wirus FB ufa - pomocy.

Post01 lis 2011, 16:55

Hej,
podaję logi i proszę o pomoc:)
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Anka

Post01 lis 2011, 17:26

przepraszam, nie wiedziałam.
Pozdrawiam
Anka

// A regulamin się akceptowało :naughty:

OK. Dziś przymkne oko

mint1991

Post01 lis 2011, 17:30

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2011-10-30 11:25:17 | 000,344,576 | ---- | M] () -- C:\WINDOWS\update.5.0\svchost.exe
MOD - [2011-10-30 11:19:19 | 001,942,528 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
MOD - [2011-10-30 11:18:35 | 000,258,048 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
SRV - [2011-10-30 11:25:17 | 000,344,576 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-10-30 11:19:19 | 001,942,528 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-10-30 11:18:35 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-10-30 11:03:39 | 001,109,504 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/"
FF - prefs.js..extensions.enabledItems: {7AB6D133-2A14-4C11-B3AD-35B1548D38F9}:1.0
FF - prefs.js..extensions.enabledItems: {2224E955-00E9-4613-A844-CE69FCCAAE91}:3.7.0.4550
FF - prefs.js..extensions.enabledItems: {0BA0192D-94A5-45e3-B2B8-3EC5A1A0B5EC}:1.5.6.910
FF - prefs.js..browser.search.selectedEngine: "BearShare Web Search"
FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search"
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&q="
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{2224E955-00E9-4613-A844-CE69FCCAAE91}: C:\Program Files\Internet Saving Optimizer\3.7.0.4550\FF [2009-08-30 10:41:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{0BA0192D-94A5-45e3-B2B8-3EC5A1A0B5EC}: C:\Program Files\Media Access Startup\1.5.6.910\FF [2009-08-30 10:41:22 | 000,000,000 | ---D | M]
[2009-09-04 19:07:28 | 000,000,000 | ---D | M] (Sukoku) -- C:\Program Files\Mozilla Firefox\extensions\{7AB6D133-2A14-4C11-B3AD-35B1548D38F9}
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {0388BA0C-C7F1-4E6A-BD7A-B59623F33363} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0388BA0C-C7F1-4E6A-BD7A-B59623F33363} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {5617ECA9-488D-4BA2-8562-9710B9AB78D2} - No CLSID value found.
O4 - HKLM..\Run: [1807856.exe] C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temp\1807856.exe ()
O4 - HKLM..\Run: [2641795.exe] C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temp\2641795.exe ()
O4 - HKLM..\Run: [5323709.exe] C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temp\5323709.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-2-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe (Cronosoft)
O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray File not found
O4 - HKCU..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~2\MediaBar\DataMngr\datamngr.dll) - File not found
O31 - SafeBoot: AlternateShell - services32.exe
O33 - MountPoints2\{045f6403-f4af-11df-995b-00e04c075661}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{177cd22c-2495-11df-96fe-00e04c075661}\Shell\AutoRun\command - "" = F:\EXPLORER.EXE
O33 - MountPoints2\{177cd22c-2495-11df-96fe-00e04c075661}\Shell\explore\Command - "" = F:\EXPLORER.EXE
O33 - MountPoints2\{177cd22c-2495-11df-96fe-00e04c075661}\Shell\open\Command - "" = F:\EXPLORER.EXE
O33 - MountPoints2\{5bf5fb35-a84b-11dd-9298-00e04c075661}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{62762de0-6100-11de-94f7-00e04c075661}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{928d4ae6-05f9-11e0-998b-00e04c075661}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{9a4a231a-14d8-11e0-99d0-00e04c075661}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{a885a1f4-453e-11de-94b5-00e04c075661}\Shell\AutoRun\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
O33 - MountPoints2\{a885a1f4-453e-11de-94b5-00e04c075661}\Shell\open\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
[2011-10-30 12:51:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-10-30 12:51:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-10-30 12:51:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-10-30 11:25:19 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-10-30 11:19:21 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-10-30 11:17:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-10-30 11:16:31 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-10-30 11:16:10 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0-lnk
[2011-10-30 11:16:10 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0
[2011-11-01 16:14:10 | 000,000,296 | ---- | M] () -- C:\WINDOWS\tasks\BearShareNAG.job
[2011-10-30 11:03:39 | 001,109,504 | ---- | M] (Cronosoft) -- C:\WINDOWS\services32.exe
[2011-10-30 11:26:32 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-10-30 11:26:32 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-10-30 11:26:28 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-10-30 11:20:39 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-10-30 11:20:38 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-10-30 11:20:38 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-10-30 11:19:20 | 000,000,112 | ---- | C] () -- C:\WINDOWS\info1
[2011-10-30 11:19:03 | 000,258,048 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
[2011-10-30 11:18:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011-10-30 11:18:43 | 000,258,048 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"7221:TCP"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.tray-2-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Użyj >USBFix
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.

3) Użyj > MBAM
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

F.

Post05 lis 2011, 11:18

Hej!
Zrobiłam wszystko tak jak mi poradzono, a nie mogę uruchomić facebooka. Zrobiłam coś nie tak, czy to raczej normalne?

Anka

Post05 lis 2011, 11:22

ja nie widzę żadnego raportu z tego wykonywania, ani nowego logu, więc nie mogę wiedzieć, co jest "nie tak"

F.

Post05 lis 2011, 11:57

Dostępne tylko dla zarejestrowanych użytkowników

-- 05 lis 2011, 12:57 --

z USBFix mam problem, skanuje komputer, a potem nie ma reakcji.

Post05 lis 2011, 11:58

zostaw go, przejdź do następnych punktów

Post05 lis 2011, 12:03

tak zrobiłam, przeskanowałam komputer MBAM i usunęłam zaznaczone.
To dostałam zwrotnie: Dostępne tylko dla zarejestrowanych użytkowników

-- 05 lis 2011, 13:03 --

dodam, że fb nie działał jeszcze przed skanem MBAM.

Post05 lis 2011, 12:06

daj nowy log z OTL

Post05 lis 2011, 12:08

Dostępne tylko dla zarejestrowanych użytkowników

Post05 lis 2011, 12:13

anna_karenina pisze:Hej!
Zrobiłam wszystko tak jak mi poradzono, a nie mogę uruchomić facebooka.

uuuuuaaaaa , ale się narobiło ..... koniec świata , bo nie możesz korzystać z serwisu społecznościowego , który jest atakowany ( infekowany ) przez hakerów tylko dlatego ,że jest taki popularny.
Proponuję kupić markowy , program zabezpieczający komputer ,postawić od początku system ,zmienić serwis na inny a przede wszystkim zachować zdrowy rozsądek i logiczne myślenie kiedy jesteś na swoim ulubionym facebooku.

---------------------------------------------------
Powstrzymaj się od takich komentarzy, gdyż są one zbędne. Jeśli Masz zamiar ubliżać innym - to się pomyliłeś.

Post05 lis 2011, 12:15

nie oceniaj mnie. nie znasz mnie.

Post05 lis 2011, 12:16

Uruchom OTL i w oknie Własne opcje skanowania/Script wpisz (a nie wklej!) to:

:OTL
[2009-08-30 10:41:11 | 000,000,000 | ---D | M] ("NP Helper Class") -- C:\PROGRAM FILES\INTERNET SAVING OPTIMIZER\3.7.0.4550\FF
[2009-08-30 10:41:22 | 000,000,000 | ---D | M] ("Media Access Startup") -- C:\PROGRAM FILES\MEDIA ACCESS STARTUP\1.5.6.910\FF
[2009-09-04 19:07:29 | 000,002,381 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\sukoku117.xml
SRV - File not found [Auto | Stopped] -- -- (yijqnx)

:Commands
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post05 lis 2011, 12:38

Dostępne tylko dla zarejestrowanych użytkowników raport
Dostępne tylko dla zarejestrowanych użytkowników nowy log

Post05 lis 2011, 12:39

anna_karenina pisze:nie oceniaj mnie. nie znasz mnie.

szanowna pani , przed uruchomieniem OTL, GMER, RSIT, DSS i innych programów tworzących logi należy odinstalować wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst , masz tego typu programy bo przeglądałem ....twoje logi - myslałem ,że na facebooku można o tym poczytać - widocznie się pomyliłem .
Oceniać cię ? nie pochlebiaj sobie ..... wystarczy ,że korzystasz z facebooka i G.G 10.