Wirus z fb "hi, wanna laugh"

Post23 sie 2011, 19:10

Witam, ja też niestety padłem ofiarą wirusa z facebooka. Proszę o pomoc :cry:

Log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Extras:
Dostępne tylko dla zarejestrowanych użytkowników

Proszę o opis czynności krok po kroku.
Z góry dziękuję za pomoc

Post23 sie 2011, 19:56

Na dobry początek:
Użyj USBFix, >http://www.hotfix.pl/uzytkowanie-programu-usbfix-a310.htm
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2005-10-06 08:48:37 | 000,156,280 | ---- | C] () -- C:\WINDOWS\System32\q3pls2e0.dat
[2005-10-06 08:48:37 | 000,039,792 | ---- | C] () -- C:\WINDOWS\System32\fb1hltm8.dat
[2005-10-06 08:48:37 | 000,002,688 | ---- | C] () -- C:\WINDOWS\System32\e0r51ff2.dat
[2005-10-06 08:48:37 | 000,001,944 | ---- | C] () -- C:\WINDOWS\System32\4iadfpvh.dat
[2005-10-06 08:48:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ppj98k7q.dat
[2005-10-06 08:48:32 | 000,000,035 | ---- | C] () -- C:\WINDOWS\System32\cobsnbgg.ini
[2005-10-06 08:48:32 | 000,000,035 | ---- | C] () -- C:\WINDOWS\System32\1hoajf9v.ini
[2005-10-06 08:48:31 | 000,004,465 | ---- | C] () -- C:\WINDOWS\System32\vsciaiqi.ini
[2006-02-19 11:26:13 | 000,420,632 | ---- | C] () -- C:\WINDOWS\System32\dedtmvt5.dat
[2006-02-19 11:25:40 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\ojdbsp4f.dat
[2007-01-20 17:14:09 | 000,000,009 | ---- | C] () -- C:\WINDOWS\System32\qkhwa93y.ini
[2011-08-20 08:19:22 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-08-20 08:19:22 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-08-20 08:19:20 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-08-20 07:50:04 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-08-20 07:50:03 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-08-20 07:50:03 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-08-20 07:47:43 | 000,000,201 | ---- | C] () -- C:\WINDOWS\info1
[2011-08-20 07:47:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011-08-20 08:19:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-08-20 08:19:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-20 08:19:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-20 08:18:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-20 07:48:25 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-08-20 07:46:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-08-20 07:44:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-08-20 07:44:55 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0-lnk
[2011-08-20 07:44:55 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0
[2011-08-20 07:44:55 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-08-20 07:44:55 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
O31 - SafeBoot: AlternateShell - services32.exe
O4 - HKCU..\Run: [NokiaOviSuite2] File not found
O4 - HKCU..\Run: [PCSpeedUp] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
IE - HKCU\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - File not found
SRV - [2011-08-20 08:19:56 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
MOD - [2011-08-20 08:19:56 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.tray-9-0\svchost.exe"=-
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post23 sie 2011, 21:32

Po zakończeniu na USBFix'ie
Dostępne tylko dla zarejestrowanych użytkowników
Po skrypcie
Dostępne tylko dla zarejestrowanych użytkowników
Nowy log z OTL
Dostępne tylko dla zarejestrowanych użytkowników

-- 23 sie 2011, 21:32 --

PRzepraszam bardzo, bo pierwszego posta pisał mój znajomy, teraz zauważyłem że należy wpisać ten kod przy skanowaniu
"netsvcs
msconfig
safebootminimal
safebootnetwork
%systemdrive%\*.*
/md5start
agp440.sys
atapi.sys
beep.sys
cdrom.sys
ndis.sys
winlogon.exe
userinit.exe
/md5stop"

Oto log z OTL
Dostępne tylko dla zarejestrowanych użytkowników

Post23 sie 2011, 21:36

1) W USBFix kliknij na DELETION.

2) Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

F.

Post23 sie 2011, 21:56

Wyskoczyła informacja, że zostało poprawnie wprowadzone do rejestru. To już wszystko?

Post23 sie 2011, 22:13

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

To wszystko.

F.

Post23 sie 2011, 23:17

Nowy antywirus już śmiga, po robalu raczej śladu nie ma. Dzięki wielkie