Wirus z facebooka, 'hi, wanna laugh, fałszywy flash player'

Post24 sie 2011, 19:12

Witam, jestem tu nowa i tak jak w nazwie wątku, mam problem.. Na facebooku napisał do mnie znajomy 'hi' odpisałam Mu oczywiście na czacie był niedostępny a wiadomości do mnie wysyłał.. wysłał do mnie link, weszłam, znalazłam się na YouTube w tytule filmiki było moje imię i nazwisko ale nie mogłam obejrzeć tego filmiku, było napisane, że muszę pobrać Flash Playera.. no i pobrałam jakieś badziewie.. komputer zaczął mi wolno chodzić, mulić, strony internetowe bardzo wolno się włączają.. co mam zrobić aby usunąć tego wirusa? jakimi programami mam zrobić te logi? nie znam się na tym wiec byłabym wdzięczna jakby ktoś mnie pokierował i napisał co mam ściągnąć aby owe logi zrobić.. ten mam jeden program OTL.exe.. ale jak biorę na czysto skanuj to w po paru minutach się zawiesza.. dodam, ze nie mam żadnego antywirusa.. tzn niby jakiegoś mam ale nie mogę się do niego dostać, samo mi go pobrało, bo nigdy wcześniej takiej wersji ESETa nie miałam..

z góry dziękuję

Post24 sie 2011, 19:19

Ściągnij OTL.scr -> Dostępne tylko dla zarejestrowanych użytkowników
i spróbój z niego dać log.
Jeżeli dalej nie idzie to daj log z DDS -> http://www.hotfix.pl/obsluga-programu-dds-a146.htm

Post24 sie 2011, 21:17

niestety loga z OTL.scr zrobić nie moge, zacina się..

log z DDS Dostępne tylko dla zarejestrowanych użytkowników

zrobiłam też log z Malwarebytes Dostępne tylko dla zarejestrowanych użytkowników

-- 24 sie 2011, 20:40 --

co dalej robić, pomoże ktoś?

Uruchomiłam w OTL.exe i w oknie Własne opcje skanowania/Script wkleiłam to:

:OTL
MOD - [2011/08/22 15:23:12 | 000,137,728 | ---- | M] () -- C:\Windows\systemup.exe
MOD - [2011/08/22 12:22:54 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
SRV - [2011/08/22 12:07:44 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011/08/22 12:01:21 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
IE - HKCU\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - File not found
O4 - HKLM..\Run: [2675310.exe] C:\Users\Sabina\AppData\Local\Temp\2675310.exe ()
O4 - HKLM..\Run: [56081510-loader2.exe] File not found
O4 - HKLM..\Run: [6360682.exe] File not found
O4 - HKLM..\Run: [6554047.exe] File not found
O4 - HKLM..\Run: [9215144.exe] File not found
O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
O4 - HKLM..\Run: [mcui_exe] File not found
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-9-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] File not found
[2011/08/22 12:07:47 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011/08/22 12:07:47 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011/08/22 12:07:47 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011/08/22 12:07:45 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011/08/22 12:07:17 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011/08/22 12:06:26 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011/08/22 12:01:10 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011/08/22 11:59:52 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011/08/22 11:59:37 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-9-0-lnk
[2011/08/22 11:59:37 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-9-0
[2011/08/23 10:21:08 | 000,000,734 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hîsts
[2011/08/22 15:23:12 | 000,137,728 | ---- | M] () -- C:\Windows\systemup.exe
[2011/08/22 12:22:58 | 000,232,960 | ---- | C] () -- C:\Windows\l1rezerv.exe
[2011/08/22 12:07:46 | 005,589,370 | ---- | C] () -- C:\Windows\phoenix.rar
[2011/08/22 12:07:46 | 001,075,284 | ---- | C] () -- C:\Windows\rpcminer.rar
[2011/08/22 12:07:46 | 000,182,617 | ---- | C] () -- C:\Windows\ufa.rar
[2011/08/22 12:03:24 | 000,137,728 | ---- | C] () -- C:\Windows\systemup.exe
[2011/08/22 12:03:17 | 000,000,200 | ---- | C] () -- C:\Windows\info1
[2011/08/22 12:02:23 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist
[2011/08/22 12:02:22 | 000,904,792 | ---- | C] () -- C:\Windows\geoiplist.rar
[2011/08/22 12:02:22 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe
[2011/08/22 12:01:52 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok
[2011/08/22 12:01:49 | 000,258,048 | ---- | C] () -- C:\Windows\sysdriver32_.exe
[2011/08/22 12:01:35 | 000,258,048 | ---- | C] () -- C:\Windows\sysdriver32.exe

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Po czym pozwoliłam na ponowne uruchomienie komputera i po ponownym włączeniu otrzymałam taki log Dostępne tylko dla zarejestrowanych użytkowników

Post24 sie 2011, 22:10

Dobry traf, hehe.

Spróbój wykonać log z OTL teraz.

Post25 sie 2011, 00:49

nadal się zacina jak chce zrobic log OTL..

zrobiłam DDS ale już po usunieciu wszystkich trojanów za pomocą Malwarebytes.. Log: Dostępne tylko dla zarejestrowanych użytkowników i jeszcze Log z DDS Attach.txt Dostępne tylko dla zarejestrowanych użytkowników

Log z Malwarebytes przed restartem kompa w celu usuniecia dokładnie wirusów/trojanów : Dostępne tylko dla zarejestrowanych użytkowników
Log po ponownym włączeniu komputera i dokładnym usunięciu trojanów Dostępne tylko dla zarejestrowanych użytkowników

Post25 sie 2011, 00:59

Ściągnij -->Dostępne tylko dla zarejestrowanych użytkowników.
wklej do niego ten tekst:

Kod: Zaznacz cały

Folders to delete:
c:\windows\update.4.1
c:\windows\update.tray-13-0-lnk
c:\windows\update.tray-13-0
c:\windows\update.3
c:\windows\update.tray-2-0-lnk
c:\windows\update.tray-2-0
c:\windows\update.tray-3-0-lnk
c:\windows\update.tray-3-0

Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.

F.

Post25 sie 2011, 01:16

Raport z Avengera Dostępne tylko dla zarejestrowanych użytkowników

Post25 sie 2011, 01:23

to usunięte, więc teraz spróbuj zrobić log z OTL (więcej pokazuje niż DDS), a jeśli się nie uda, to zrobisz przynajmnie log z DDS.

F.

Post25 sie 2011, 01:31

Otworzyłam OTL teraz mam wziąć skanuj czy coś w pole "Własne opcje skanowania / skrypt" mam wpisać i dać Wykonaj skrypt?

wzięłam start-> wyszukaj i nie znalazło pliku L1rezerv

wiec chyba usunęło:) wcześniej ten plik się pojawiał i nie dało się za nic w świecie usunąć..

Post25 sie 2011, 01:46

skanuj

Post25 sie 2011, 01:59

OTL zawiesza się na momencie "Scanning Modules.." i w tytule w pasku jest "Brak odpowiedzi"
Log z DDS Dostępne tylko dla zarejestrowanych użytkowników DDS-Attach.txt Dostępne tylko dla zarejestrowanych użytkowników

Post25 sie 2011, 02:08

W tych logaach nie widzę niczego podejrzanego.
Jutro (a właściwie to już dziś) prowadzący ten temat @djarta zadecyduje, co dalej.
Kosmetyka:
Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

F.

Post25 sie 2011, 02:17

Okej. Bardzo Ci dziękuję za pomoc. Pozdrawiam i życzę spokojnej nocy. Dobranoc.

Plik dodany do rejestru. Czy teraz ten plik z pulpitu mogę już usunąć czy ma zostać an pulpicie?

Post25 sie 2011, 11:15

Możesz usunąć.
Temat zamykam.