Wirus z Facebook'a - proszę o pomoc

Post01 lis 2011, 19:25

Hej,
podaję logi i bardzo was proszę o pomoc
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników
Dzięki z góry:)

Post01 lis 2011, 20:42

1) Użyj >Dostępne tylko dla zarejestrowanych użytkowników i kliknij w nim Clean
Pokaż raport z niego.

2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1000\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1001\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1001\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1001\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O3 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1001\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O4:64bit: - HKLM..\Run: [adiras] C:\Windows\adirasx64.exe File not found
O4:64bit: - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O4 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1000..\Run: [F.lux] C:\Users\Agnieszka\Local Settings\Apps\F.lux\flux.exe ()
O4 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1000..\Run: [RocketDock] "C:\Program Files (x86)\RocketDock\RocketDock.exe" File not found
O4 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1001..\Run: [F.lux] C:\Users\Agnieszka\Local Settings\Apps\F.lux\flux.exe ()
O4 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1001..\Run: [RocketDock] "C:\Program Files (x86)\RocketDock\RocketDock.exe" File not found
O4 - HKU\S-1-5-21-2377199478-1704337740-2061684060-1001..\Run: [SRS Audio Sandbox] "C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme File not found
[2011-10-29 18:37:30 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-10-29 18:36:41 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-10-29 18:34:50 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-10-29 18:29:01 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-10-30 11:23:06 | 000,000,734 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hîsts
[2011-10-29 18:36:40 | 005,589,370 | ---- | C] () -- C:\Windows\phoenix.rar
[2011-10-29 18:36:40 | 001,075,284 | ---- | C] () -- C:\Windows\rpcminer.rar
[2011-10-29 18:36:40 | 000,182,617 | ---- | C] () -- C:\Windows\ufa.rar
[2011-10-29 18:34:59 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist
[2011-10-29 18:34:58 | 000,904,792 | ---- | C] () -- C:\Windows\geoiplist.rar
[2011-10-29 18:34:58 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe
[2011-10-29 18:34:50 | 000,000,068 | ---- | C] () -- C:\Windows\info1
[2011-10-29 18:34:22 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

3) Użyj > MBAM
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

F.

Post02 lis 2011, 02:04

1) Raport z Ad-Remover: Dostępne tylko dla zarejestrowanych użytkowników
2) Raport po starcie: Dostępne tylko dla zarejestrowanych użytkowników
Nowy log OTL: Dostępne tylko dla zarejestrowanych użytkowników
3) Raport MBAM: Dostępne tylko dla zarejestrowanych użytkowników

Post02 lis 2011, 03:59

Coś tu "namieszałeś":
w raporcie z usuwania Scriptem wszystko jest "not found" - czyżby Script był używany dwa razy?
w raporcie MBAM: mbam-log-2011-10-30 - stary log, i na dodatek nie wiadomo, czy Twój, bo w logu OTL nie ma żadnego śladu użycia MBAM?

Kosmetyka:
Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_USERS\S-1-5-21-2377199478-1704337740-2061684060-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_USERS\S-1-5-21-2377199478-1704337740-2061684060-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8dcb7100-df86-4384-8842-8fa844297b3f}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}]

[HKEY_USERS\S-1-5-21-2377199478-1704337740-2061684060-1000\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- 

[HKEY_USERS\S-1-5-21-2377199478-1704337740-2061684060-1001\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

Post02 lis 2011, 14:56

Rzeczywiście trochę "namieszałam"

Zrobiłam to z notatnikiem według instrukcji. Facebook działa. Czy to znaczy, że już koniec z tym wirusem?

Post02 lis 2011, 15:49

Tak, to koniec.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

Post02 lis 2011, 16:24

Już to zrobiłam. Bardzo, bardzo dziękuję za pomoc.
Pozdrawiam:)