marek200
(Marekksiazek5)
29 Sierpień 2011 07:43
#1
Witam. Wiem, że na tym forum jest już temat dotyczący tego problemu. Niestety ani tutaj ani nigdzie indziej nie mogłem doszukać się jego rozwiązania. Mam win 7 x64. Jakiś czas temu dostałem wiadomość na chacie i dalej to już wszyscy wiedzą jak było. Wirus zainstalował się na komputerze, zablokował avasta i zerwał połączenie z internetem. Udało mi się je wznowić i pobrać Malwarebytes którym przeskanowałem komputer i usunąłem go. Teraz prawie wszystko jest ok tylko że nie mogę wejść na facebook’a. Dodam, że wyczyściłem system CCleaner’em, przeskanowałem go kolejny raz Malwarem, dodałem stronę do ignorowanych, przeskanowałem system OTL’em, próbowałem tworzyć jakieś skrypty o których to dowiedziałem się na innych forach i… dalej to samo.
Logi:
MBAM:
(23.08.2011 log z wykrytym wirusem)
http://www.wklejto.pl/10402
(28.08.2011 skanowanie partycji głównej. Na innych nic nie wykryło)
http://www.wklejto.pl/104024
OTL:
(log wykonany dzisiaj)
http://www.wklejto.pl/104025 (OTL)
http://www.wklejto.pl/104026 (OTL Extras)
Będę bardzo wdzięczny za pomoc. Pozdrawiam marek200.
to jest kara za ściąganie wirusów muhahahah :twisted: :twisted:
a tak na serio to
sprawdź inną przeglądarką
MietekN
(MietekN)
29 Sierpień 2011 08:29
#3
Wyedytuj plik C:\Windows\SysNative\drivers\etc\hosts
i pozostaw tylko linie:
127.0.0.1 localhost
marek200
(Marekksiazek5)
29 Sierpień 2011 08:58
#4
Już wcześniej edytowałem inny plik (Windows/system32/drivers/etc/hîsts) dziwnie się nazywa. Zostawiłem tam tylko to o czym mówiłeś i zapisałem (nie pomogło). Nie mam w windows’ie folderu “SysNative”. Co ciekawe próbowałem zmienić nazwę pliku “hîsts” na normalną “hosts” ale wyskoczył komunikat, że w tym folderze istnieje już plik o takiej nazwie więc musi być ukryty. A że win 7 mam od niedawna więc jestem trochę zielony i nie mogę znaleźć opcji wyszukiwania w ukrytych plikach/folderach.
Aha i w innych przeglądarkach też nie działa.
drobok
(Drobok)
29 Sierpień 2011 09:03
#5
Bo hists robi wirus, jego nie masz edytować ;]
Log nie jest pełny, daj nowy. Wklej go na wklej.org
Btw nie skanuje się malwarebytes i otl jednocześnie.
Tutaj masz tut ;]
marek200
(Marekksiazek5)
29 Sierpień 2011 09:22
#6
-Więc “hists” leci w kosz.
-Który log nie jest pełny?
-Nie skanowałem obydwoma programami jednocześnie (jeśli o to chodzi) ;P.
drobok
(Drobok)
29 Sierpień 2011 09:47
#7
Z otl jest ucięty na końcu.
Z mojego tutka:
wklej w własne opcje skanowania:
:OTL
O31 - SafeBoot: AlternateShell - services32.exe
:files
%windir%\rpcminer
%windir%\phoenix
%windir%\ufa
%windir%\av_ico
%windir%\update.*
%windir%\System32\drivers\etc\hîsts
%windir%\phoenix.rar
%windir%\rpcminer.rar
%windir%\ufa.rar
%windir%\l1rezerv.exe
%windir%\geoiplist
%windir%\geoiplist.rar
%windir%\info1
%windir%\RECYCLER
%windir%\sysdriver32_.exe
%windir%\sysdriver32.exe
%windir%\unrar.exe
%windir%\loader2.exe_ok
%windir%\systemup.exe
:Services
ddservice
wxpdrivers
srvbtcclient
srviecheck
srvsysdriver32
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"w_distrib.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico8"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico1"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico2"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico3"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico4"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico5"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico6"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico7"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"71244908-loader2.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"l1rezerv.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32_.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"systemup"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wxpdrv"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srvbtc1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\sysdriver32.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\systeminfog]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SERVICES32.EXE]
:Commands
[emptyflash]
[emptytemp]
[resethosts]
Kliknij wykonaj skrypt. Potem zrób nowy log, zwracając uwagę by wkleić go całego.
marek200
(Marekksiazek5)
29 Sierpień 2011 10:26
#8
Dzięki wielkie wszystko już działa
drobok
(Drobok)
29 Sierpień 2011 10:29
#9
Powinieneś podać nowy log ze względu na to, iż podany skrypt nie usuwa nic poza infekcją z facebooka ;]
marek200
(Marekksiazek5)
29 Sierpień 2011 11:04
#10
oto log
http://wklej.org/id/586492/
Jeszcze raz dzięki