Wirus z Facebooka

[rushowyandrzeJ]

Niestety, również padłem ofiarą tego wirusa.

Podaję logi, liczę na pomoc.

OTL.txt
Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-08-21 20:44:07 | 000,355,840 | ---- | M] () -- C:\WINDOWS\update.5.0\svchost.exe
MOD - [2011-08-21 14:37:34 | 000,634,880 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
MOD - [2011-08-21 09:03:06 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
MOD - [2011-08-21 08:45:57 | 001,216,000 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe
SRV - File not found [Auto | Stopped] -- -- (srvsysdriver32)
SRV - [2011-08-21 20:44:07 | 000,355,840 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-08-21 14:37:34 | 000,634,880 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-08-21 09:03:06 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-08-21 08:45:57 | 001,216,000 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found
O3 - HKU\S-1-5-21-1715567821-776561741-839522115-1004\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKU\S-1-5-21-1715567821-776561741-839522115-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found
O4 - HKLM..\Run: [1189661.exe] File not found
O4 - HKLM..\Run: [1703786.exe] C:\Documents and Settings\x\Ustawienia lokalne\Temp\1703786.exe ()
O4 - HKLM..\Run: [2602364.exe] File not found
O4 - HKLM..\Run: [32004336-loader2.exe] File not found
O4 - HKLM..\Run: [6453002.exe] File not found
O4 - HKLM..\Run: [Anti Trojan Elite] File not found
O4 - HKLM..\Run: [avast5] File not found
O4 - HKLM..\Run: [BearShare] File not found
O4 - HKLM..\Run: [KMConfig] File not found
O4 - HKLM..\Run: [l1rezerv.exe] File not found
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [sysdriver32.exe] File not found
O4 - HKLM..\Run: [sysdriver32_.exe] File not found
O4 - HKLM..\Run: [systemup] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O4 - HKLM..\RunOnceEx: [] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_18)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-21 09:10:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-21 09:10:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-08-21 09:10:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-21 09:05:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-08-21 09:05:04 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-21 09:03:07 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-08-21 08:59:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-08-21 08:57:42 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-08-21 08:57:35 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-08-21 08:57:35 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-08-22 11:31:14 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-21 09:10:38 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-08-21 09:10:38 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-08-21 09:10:36 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-08-21 09:03:24 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-08-21 09:03:23 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-08-21 09:03:07 | 000,000,202 | ---- | C] () -- C:\WINDOWS\info1
[2011-08-21 09:00:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011-08-21 08:46:01 | 001,216,000 | ---- | C] () -- C:\WINDOWS\services32.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[rushowyandrzeJ]

Raport z usuwania
Dostępne tylko dla zarejestrowanych użytkowników

OTL.txt
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

W nowym logu nie widzę już niczego szkodliwego, więc powinno być OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.



F.

[rushowyandrzeJ]

Serdecznie dziękuję za pomoc.