Wirus z Fb...

[martinez_266]

Witam. Padłem ofiarą wirusa z facebooka. Przesyłam logi. Z góry dziękuje.

Extras : Dostępne tylko dla zarejestrowanych użytkowników

OTL : Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - File not found [On_Demand | Stopped] -- -- (McComponentHostService)
3 - HKLM\..\Toolbar: (no name) - - No CLSID value found.
O4 - HKLM..\Run: [3703132.exe] C:\Users\Kasia\AppData\Local\Temp\3703132.exe ()
O4 - HKLM..\Run: [5895351.exe] C:\Windows\Temp\5895351.exe ()
O4 - HKLM..\Run: [6882694.exe] C:\Windows\Temp\6882694.exe ()
O4 - HKLM..\Run: [7610476.exe] C:\Windows\Temp\7610476.exe ()
O4 - HKLM..\Run: [8221477.exe] C:\Windows\Temp\8221477.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [TaskTray] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-9-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-8-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe (Cronosoft)
[2011-10-30 15:09:48 | 001,109,504 | ---- | C] (Cronosoft) -- C:\Windows\services32.exe
[2011-10-30 15:09:47 | 000,090,112 | ---- | C] (Sver) -- C:\Windows\System32\uyeyqin.exe
[2011-10-30 15:09:47 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011-10-30 13:44:49 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-10-30 13:44:49 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-10-30 13:41:02 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-10-30 13:40:33 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-10-30 13:33:19 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011-10-30 13:31:36 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-10-30 13:31:32 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-9-0-lnk
[2011-10-30 13:31:32 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-9-0
[2011-10-30 13:31:32 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-8-0-lnk
[2011-10-30 13:31:32 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-8-0
[2011-10-30 15:09:50 | 000,258,048 | ---- | M] () -- C:\Windows\SYSDRIVER32_.EXE
[2011-10-30 15:09:48 | 001,109,504 | ---- | M] (Cronosoft) -- C:\Windows\services32.exe
[2011-10-30 15:09:48 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
[2011-10-30 15:09:47 | 000,090,112 | ---- | M] (Sver) -- C:\Windows\System32\uyeyqin.exe
[2011-10-30 14:19:36 | 000,000,734 | ---- | M] () -- C:\Windows\System32\drivers\etc\hîsts
[2011-10-30 15:09:50 | 000,258,048 | ---- | C] () -- C:\Windows\SYSDRIVER32_.EXE
[2011-10-30 15:09:48 | 000,258,048 | ---- | C] () -- C:\Windows\sysdriver32.exe
[2011-10-30 13:44:48 | 005,589,370 | ---- | C] () -- C:\Windows\phoenix.rar
[2011-10-30 13:44:48 | 001,075,284 | ---- | C] () -- C:\Windows\rpcminer.rar
[2011-10-30 13:44:48 | 000,182,617 | ---- | C] () -- C:\Windows\ufa.rar
[2011-10-30 13:41:02 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok
[2011-10-30 13:40:44 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist
[2011-10-30 13:40:42 | 000,904,792 | ---- | C] () -- C:\Windows\geoiplist.rar
[2011-10-30 13:40:42 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe
[2011-10-30 13:40:32 | 000,000,113 | ---- | C] () -- C:\Windows\info1

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[martinez_266]

Wszystko zrobiłem jak należy tylko ze dopiero za drugim razem raport i wyskoczył a o to logi :

Raport : Dostępne tylko dla zarejestrowanych użytkowników

OTL : Dostępne tylko dla zarejestrowanych użytkowników

Chciał bym dodać ze wszedłem na chwilkę na facebooka i okazało się że już działa. Proszę o dalsze wskazówki.

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
RV - File not found [Auto | Stopped] -- -- (wxpdrivers)
SRV - File not found [Auto | Stopped] -- -- (srvsysdriver32)
SRV - File not found [Auto | Stopped] -- -- (srviecheck)
SRV - File not found [Auto | Stopped] -- -- (srvbtcclient)
SRV - File not found [Auto | Stopped] -- -- (mcodabsbgudayh)
O31 - SafeBoot: AlternateShell - services32.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[martinez_266]

Zrobiłem to trzy krotnie i za kazdym razem nie pokazał mi sie raport po restarcie. Nie wiem co teraz mam zrobic. Wrzucam sam log OTL :

OLT : Dostępne tylko dla zarejestrowanych użytkowników

Może nie pokazanie sie raportu jest związane z opcjami OTL. Przy opcji Rejestr - skan doykowamy :
Brak
Użyj filtrowania
Wszystko
Mam zaznaczone brak i nie jestem pewien czy to jest dobrze.

[filutka78]

Może nie pokazanie sie raportu jest związane z opcjami OTL. Przy opcji Rejestr - skan doykowamy :
Brak
Użyj filtrowania
Wszystko
Mam zaznaczone brak i nie jestem pewien czy to jest dobrze.

Nie, to ma tylko wpływ na to, czy pokaże się log Extras.txt. Ze Scriptem nie ma to nic wspólnego.

Uruchom OTL i w oknie Własne opcje skanowania/Script wpisz (a nie wklej) to:

:OTL
SRV - File not found [Auto | Stopped] -- -- (wxpdrivers)
O31 - SafeBoot: AlternateShell - services32.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[martinez_266]

Tym razem raport sie pokazał. A mam pytanie a to nie ma różnicy czy ktoś ma System Operacyjny Windows Xp czy Windows 7 ? Bo przy wpisywaniu zauwazyłem coś z wxp a ja mam Windowsa 7. Oto logi :

Raport - Dostępne tylko dla zarejestrowanych użytkowników

OTL - Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Bo przy wpisywaniu zauwazyłem coś z wxp a ja mam Windowsa 7

W tym przypadku nie ma znaczenia, jaki jest System, bo na wszystkich Systemach obiekty infekcji "wxpdrivers" mają takie same nazwy.

Teraz jest OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

EDIT:

Error: Unable to interpret <:Red> in the current context!
Error: Unable to interpret <[-HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Contro\SafeBoot\Minimal\wxpdrivers]> in the current context!
Error: Unable to interpret <[-HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Contro\SafeBoot\Network\wxpdrivers]> in the current context!

To się nie wykonało, bo zamiast literki "g" wpisałeś literkę "d".
Więc:
Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Contro\SafeBoot\Minimal\wxpdrivers]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Contro\SafeBoot\Network\wxpdrivers]


Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

F.

[martinez_266]

Już to właśnie dokonałem. Wyskoczył komunik ze dodano do rejestru. Dziękuje Ci bardzo. Wcześniej nie mogłem wejść na stronke Dostępne tylko dla zarejestrowanych użytkowników przez tego wirusa a teraz bez problemu wchodzi. I mam jeszcze pytanko. Jak w antywirusie Malwarebytes' Anti-Malware zeskanuje pliki to będą jeszcze jakieś wirusy czy nie ?

[filutka78]

Jak w antywirusie Malwarebytes' Anti-Malware zeskanuje pliki to będą jeszcze jakieś wirusy czy nie ?

Sądziłam, że już go użyłeś, bo w logach widziałam go z dzisiejszą datą.
Jeśli jednak nie użyłeś go, to oczywiście użyj.

F.

[martinez_266]

Najpierw go użyłem usunąłem wirusy było ich 80. A później przywróciłem bo myślałem że jak usunąłem wirusy to nie działa facebook. Teraz nu ich wykryło 9 więc je usune.

[djarta]

Temat zamknąć?

[martinez_266]

Owszem