Wirus z facebooka. Proszę o pomoc

[olsenisko16]

Załapałem wirusa z facebooka. Kliknąłem link od kolegi tam był niby filmik, ściągnął się jakiś flash i zaczęło się psuć. Komp się wyłączył, uruchomił w trybie awaryjnym, za chwilę się zresetował a potem uruchomił już w normalnym trybie. Po podłączeniu do neta zaraz się restartuję i sytuacja się powtarza. Proszę o pomoc, ponieważ jestem laikiem w takich sprawach. Przeskanowałem go OTL, załączam raport.


OTL: Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-10-29 18:34:01 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32_.exe
MOD - [2011-10-29 18:34:01 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
SRV - [2011-10-30 12:03:39 | 001,942,528 | ---- | M] () [Auto | Running] -- C:\Windows\update.2\svchost.exe -- (srviecheck)
SRV - [2011-10-29 18:58:15 | 000,344,576 | ---- | M] () [Auto | Running] -- C:\Windows\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-10-29 18:34:01 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-10-29 18:20:26 | 001,109,504 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\Windows\update.1\svchost.exe -- (wxpdrivers)
O4 - HKLM..\Run: [1615492.exe] C:\Users\Antoni\AppData\Local\Temp\1615492.exe ()
O4 - HKLM..\Run: [1777126.exe] C:\Windows\Temp\1777126.exe ()
O4 - HKLM..\Run: [5357065.exe] C:\Windows\Temp\5357065.exe ()
O4 - HKLM..\Run: [5611393.exe] C:\Users\Antoni\AppData\Local\Temp\5611393.exe ()
O4 - HKLM..\Run: [7144849.exe] C:\Windows\Temp\7144849.exe ()
O4 - HKLM..\Run: [8293682.exe] C:\Windows\Temp\8293682.exe ()
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-7-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-15-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico2] C:\Windows\update.tray-2-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe File not found
O4 - HKCU..\Run: [TOSCDSPD] TOSCDSPD.EXE File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_03)
O31 - SafeBoot: AlternateShell - services32.exe
O33 - MountPoints2\{92b0cf34-6b54-11dd-90d1-001e33386edd}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe
O33 - MountPoints2\{e412da1a-0ad9-11e0-bd1a-001e33386edd}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{e9074fb0-7add-11de-b127-001e33386edd}\Shell\AutoRun\command - "" = 9dlvtiil.exe
O33 - MountPoints2\{e9074fb0-7add-11de-b127-001e33386edd}\Shell\open\Command - "" = 9dlvtiil.exe
[2011-10-30 20:00:38 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0-lnk
[2011-10-30 20:00:38 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0
[2011-10-30 12:36:49 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-10-30 12:36:49 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011-10-30 12:36:49 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-10-30 12:29:06 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-15-0
[2011-10-30 12:24:23 | 000,000,000 | -H-D | C] -- C:\Windows\PIF
[2011-10-30 12:03:40 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-10-29 18:58:17 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-10-29 18:34:39 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011-10-29 18:32:19 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-10-29 18:32:04 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-15-0-lnk
[2011-10-29 18:32:03 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-2-0-lnk
[2011-10-29 18:32:03 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-2-0
[2011-10-23 18:44:58 | 000,000,000 | -HSD | C] -- C:\Users\Antoni\Network
[2011-01-06 20:24:48 | 000,376,832 | ---- | C] (Dauzkiw) -- C:\Users\Antoni\AppData\Roaming\wzil.exe
[2011-01-06 20:24:40 | 000,286,720 | ---- | C] (Dauzkiw) -- C:\Users\Antoni\AppData\Roaming\okdhr.exe
[2011-01-06 20:24:11 | 000,376,832 | ---- | C] (Dauzkiw) -- C:\Users\Antoni\AppData\Roaming\tbr.exe
[2011-01-06 20:24:04 | 000,286,720 | ---- | C] (Dauzkiw) -- C:\Users\Antoni\AppData\Roaming\iio.exe
[2011-01-06 20:22:11 | 000,376,832 | ---- | C] (Dauzkiw) -- C:\Users\Antoni\AppData\Roaming\sjir.exe
[2011-01-06 20:22:02 | 000,286,720 | ---- | C] (Dauzkiw) -- C:\Users\Antoni\AppData\Roaming\ppfl.exe
[2011-10-30 12:40:52 | 000,000,734 | ---- | M] () -- C:\Windows\System32\drivers\etc\hîsts
[2011-10-30 12:36:57 | 000,000,113 | ---- | M] () -- C:\Windows\info1
[2011-10-30 12:36:48 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-10-30 12:36:48 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-10-30 12:36:48 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-10-30 12:36:47 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-10-30 12:03:33 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
[2011-10-29 18:58:00 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-10-29 18:34:01 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32_.exe
[2011-10-29 18:34:01 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
[2008-05-31 05:34:51 | 000,000,014 | RHS- | C] () -- C:\Windows\System32\drivers\fbd.sys
[2008-05-31 05:34:51 | 000,000,004 | RHS- | C] () -- C:\Windows\System32\drivers\taishop.sys

:Files
C:\Users\Antoni\AppData\Local\Temp*.html

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Windows\update.1\svchost.exe"=-
"C:\Windows\update.tray-15-0\svchost.exe"=-
"C:\Windows\update.tray-2-0\svchost.exe"=-
"C:\Windows\update.2\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

2) Użyj USBFix >http://www.hotfix.pl/uzytkowanie-programu-usbfix-a310.htm
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.

3) Użyj MBAM >http://www.hotfix.pl/obsluga-programu-malwarebytes-anti-malware-a55.htm
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

4) Zainstaluj bezpieczniejszą wersję Javy >Dostępne tylko dla zarejestrowanych użytkowników

F.

[olsenisko16]

Wykonałem pkt 1 oto raporty teraz przechodzę do pkt 2.
Raport z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
log OTL: Dostępne tylko dla zarejestrowanych użytkowników

-- 31 paź 2011, 14:27 --

raport z usuwania usbfix: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2011-10-29 18:58:01 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist

:Files
E:\vsntcp.exe
E:\r.cpl
E:\SysConfig.{645FF040-5081-101B-9F08-00AA002F954E}

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Oczywiście zalecenia nr 3 i 4 z mojego poprzedniego postu pozostają w mocy!

F.

[olsenisko16]

raport po skanie i usunięciu z MBAM: Dostępne tylko dla zarejestrowanych użytkowników

-- 31 paź 2011, 16:31 --

nowy log OTL: Dostępne tylko dla zarejestrowanych użytkowników

-- 31 paź 2011, 16:47 --

java też już zainstalowana. Jak na razie problem ustał. Jeżeli to już wszystko to wielkie dzięki za rady i pomoc I mam takie pytanie czy jeżeli mam zainstalowanego tego MBAMa to nie będzie przeszkadzało jak zainstaluję np. avasta?

[XMan]

Poczekaj za sprawdzeniem nowych logów przez fachowców.

mam takie pytanie czy jeżeli mam zainstalowanego tego MBAMa to nie będzie przeszkadzało jak zainstaluję np. avasta?

- nie będzie przeszkadzać
Avast! Free Antivirus 6.0.1289 .
avast! Free Antivirus - zapoznanie i konfiguracja
Obsługa programu Malwarebytes' Anti-Malware.
Dodatkowo polecam skanowanie komputera oprócz w/w programów Dr.Web CureIt!.
(zawsze pobierasz najnowszą wersję)
Instrukcja użytkowania Dr. Web CureIt! .
Również nie będzie przeszkadzać

[filutka78]

File\Folder E:\vsntcp.exe not found.
File\Folder E:\r.cpl not found.
File\Folder E:\SysConfig.{645FF040-5081-101B-9F08-00AA002F954E} not found.

To wygląda tak, jakby pendrive (pamięć przenośna "E") nie był podpięty w czasie usuwania Scriptem.
Jeśli tak było naprawdę, to powtórz usuwanie, ale z tym podpiętym penem.

F.

[olsenisko16]

Log OTL po ponownym skanie: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Tak, teraz infekcja usunięta.

W USBFix kliknij na przycisk UNINSTALL.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

[olsenisko16]

Jak na razie wszystko gra, wielkie dzięki za pomoc