wirus z facebooka "hi, wanna laugh?"

[ZKiN2001]

Cześć. To już standard, ale tez mam problem z wirusem z facebooka "hi, wanna laugh?" Potrzebuje pomocy.

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników
PROSZĘ O POMOC

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
MOD - [2011-08-22 19:31:37 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
MOD - [2011-08-22 19:18:56 | 000,137,728 | ---- | M] () -- C:\WINDOWS\systemup.exe
MOD - [2011-08-20 20:17:42 | 000,258,048 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
MOD - [2011-08-20 19:49:26 | 001,182,208 | -H-- | M] () -- C:\WINDOWS\update.tray-8-0\svchost.exe
SRV - File not found [Auto | Stopped] -- -- (wxpdrivers)
SRV - File not found [Auto | Stopped] -- -- (srviecheck)
SRV - File not found [Auto | Stopped] -- -- (srvbtcclient)
SRV - File not found [On_Demand | Stopped] -- -- (McComponentHostService)
SRV - File not found [Auto | Stopped] -- -- (AntiVirService)
SRV - File not found [Auto | Stopped] -- -- (AntiVirSchedulerService)
SRV - [2011-08-20 20:17:42 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
O27 - HKLM IFEO\afwserv.exe: Debugger - svchost.exe (Microsoft Corporation)
O27 - HKLM IFEO\avastsvc.exe: Debugger - svchost.exe (Microsoft Corporation)
O27 - HKLM IFEO\avastui.exe: Debugger - svchost.exe (Microsoft Corporation)
O27 - HKLM IFEO\egui.exe: Debugger - svchost.exe (Microsoft Corporation)
O27 - HKLM IFEO\ekrn.exe: Debugger - svchost.exe (Microsoft Corporation)
O27 - HKLM IFEO\msascui.exe: Debugger - svchost.exe (Microsoft Corporation)
O27 - HKLM IFEO\msmpeng.exe: Debugger - svchost.exe (Microsoft Corporation)
O27 - HKLM IFEO\msseces.exe: Debugger - svchost.exe (Microsoft Corporation)
O31 - SafeBoot: AlternateShell - services32.exe
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O4 - HKLM..\Run: [3913599.exe] C:\WINDOWS\TEMP\3913599.exe ()
O4 - HKLM..\Run: [4515912.exe] C:\WINDOWS\TEMP\4515912.exe ()
O4 - HKLM..\Run: [4585782.exe] File not found
O4 - HKLM..\Run: [5934248.exe] File not found
O4 - HKLM..\Run: [65411256-loader2.exe] File not found
O4 - HKLM..\Run: [6940721.exe] File not found
O4 - HKLM..\Run: [7525972.exe] C:\WINDOWS\TEMP\7525972.exe ()
O4 - HKLM..\Run: [8442126.exe] File not found
O4 - HKLM..\Run: [8636865.exe] File not found
O4 - HKLM..\Run: [9630682.exe] C:\WINDOWS\TEMP\9630682.exe ()
O4 - HKLM..\Run: [9747721.exe] C:\Documents and Settings\Barça\Ustawienia lokalne\Temp\9747721.exe ()
O4 - HKLM..\Run: [avgnt] File not found
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-8-0\svchost.exe ()
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O4 - HKU\S-1-5-21-682003330-1284227242-839522115-1003..\Run: [PCSpeedUp] File not found
[2011-08-22 19:33:16 | 000,000,202 | ---- | M] () -- C:\WINDOWS\info1
[2011-08-22 19:31:37 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
[2011-08-22 19:18:58 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-08-22 19:18:56 | 000,137,728 | ---- | M] () -- C:\WINDOWS\systemup.exe
[2011-08-22 18:33:42 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011-08-20 20:17:42 | 000,258,048 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
[2011-08-20 20:17:42 | 000,258,048 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011-08-20 19:49:26 | 001,182,208 | ---- | M] () -- C:\WINDOWS\services32.exe

:Files
C:\WINDOWS\av_ico
C:\WINDOWS\update.*
C:\WINDOWS\rpcminer

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. W aplecie panelu sterowania (Dodaj lub usuń programy) do deinstalacji śmieć: Softonic-Polska Toolbar , Conduit Engine

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Odinstaluj poszkodowane Antyvirusy - Avire / narazie jej nie instaluj, zrobimy to na samym końcu.

5. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

6. Tworzysz i wklejasz log z Dostępne tylko dla zarejestrowanych użytkowników. Jeżeli coś wykryje ignoruj a jedynie wklej loga.

7. Pokaż zawartość pliku boot.ini

Czyli końcowo pokazujesz:

• Raport z usuwania OTL (po restarcie),
• Raport z czyszczenia Ad-Remover'em,
• Nowe logi z OTL.
• Log z TDSSKiller'a

[ZKiN2001]

Raport z czyszczenia Ad-Remover'em: Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi z OTL:
Extras: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSSKiller'a: Dostępne tylko dla zarejestrowanych użytkowników
boot.ini : Dostępne tylko dla zarejestrowanych użytkowników
Nie wiem gdzie znajduje sie raport z usuwania OTL po restarcie:/

[djarta]

Infekcja całkowicie usunięta.

1. Uruchom OTL i wciśnij Sprzątanie.

2. Uruchom Ad-Remover i wciśnij UNINSTALL.

3. Aktualizacje:

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.5
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)

• Aktualizacja liska -> Dostępne tylko dla zarejestrowanych użytkowników.
• Starą Javę odinstaluj i wymień na Dostępne tylko dla zarejestrowanych użytkowników (Download JRE > wybór jednego z instalatorów o nazwie "Windows x86...").
• Sprawdź jaką wersję Flash posiadasz otwierając po kolei w przeglądarkach IE, Firefox i Opera tę stronę: Dostępne tylko dla zarejestrowanych użytkowników. Najnowszy to Dostępne tylko dla zarejestrowanych użytkowników (tę stronę pobierania także należy uruchomić w każdej z przeglądarek z osobna, nie zaznaczaj montażu sponsorów).
• Shockwave jest już w wersji Dostępne tylko dla zarejestrowanych użytkowników.
• To samo z Reader'em -> Dostępne tylko dla zarejestrowanych użytkowników

4. Do wyczyszczenia punkty przywracania systemu: Dostępne tylko dla zarejestrowanych użytkowników

5. Zalecam ponowne PEŁNE SKANOWANIE SYSTEMU za pomocą MalwareBytes Anti-Malware . Przed skanowaniem zaaktualizuj ręcznie bazę wirusów. Usuń to co znajdzie i wklej raport końcowy po czyszczeniu.

6. Pozmieniałbym hasła do wszystkich kont jakich używałaś.

7. Odinstaluj na koniec AVG i zainstaluj go jeszcze raz.

[ZKiN2001]

Dziękuje za pomoc. Wszystko działa już dobrze