facebook-wirus "hi ,wanna laugh,,

[kamilaaaaa]

Hej.Mam bardzo duży problem z wirusem z Facebook'a - "hi, wanna laugh?". Nie bardzo znam się i nie wiem jak mam go usunąć z komputera i Facebooka.
Zainstalowałam program Malwarebytes Anti-Malware i przeprowadziłam skany. Co mam dalej zrobić ? ;((
Może ktoś zna się na tym.
Proszę szybką pomoc ,bo inaczej to się załamie.

[djarta]

Zapoznaj się: bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html
i wkle odpowiednie logi.

[kamilaaaaa]

to są logi :
Dostępne tylko dla zarejestrowanych użytkowników

-- 23 sie 2011, 14:15 --

Proszę o szybkie sprawdzenie tego i dalszych instrukcji.

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-08-20 22:18:06 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
SRV - [2011-08-20 22:18:06 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
IE - HKU\S-1-5-21-1606980848-1614895754-1801674531-1004\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - Reg Error: Key error. File not found
[2011-06-02 17:59:55 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Kamila\Dane aplikacji\Mozilla\Firefox\Profiles\639k2qvq.default\extensions\engine@conduit.com
[2010-12-22 17:23:04 | 000,000,941 | ---- | M] () -- C:\Documents and Settings\Kamila\Dane aplikacji\Mozilla\Firefox\Profiles\639k2qvq.default\searchplugins\conduit.xml
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
OO2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1606980848-1614895754-1801674531-1004\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1606980848-1614895754-1801674531-1004\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [1989351.exe] C:\WINDOWS\TEMP\1989351.exe ()
O4 - HKLM..\Run: [4185462.exe] C:\Documents and Settings\Kamila\Ustawienia lokalne\Temp\4185462.exe ()
O4 - HKLM..\Run: [6400010.exe] C:\WINDOWS\TEMP\6400010.exe ()
O4 - HKLM..\Run: [93721973-loader2.exe] C:\WINDOWS\TEMP\93721973-loader2.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O31 - SafeBoot: AlternateShell - cmd-brontok.exe
[2011-08-23 10:18:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-23
[2011-08-22 17:33:21 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-22
[2011-08-21 20:27:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-21
[2011-08-20 22:51:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-20 22:51:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-08-20 22:51:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-20 22:26:21 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-08-20 22:20:37 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-20 22:18:08 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-08-20 21:52:27 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-08-10 09:17:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-10
[2011-07-01 21:25:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-1
[2011-06-27 14:55:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-27
[2011-06-25 21:20:53 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-25
[2011-06-25 19:26:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Dane aplikacji\PriceGong
[2011-06-19 18:35:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-19
[2011-06-05 11:15:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-5
[2011-06-02 15:36:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-2
[2011-05-31 20:01:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-31
[2011-02-26 18:07:41 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-26
[2011-02-20 13:19:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok
[2011-02-20 13:17:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok
[2011-02-20 13:11:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-20
[2011-02-20 12:53:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Dane aplikacji\Dealio
[2011-02-20 12:51:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kamila\Dane aplikacji\Search Settings
[2011-08-22 21:18:13 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-22 17:47:20 | 000,000,202 | ---- | M] () -- C:\WINDOWS\info1
[2011-08-21 20:36:00 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\Kamila\Ustawienia lokalne\Dane aplikacji\Bron.tok.A16.em.bin
[2011-08-20 22:51:08 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-08-20 22:51:08 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-08-20 22:51:08 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-08-20 22:50:59 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-08-20 22:29:13 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-08-20 22:17:01 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\RECYCLER\services.exe"=-"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[kamilaaaaa]

Dostępne tylko dla zarejestrowanych użytkowników to jest ten po wklejeniu co mi podałaś
Dostępne tylko dla zarejestrowanych użytkowników a to jest ten po wykonaniu skanu
co mam dalej robić ?

[djarta]

Wykonaj skrypt jeszcze raz, po przez przypadek nie wkleiłaś :OTL.
Czyli wykonaj jeszcze raz usuwanie, tym razem wklej wszystko do białego okienka.
Pokazujesz nowy raport z usuwania + nowe logi z OTL.

[kamilaaaaa]

To jest to po wklejeniu całego tekstu:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
co mam robić dalej ?

[filutka78]

Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{51A86BB3-6602-4C85-92A5-130EE4864F13}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32_.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32.exe"=-


Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

To wszystko.

F.

[kamilaaaaa]

niestety to nie podziałało bo nie mogę nadal wejść na Facebooka i w moje różne pliki na komputerze które prawdopodobnie są zainfekowane przez tego wirusa ;<

-- 25 sie 2011, 15:00 --

jak mam sprawdzić czy na 100% nie mam już tego wirusa na komputerze ?

[filutka78]

W ostatnim logu nie widać aktywnej infekcji, więc nie mam w czym pomóc.
Jeśli chodzi o programy, które nie działają, to oczywiście musisz je przeinstalować.
Natomiast jeśli nie możesz otworzyć stworzonych przez Ciebie plików, to być może jest jeszcze jakaś niewidzialna w logach infekcja, która zakodowała Twoje pliki.

A więc dodatkowo:
1) przeskanuj komputer przy pomocy MBAM >http://www.hotfix.pl/obsluga-programu-malwarebytes-anti-malware-a55.htm
2) przeskanuj komputer przy pomocy KVRT >Dostępne tylko dla zarejestrowanych użytkowników

F.

[kamilaaaaa]

ok spróbuje go przeskanować tymi antywirusami, jeżeli nic nie wykryje to sformatuje dyski i wgram nowego Windowsa. może to coś da?

-- 25 sie 2011, 16:34 --

wykonałam teraz skany programem Malwarebytes Anti-Malware :
Malwarebytes' Anti-Malware 1.51.1.1800
Dostępne tylko dla zarejestrowanych użytkowników

Wersja bazy: 7035

Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702

2011-08-25 16:15:28
mbam-log-2011-08-25 (16-15-28).txt

Typ skanowania: Pełne skanowanie (A:\|C:\|D:\|E:\|)
Przeskanowano obiektów: 276188
Upłynęło: 41 minut(y), 13 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 0

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
(Nie znaleziono zagrożeń)

o i wykazało coś takiego, wszystko czyste ale nadal nie mam dojścia do Facebooka i nie działają mi te pliki;<

-- 25 sie 2011, 16:58 --

ok już jest .Na stronie internetowej zeskanowałam wszystkie błędy i wirusy i działa mi Facebook. Dziękuje wszystkim za wszelką pomoc

[XMan]

Wirusy jeszcze mogą być w punkcie przywracania systemu.
Dla pewności dodatkowo /zostało wyczyszczone/ :
Start --> Panel sterowania --> System --> Przywracanie systemu --> Wyłącz Przywracanie systemu
na wszystkich dyskach - Zastosuj - OK.
Włącz przywracanie systemu w tym miejscu - Zastosuj - OK.
Utwórz tylko jeden punkt przywracania systemu.
Start -> Wszystkie programy -> Akcesoria -> Narzędzia systemowe -> Przywracanie systemu -> Utwórz punkt przywracania -> Dalej - wpisujesz dowolną nazwę - Utwórz.

Przeczyść komputer programem CCleaner.
U góry po lewej ,,Cleaner" na dole Analiza - Uruchom Cleaner
póżniej ,,Rejestr" Skanuj by znależć problemy - Napraw zaznaczone problemy.
CCleanera używaj po częstym surfowaniu po internecie oraz po każdej deinstalacji programów i sterowników.

kliknij aby powiększyć :
Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników