Wirus z facebooka

Post07 sie 2011, 16:01

Mam problem jak inni użytkownicy którzy popełnili błąd i dali się nabrać na link z naszym imieniem i nazwiskiem u mnie po ściągnięciu tego flash playera zaczęło się wszystko komplikować;/. To znaczy komputer sam uruchamiał się, włacza się tryb awaryjny itp. Facebook teraz mi się normalnie włącza i na portalu wszystko gra lecz wirus nadal jest, jak Go usunąć. Nie jestem za kumaty w tych sprawach więc jakby ktoś mógł łopatologicznie omówić rozwiązanie problemu byłbym wdzięczny.

Strona WWW · Post07 sie 2011, 16:33

Podaj logi z OTL według instrukcji:
http://www.hotfix.pl/obsluga-programu-otl-a143.htm

Post07 sie 2011, 20:26

djkamil09061991 pisze:http://www.hotfix.pl/obsluga-programu-otl-a143.htm

zaczynam skanować zaraz podam logi.

-- 07 sie 2011, 20:04 --

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post07 sie 2011, 20:40

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
SRV - File not found [Auto | Stopped] -- -- (AVP)
SRV - [2011-08-05 21:00:30 | 000,348,672 | ---- | M] () [Auto | Running] -- C:\Windows\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-08-05 20:56:31 | 000,726,016 | ---- | M] () [Auto | Running] -- C:\Windows\update.2\svchost.exe -- (srviecheck)
SRV - [2011-08-05 20:55:23 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
IE - HKU\S-1-5-21-3243377869-151075278-361889058-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
O2 - BHO: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - File not found
O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - File not found
O3 - HKLM\..\Toolbar: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-1-0\svchost.exe (Leary Tips Thyme Bakes Zen)
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-05 21:01:22 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-08-05 21:01:22 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011-08-05 21:01:22 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-08-07 19:57:45 | 000,000,734 | ---- | M] () -- C:\Windows\System32\drivers\etc\hîsts
[2011-08-05 22:00:08 | 000,000,157 | ---- | M] () -- C:\Windows\info1
[2011-08-05 21:01:21 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-08-05 20:57:09 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-08-05 20:55:54 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
[2011-08-05 20:55:23 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:63238B95

:Files
C:\WINDOWS\update.*

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[resethosts]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

Post07 sie 2011, 21:00

Raport Dostępne tylko dla zarejestrowanych użytkowników

OTL Dostępne tylko dla zarejestrowanych użytkowników

Post07 sie 2011, 21:08

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O3 - HKU\S-1-5-21-3243377869-151075278-361889058-1000\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
SRV - File not found [Auto | Stopped] -- -- (wxpdrivers)

:Files
C:\USERS\ARIEL\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\CO80IY0Z.DEFAULT\EXTENSIONS\{DD05FD3D-18DF-4CE4-AE53-E795339C5F01}.XPI
C:\USERS\ARIEL\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\CO80IY0Z.DEFAULT\EXTENSIONS\FFXTLBR@BABYLON.COM.XPI
C:\USERS\ARIEL\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\CO80IY0Z.DEFAULT\EXTENSIONS\TABSCOPE@XULDEV.ORG.XPI
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Users\Ariel\AppData\Roaming\mozilla\Firefox\Profiles\co80iy0z.default\extensions\vshare@toolbar
C:\Windows\av_ico
C:\Windows\phoenix.rar
C:\Windows\rpcminer.rar
C:\Windows\ufa.rar
C:\Windows\geoiplist
C:\Windows\Tasks\Install.job

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. W aplecie panelu sterowania (Dodaj lub usuń programy) do deinstalacji śmieć: DAEMON Tools Toolbar

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Odinstaluj Kasperskiego, został on uszkodzony podczas zainfekowania komputera. Oczywiście po deinstalacji możesz go ponownie zamontować.

5. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

Czyli końcowo pokazujesz:
Raport z usuwania OTL (po restarcie),
Raport z czyszczenia Ad-Remover'em,
Nowe logi z OTL.

Post07 sie 2011, 21:32

raport z czyszczenia Dostępne tylko dla zarejestrowanych użytkowników

nowe logi Dostępne tylko dla zarejestrowanych użytkowników

raport z usuwania OTL po restarcie nie moge znaleźć, ponieważ podczas czyszczenia komp ponownie sie uruchomił.

Post07 sie 2011, 21:50

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

:Files
C:\Windows\av_ico
C:\Windows\phoenix.rar
C:\Windows\rpcminer.rar
C:\Windows\ufa.rar
C:\Windows\geoiplist
C:\Windows\Tasks\Install.job

:Services
wxpdrivers

:Commands
[Reboot]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log z OTL + raport z usuwania.

Post07 sie 2011, 22:03

Raport z usuwania nie wyskoczył nie wiem dlaczego.
log z OTL Dostępne tylko dla zarejestrowanych użytkowników

Post07 sie 2011, 23:08

Tym razem skrypt się wykonał.
Ale dalej widzę zniszczonego Kasperskiego!

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

Kod: Zaznacz cały

:OTL
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?hp=df"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=toolbar2&q="

:Files
C:\USERS\ARIEL\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\CO80IY0Z.DEFAULT\EXTENSIONS\{DD05FD3D-18DF-4CE4-AE53-E795339C5F01}.XPI
C:\USERS\ARIEL\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\CO80IY0Z.DEFAULT\EXTENSIONS\FFXTLBR@BABYLON.COM.XPI
C:\USERS\ARIEL\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\CO80IY0Z.DEFAULT\EXTENSIONS\TABSCOPE@XULDEV.ORG.XPI
C:\Program Files\mozilla firefox\searchplugins\babylon.xml

Klik w Wykonaj Skrypt.

2. W OTL wciśnij przycisk Sprzątanie.

3. Uruchom Ad-Remover'a i wciśnij w nim UNINSTALL.

4. Aktualizacje:

"Opera 11.00.1156" = Opera 11.00
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 26
Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation
"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

Przeglądarki do aktualizacji: Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników.
Jave odinstaluj i zastąp ją Dostępne tylko dla zarejestrowanych użytkowników (Download JRE > wybór jednego z instalatorów o nazwie "Windows x86...").
Całą kolekcję przestarzałych dziurawych Java usuniesz za pomocą narzędzia Dostępne tylko dla zarejestrowanych użytkowników. Następnie ręcznie zainstaluj z tego linka najnowszą wersję: Dostępne tylko dla zarejestrowanych użytkowników (Download JRE > wybór jednego z instalatorów o nazwie "Windows x86...").
Wszystkie produkty Adobe do deinstalacji i zastąpienia najnowszymi wersjami: Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników. Stronę pobierania Flash należy otworzyć po kolei w przeglądarkach Internet Explorer + Firefox, gdyż są podawane dla tych przeglądarek inne instalatory. Przy żadnym z downloadów nie zaznaczaj instalacji sponsorów.
Doinstaluj do systemu Dostępne tylko dla zarejestrowanych użytkowników

5. Do wyczyszczenia punkty przywracania systemu: Dostępne tylko dla zarejestrowanych użytkowników

6. Zalecam ponowne PEŁNE SKANOWANIE SYSTEMU za pomocą MalwareBytes Anti-Malware . Przed skanowaniem zaaktualizuj ręcznie bazę wirusów. Usuń to co znajdzie i wklej raport końcowy po czyszczeniu.

Post31 paź 2011, 15:44

Dostępne tylko dla zarejestrowanych użytkowników

OTL : Dostępne tylko dla zarejestrowanych użytkowników
Extras : Dostępne tylko dla zarejestrowanych użytkowników

Post31 paź 2011, 17:02

@stasiupan

załóż swój własny temat