Wirus z Facebooka "hi"

Post28 paź 2011, 23:23

Mam problem z tym wirusem z fb. Nie wiem kompletnie co teraz zrobic.
OTL- Dostępne tylko dla zarejestrowanych użytkowników
Extras- Dostępne tylko dla zarejestrowanych użytkowników
Z gory dzieki za pomoc.

-- 28 paź 2011, 23:23 --

Otoz dostalam wiadomosc na fb (hi i cos tam dalej a nastepnie link w ktory weszlam no i chyba wiadomo o co chodzi). Probowalam wejsc na fb ale zacinala sie strona a nastepnie przestala zupelnie dzialac nie moge w ogole uruchomic facebooka a ponadto komputer strasznie wolno dziala. Czytalam na forum ze trzeba zrobic logi w OTL no wiec zrobilam i teraz nie wiem co dalej.

Strona WWW · Post28 paź 2011, 23:42

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - File not found [Auto | Stopped] -- -- (wxpdrivers)
SRV - File not found [Auto | Stopped] -- -- (srvsysdriver32)
SRV - File not found [Auto | Stopped] -- -- (srviecheck)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll File not found
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll File not found
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1214440339-926492609-725345543-1002\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found
O4 - HKLM..\Run: [2991972.exe] "C:\DOCUME~1\xxx\USTAWI~1\Temp\2991972.exe" File not found
O4 - HKLM..\Run: [5274390.exe] "C:\WINDOWS\TEMP\5274390.exe" File not found
O4 - HKLM..\Run: [5978426.exe] "C:\WINDOWS\TEMP\5978426.exe" File not found
O4 - HKLM..\Run: [7242275.exe] "C:\WINDOWS\TEMP\7242275.exe" File not found
O4 - HKLM..\Run: [facemoods] "C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe" /md I File not found
O4 - HKLM..\Run: [sysdriver32.exe] "C:\WINDOWS\sysdriver32.exe" rezerv File not found
O4 - HKLM..\Run: [sysdriver32_.exe] "C:\WINDOWS\sysdriver32_.exe" rezerv File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe File not found
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - Startup: C:\Documents and Settings\xxx\Menu Start\Programy\Autostart\Registration Prince of Persia T2T.LNK = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O27 - HKLM IFEO\notepad.exe: Debugger - C:\WINDOWS\system32\Notepad2.exe ()
O31 - SafeBoot: AlternateShell - services32.exe
[2011-10-27 23:17:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\WinRAR
[2011-10-27 23:16:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-10-27 23:13:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-10-27 23:11:14 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-10-27 23:11:07 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-10-27 23:11:07 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-10-28 17:42:36 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-10-27 23:17:22 | 000,000,067 | ---- | M] () -- C:\WINDOWS\info1
[2011-10-27 23:17:00 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-10-27 23:17:00 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-10-27 23:15:19 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-10-27 23:17:02 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
@Alternate Data Stream - 319 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF
@Alternate Data Stream - 113 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D1B5B4F1
@Alternate Data Stream - 107 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B3D74A13

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\xxx\Moje dokumenty\Downloads\Flash-Player.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

Post29 paź 2011, 12:45

Raport z usuwania OTL- Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi z OTL- Dostępne tylko dla zarejestrowanych użytkowników
I dziekuje za pomoc bo juz fb mi dziala. Czy juz wszystko jest teraz ok?

Post29 paź 2011, 18:18

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found.
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (Reg Error: Value error.)
4 - HKLM..\Run: [3288] C:\Program Files\Pc Camera\3288.exe (Microsoft)
O4 - HKU\.DEFAULT..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized File not found
O4 - HKU\S-1-5-18..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized File not found
O4 - HKU\S-1-5-21-1214440339-926492609-725345543-1002..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-1214440339-926492609-725345543-1002..\Run: [FlashGet 3] "D:\FlashGet\FlashGet3.exe" -minimize File not found
O4 - HKU\S-1-5-21-1214440339-926492609-725345543-1002..\Run: [Fraps] C:\FRAPS\FRAPS.EXE File not found

:Files
C:\Program Files\Pc Camera

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]
"Start"=dword:00000004

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. W panelu sterownia (dodaj lub usuń programy) odinstaluj: SweetIM Toolbar for Internet Explorer , uTorrentBar Toolbar , Babylon Toolbar , Free Lunch Design Toolbar , Hyperionics DB Toolbar + Avast + ESET (zostały one uszkodzone, zainstalujesz Avasta po zakończeniu wszystkich prac).

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

5. Tworzysz i wklejasz log z Dostępne tylko dla zarejestrowanych użytkowników. Jeżeli coś wykryje ignoruj a jedynie wklej loga.

6. Pokaż zawartość pliku boot.ini

Czyli końcowo pokazujesz:

Raport z usuwania OTL (po restarcie),
Raport z czyszczenia Ad-Remover'em,
Nowe logi z OTL.

Log z TDSSKiller'a

Post30 paź 2011, 15:43

Raport z usuwania OTL- Dostępne tylko dla zarejestrowanych użytkowników
Raport z czyszczenia Ad-Remover (dam 2 bo niechcacy zrobilam 2 razy i nie wiem ktory sie przyda)- Dostępne tylko dla zarejestrowanych użytkowników , Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi z OTL- Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSSKiller- Dostępne tylko dla zarejestrowanych użytkowników

Post30 paź 2011, 18:06

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1214440339-926492609-725345543-1002\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [3288] C:\Program Files\Pc Camera\3288.exe File not found
CHR - default_search_provider: SweetIM Search (Enabled)
CHR - default_search_provider: search_url = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={94333B16-69C2-43D2-9E1D-8245753F533A}
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.91: C:\Program Files\NOS\bin\np_gp.dll File not found
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.9
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com"
@Alternate Data Stream - 113 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D1B5B4F1

:Files
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\fbc-pl.xml
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchstonicus.xml
C:\Program Files\uTorrentBar
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\{75656794-AB59-4712-BFBC-5D816D56F3BC}
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\ENGINE@CONDUIT.COM
C:\PROGRA~1\AVASTS~1\AVAST\WEBREP\FF
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\extensions\DTToolbar@toolbarnet.com
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\extensions\ffxtlbr@babylon.com
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\searchplugins\daemon-search.xml
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\searchplugins\search.xml
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\searchplugins\SweetIM Search.xml
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\searchplugins\sweetim.xml
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\RMSchedule.job
C:\WINDOWS\tasks\Norton Security Scan for xxx.job
C:\Documents and Settings\xxx\Pulpit\facemoods.exe
C:\WINDOWS\System32\secustat.dat
C:\Documents and Settings\xxx\Dane aplikacji\Babylon
C:\Documents and Settings\xxx\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\BabylonUpdater

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz raport z usuwania + nowy log z OTL.

Post30 paź 2011, 19:26

Raport z usuwania- Dostępne tylko dla zarejestrowanych użytkowników
Nowy log- Dostępne tylko dla zarejestrowanych użytkowników

Post30 paź 2011, 19:53

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
CHR - default_search_provider: search_url = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={94333B16-69C2-43D2-9E1D-8245753F533A}
CHR - default_search_provider: SweetIM Search (Enabled)
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties"

:Files
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\{75656794-AB59-4712-BFBC-5D816D56F3BC}
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\{C86EB8A9-CCC2-4B6C-B75D-73576ED591BF}
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\DTTOOLBAR@TOOLBARNET.COM
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\ENGINE@CONDUIT.COM
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\FFXTLBR@BABYLON.COM
C:\PROGRA~1\AVASTS~1\AVAST\WEBREP\FF
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
sc config wscsvc start= delayed-auto /C
sc config ERSvc start= delayed-auto /C
sc config CiSvc start= delayed-auto /C

:Commands
[Reboot]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Po restarcie pokaż raport.

Post30 paź 2011, 21:31

nie wyskakuje raport po restarcie

Post30 paź 2011, 23:00

Hmm, a spróbój taki raport:

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
CHR - default_search_provider: search_url = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={94333B16-69C2-43D2-9E1D-8245753F533A}
CHR - default_search_provider: SweetIM Search (Enabled)
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties"

:Files
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\{75656794-AB59-4712-BFBC-5D816D56F3BC}
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\{C86EB8A9-CCC2-4B6C-B75D-73576ED591BF}
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\DTTOOLBAR@TOOLBARNET.COM
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\ENGINE@CONDUIT.COM
C:\DOCUMENTS AND SETTINGS\XXX\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\U4XZY1JV.DEFAULT\EXTENSIONS\FFXTLBR@BABYLON.COM
C:\PROGRA~1\AVASTS~1\AVAST\WEBREP\FF
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\u4xzy1jv.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}

:Commands
[Reboot]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Po restarcie pokaż raport.

Post30 paź 2011, 23:34

dalej nic

Post30 paź 2011, 23:40

Hmm , w takim razie omiń to bo i tak te operacje są zbędne.

Uruchom OTL i wciśnij Sprzątanie.
Problem rozwiązany / temat moge zamknąć?

Post30 paź 2011, 23:56

Tak. Bardzo dziekuje za pomoc.