Wirus z Facebooka - form4

Post02 lis 2011, 10:20

Otóż wczoraj wszedłem w link który prowadził do serweru You Tube . I żeby obejrzeć filmik trzeba było ściągnąć wtyczkę i ja jak przedszkolak ściągnąłem ;/ I mam wirusa który nazywa się form4 . Zniszczył mi Nortona . Próbowałem zainstalowac Avasta i nim przeprowadzić skanowanie . Dzisiaj wstaję budzę się , włączam laptopa i po zalogowaniu - automatycznie mnie wylogowało i teraz uruchamia się tylko z trybu awaryjnego . Wygląda na to że mam przekichane jednak mam ważne dane na dysku których nie chciałbym tracić . Pomóżcie ludzie , proszę .
Jestem prawie że całkowicie zielony w tych sprawach więc proszę o wyrozumiałość

OTL : Dostępne tylko dla zarejestrowanych użytkowników

DDS :
DD1 : Dostępne tylko dla zarejestrowanych użytkowników
Attach : Dostępne tylko dla zarejestrowanych użytkowników

GMER :

log 1 : Dostępne tylko dla zarejestrowanych użytkowników
log2 : Dostępne tylko dla zarejestrowanych użytkowników

Post02 lis 2011, 10:31

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-10-0\svchost.exe (Cronosoft)
O3 - HKU\S-1-5-21-2197973238-377259284-2004930894-1000\..\Toolbar\WebBrowser: (no name) - {14F6A182-4C6F-45AE-9F5A-AA3CCBB1CFA3} - No CLSID value found.
O3 - HKU\S-1-5-21-2197973238-377259284-2004930894-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
[2011-11-02 01:20:14 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-11-02 01:00:09 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-10-0-lnk
[2011-11-02 01:00:09 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-10-0
[2011-11-02 01:20:13 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post02 lis 2011, 10:51

Raport z usuwania : Dostępne tylko dla zarejestrowanych użytkowników

Log OTL po usunięciu : Dostępne tylko dla zarejestrowanych użytkowników

Post02 lis 2011, 10:57

Infekcja z Facebooka usunięta.

Czy sytuacja się poprawiła?

F.

Post02 lis 2011, 11:03

Hmm na razie trudno stwierdzić ponieważ nadal uruchamia mi się w trybie awaryjnym .
Tzn jak kilkam uruchom ponownie to mi się otwiera w trybie awaryjnym . Jak resetuje to ma do wyboru otworzenie opcji "uruchuom w trybie normalnym.." i właśnie awaryjny się otwiera . Może ten wirus zmienił jakoś sposób otwierania windowsa ? da się to jakoś naprawic ?

Post02 lis 2011, 11:12

VISTA/WIN7 ciagły Tryb Awaryjny:
>>START>>URUCHOM> wybierz (lub wpisz) msconfig
w zakładce OGÓLNE zaznacz URUCHAMIANIE NORMALNE
w zakładce ROZRUCH usuń zaznaczenie przy BEZPIECZNY ROZRUCH.

Wypróbuj to powyższe.

Jeśli to nic nie da, to będziesz musiał zaczekać na Moderatora, a w międzyczasie przejrzysz podobny temat >Dostępne tylko dla zarejestrowanych użytkowników oraz >Dostępne tylko dla zarejestrowanych użytkowników (sekcja SYSTEM W OGÓLE SIĘ NIE URUCHAMIA).

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\winrnr.dll File not found

Trochę niepokoją mnie te wpisy, bo kojarzą mi się z Bootkitem ZeroAcces.
Sprawdź, czy przypadkiem nie masz pliku c:\windows\system32\consrv.dll

Jeśli nie będą widoczne, to najpierw usuń atrybuty ochronne:
>>Start>>Panel Sterowania>>Opcje Folderów>>Widok>>usuń zaznaczenie przy "Ukryj chronione pliki systemowe">
>zaznacz przy "Pokaż ukryte pliki">>Zastosuj>>OK

Jeśli będzie, to konieczne będzie użycie ComboFixa >http://www.hotfix.pl/uzytkowanie-programu-combofix-a41.htm

F.

Post02 lis 2011, 11:32

Uruchomiłem system według Twoich zaleceń i system uruchomił się normalnie

Internet działa , przeglądarka normalnie chodzi . Jak na razie jest ok

"c:\windows\system32\consrv.dll"

Poszukałem ręcznie w folderze system32 i nic o takiej nazwie nie znalazłem . Wpisałem też w "wyszukaj pliki i foldery" i też nie znalazło więc chyba nie mam

Myślisz aby na wszelki wypadek użyć ComboFixa ? jeśli na pierwszy rzut oka wszystko działa ?
I myślę aby ponownie zainstalować Nortona , myślisz że to dobry program ? Tzn po tym doświadczeniu mam małą traumę i waham się nad ponownym jego używaniu . I przy okazji może znasz dobre strony o zarządzaniu komputerem ? tzn jak utrzymywać jego stabilność , polecane programy itp

Sorki że Cię tak zawaliłem pytaniami ale korzystam z okazji jak mam okazję kontaktu ze spece,

Wielkie dzięki za pomoc

Uff jaka ulga bo już myślałem ze format trzeba będzie zrobić a tyle danych ... ehh Następnym razem nic sam nie będe próbował uleczyć tylko do was napisze jeśli coś poważniejszego będzie . Dostałem nauczkę żeby teraz potrójnie myśleć nad tym co otwieram . Jeszcze raz wielkie dzięki . Jesteś wielki !

Macie może stronę na fejsie ? z chęcią bym ją polubił ^^

PS I gdyby można było jeszcze do jutra nie zamykać tego tematu w razie gdyby jakieś uszkodzenia nadal wystąpywały to byłbym wdzięczny podwójnie

Post02 lis 2011, 11:47

Skoro nie znalazłeś tego pliku, to użycie ComboFixa jest bezcelowe, po co męczyć komputer.

Odpowiadanie na pozostałe Twoje pytania pozostawiam Moderatorom.

F.

Post02 lis 2011, 11:49

Ok to liczę na odpowiedź z ich strony . A Tobie jeszcze raz dziękuje