Wirus z portalu Facebook

Post27 lip 2011, 11:12

Witam,
Mam problem z nowym wirusem z facebooka którego mam już od poniedziałku.
Została nadesłana do mnie wiadomość od koleżanki: "Hi, how are you?"...
od tego czasu mam problemy z internetem, komputer znacznie spowolniony.
Poniżej przedstawiam Wam logi z OTL proszę o szybką pomoc w tej sprawie.

OTL.txt: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post27 lip 2011, 12:40

Niektóe elementy mogłem ominąć, pójdą w następnym usuwaniu.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O32 - AutoRun File - [2011-07-27 10:57:53 | 000,000,051 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-07-27 10:57:53 | 000,000,051 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-07-27 10:57:53 | 000,000,051 | RHS- | M] () - F:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{984ea994-ab9b-11e0-ba00-20cf307309db}\Shell\AutoRun\command - "" = H:\wyskq6lt.exe
O33 - MountPoints2\{984ea994-ab9b-11e0-ba00-20cf307309db}\Shell\open\Command - "" = H:\wyskq6lt.exe
O31 - SafeBoot: AlternateShell - services32.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O4 - HKCU..\Run: [King_ar] C:\WINDOWS\system32\arking.exe ()
O4 - HKCU..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-2-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] C:\WINDOWS\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [w_distrib.exe] C:\WINDOWS\update.3\svchost.exe ()
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [2538415.exe] C:\WINDOWS\TEMP\2538415.exe ()
O4 - HKLM..\Run: [3080739.exe] C:\Documents and Settings\A1\Ustawienia lokalne\Temp\3080739.exe ()
O4 - HKLM..\Run: [3135610.exe] C:\Documents and Settings\A1\Ustawienia lokalne\Temp\3135610.exe ()
O4 - HKLM..\Run: [33797192-loader2.exe] C:\WINDOWS\TEMP\33797192-loader2.exe ()
O4 - HKLM..\Run: [6070131.exe] C:\WINDOWS\TEMP\6070131.exe ()
O4 - HKLM..\Run: [9306311.exe] C:\WINDOWS\TEMP\9306311.exe ()
SRV - [2011-07-27 10:45:00 | 000,502,272 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-07-26 01:54:12 | 000,348,672 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-07-25 16:10:40 | 000,256,000 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-07-25 13:32:34 | 001,185,280 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
MOD - [2011-07-27 10:42:01 | 000,116,736 | RHS- | M] () -- C:\WINDOWS\system32\mgking0.dll
MOD - [2011-07-27 10:41:55 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\vcmgcd32.dll
[2011-07-26 05:31:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.3
[2011-07-26 01:17:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-07-26 01:17:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-07-25 13:49:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-07-25 13:49:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-07-25 13:49:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-07-25 13:46:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-07-25 13:46:15 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-07-25 13:44:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-07-25 13:43:20 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-07-25 13:43:17 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0-lnk
[2011-07-25 13:43:17 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0
[2011-07-27 10:45:29 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-07-27 10:45:01 | 000,000,201 | ---- | M] () -- C:\WINDOWS\info1
[2011-07-27 10:42:01 | 000,116,736 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll
[2011-07-27 10:42:00 | 000,017,878 | -H-- | M] () -- C:\WINDOWS\System32\vcmgcd32.dl_
[2011-07-25 16:10:40 | 000,276,480 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
[2011-07-25 16:10:40 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011-07-25 13:50:27 | 000,114,176 | ---- | M] () -- C:\WINDOWS\systemup.exe
[2011-07-25 13:49:27 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-07-25 13:49:27 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-07-25 13:49:27 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-07-25 13:49:26 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-07-25 13:49:05 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-07-25 13:46:42 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
[2011-07-25 13:46:31 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-07-25 13:32:34 | 001,205,760 | ---- | M] () -- C:\WINDOWS\services32.exe

:Files
C:\Documents and Settings\A1\Pulpit\Flash-Player.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\A1\Pulpit\Flash-Player.exe" =-
"C:\WINDOWS\update.1\svchost.exe" =-
"C:\WINDOWS\update.tray-2-0\svchost.exe" =-
"C:\WINDOWS\update.tray-2-0-lnk\svchost.exe" = -
"C:\WINDOWS\update.2\svchost.exe" =-
"C:\WINDOWS\update.3\svchost.exe" =-

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. W aplecie panelu sterowania (Dodaj lub usuń programy) do deinstalacji śmieć: Babylon Toolbar

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Podłącz wszystkie urządzenia przenośne (pendrive / komórki / mp3 / dyski przenośne) i użyj USBFix z opcji DELETION.
Pokaż raport z usuwania (wszystko opisane jest w poradniku)!

5. Następnie usuń wszystkie poszkodowane antywirusy posługując się awaryjnymi firmowymi deinstalatorami: Dostępne tylko dla zarejestrowanych użytkowników + Dostępne tylko dla zarejestrowanych użytkowników

6. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

Czyli końcowo pokazujesz:
Raport z usuwania OTL (po restarcie),
Raport z czyszczenia Ad-Remover'em,
Raport z czyszczenia USBFixem,
Nowe logi z OTL.

Post27 lip 2011, 15:37

Raport z usuwania OTL: Dostępne tylko dla zarejestrowanych użytkowników
Raport z czyszczenia Ad-Remover'em: Dostępne tylko dla zarejestrowanych użytkowników
Raport z czyszczenia USBFixem: Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników

Post27 lip 2011, 16:16

[2011-07-27 15:30:55 | 000,017,878 | -H-- | M] () -- C:\WINDOWS\System32\vcmgcd32.dl_
[2011-07-27 15:29:27 | 000,036,864 | ---- | M] () -- C:\WINDOWS\System32\vcmgcd32.dll

Myślałem, że te dwa pliki się usuną - jednak nie czyli jest aktywny wirus SALITY.
Wypal płytę z Dr.Web LiveCD i przeskanuj nim cały komputer. Lecz/usuwaj to co znajdzie.
Po tej procedurze tworzysz i pokazujesz nowe logi z OTL.