011/08/01 02:09:22 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011/08/01 02:09:22 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011/08/01 02:09:21 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011/07/28 21:04:27 | 000,256,000 | ---- | M] () -- C:\Windows\sysdriver32_.exe
[2011/07/28 21:04:27 | 000,256,000 | ---- | M] () -- C:\Windows\sysdriver32.exe
[2011/07/25 13:04:48 | 000,114,176 | ---- | M] () -- C:\Windows\systemup.exe
[2011/07/25 13:03:52 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
[2011/07/25 12:59:43 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011/07/25 12:54:47 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
[2011/07/25 12:59:44 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplis
@Alternate Data Stream - 231 bytes -> C:\ProgramData\Temp:6BE50C2B
@Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:5D7E5A8F

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[resethosts]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

Post22 sie 2011, 00:18

Oto ten raport:
Dostępne tylko dla zarejestrowanych użytkowników

Post22 sie 2011, 00:20

Wklej jeszcze nowy log z OTL.

Post22 sie 2011, 00:25

To chyba ten:
Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post22 sie 2011, 00:42

Nowu log robiony opcją SKANUJ a nie ten co dawałeś na początku

Post22 sie 2011, 00:53

Ok, to ten.
Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post22 sie 2011, 00:58

Wklej jeszcze w OTL i naciśnij wykonaj skrypt

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [MSC] File not found
[2011/08/21 22:24:46 | 000,000,734 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hîsts

:Commands
[emptytemp]

Po wykonaniu skryptu naciśnij w OTL sprzątanie to go usunie i juz,dla pewności mozesz wykonac pelne skanowanie programem Malwarebytes:
http://www.hotfix.pl/obsluga-programu-m ... re-a55.htm

Post22 sie 2011, 01:08

Skrypt i sprzątanie już wykonane, a program właśnie się ściąga.
Dzięki wielkie za wszystko.