Facebook wirus "hi!", Program OTL

tisamon · 25 Sierpień 2011 20:49

Niestety padłem ofiarą wirusa we wspomnianym wyżej facebooku. Mimo usilnych starań nie mogę sobie z nim poradzić więc zwracam się z prośbą o pomoc do was ;]

otl: http://wklej.org/id/584680/

extras: http://wklej.org/id/584678/txt/

Używałem już avasta, ccleanera, kasperskiego lecz dalej wirus pozostaje nienaruszony.

jessica · 25 Sierpień 2011 21:04

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL O4 - HKCU…\Run: [iPLA!] File not found O4 - HKCU…\Run: [svhost.exe] File not found O31 - SafeBoot: AlternateShell - services32.exe SRV - File not found [Auto | Stopped] – -- (Application Updater) O4 - HKLM…\Run: [LogMeIn Hamachi Ui] File not found O4 - HKLM…\Run: [searchSettings] File not found O4 - HKLM…\Run: [sweetIM] File not found O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - File not found O2 - BHO: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - File not found :files H:\Users\wojtek\AppData\Local\Temp*.html %windir%\rpcminer %windir%\phoenix %windir%\ufa %windir%\av_ico %windir%\update.* %windir%\System32\drivers\etc\hîsts %windir%\phoenix.rar %windir%\rpcminer.rar %windir%\ufa.rar %windir%\l1rezerv.exe %windir%\geoiplist %windir%\geoiplist.rar %windir%\info1 %windir%\RECYCLER %windir%\sysdriver32_.exe %windir%\sysdriver32.exe %windir%\unrar.exe %windir%\loader2.exe_ok %windir%\systemup.exe :Services ddservice wxpdrivers srvbtcclient srviecheck srvsysdriver32 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “w_distrib.exe”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “tray_ico8”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “tray_ico”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “tray_ico1”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “tray_ico2”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “tray_ico3”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “tray_ico4”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “tray_ico5”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “tray_ico6”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “tray_ico7”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “71244908-loader2.exe”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “l1rezerv.exe”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “sysdriver32.exe”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “sysdriver32_.exe”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “systemup”=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “wxpdrv”=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers] [-HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srvbtc1] [-HKEY_LOCAL_MACHINE\SOFTWARE\sysdriver32.exe] [-HKEY_LOCAL_MACHINE\SOFTWARE\systeminfog] [-HKEY_LOCAL_MACHINE\SOFTWARE\SERVICES32.EXE] :Commands [emptyflash] [emptytemp] [resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Usuniemy “sponsorów” (Ask, Conduit, itp):

Ściągnij >Ad-Remover i wciśnij w nim Clean

Pokaż raport z tego narzędzia.

Zainstaluj bezpieczniejszą wersję Javy >Java 7 (JRE)

Starą wersję odinstaluj.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania, i raport z “Ad-Remover”.

.

jessi

tisamon · 26 Sierpień 2011 07:05

Proszę o to raport OTL po restarcie:

http://wklej.org/id/584814/

a to raport po użyciu Adremovera:

http://wklej.org/id/584817/

To jest nowy log z OTLa:

http://wklej.org/id/584819/

Mam nadzieję że niczego nie zapomniałem

jessica · 26 Sierpień 2011 07:31

Infekcji już nie ma, ale Ad-Remover niezbyt dokładnie usuwał, więc:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/ IE - HKLM…\URLSearchHook: {038cb5c7-48ea-4af9-94e0-a1646542e62b} - H:\Program Files\ToggleEN\tbTogg.dll (Conduit Ltd.) IE - HKLM…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - H:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKLM…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - H:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/ IE - HKCU…\URLSearchHook: {038cb5c7-48ea-4af9-94e0-a1646542e62b} - H:\Program Files\ToggleEN\tbTogg.dll (Conduit Ltd.) IE - HKCU…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - H:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKCU…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - H:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) IE - HKCU…\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultthis.engineName: “Softonic-Polska Customized Web Search” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&q=” [2010-07-29 10:59:21 | 000,000,000 | —D | M] (Winamp Toolbar) – H:\Users\wojtek\AppData\Roaming\mozilla\Firefox\Profiles\3dup7hp2.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-07-22 18:30:12 | 000,000,000 | —D | M] (Softonic-Polska Community Toolbar) – H:\Users\wojtek\AppData\Roaming\mozilla\Firefox\Profiles\3dup7hp2.default\extensions{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-07-29 13:59:29 | 000,001,196 | ---- | M] () – H:\Users\wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\3dup7hp2.default\searchplugins\winamp-search.xml O2 - BHO: (ToggleEN Toolbar) - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - H:\Program Files\ToggleEN\tbTogg.dll (Conduit Ltd.) O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - H:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - File not found O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - H:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (ToggleEN Toolbar) - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - H:\Program Files\ToggleEN\tbTogg.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - File not found O3 - HKLM…\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - H:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - H:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKLM…\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - File not found O3 - HKLM…\Toolbar: (no name) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (ToggleEN Toolbar) - {038CB5C7-48EA-4AF9-94E0-A1646542E62B} - H:\Program Files\ToggleEN\tbTogg.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (Softonic-Polska Toolbar) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - H:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - H:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [babylonToolbar] File not found O4 - HKLM…\Run: [tray_ico0] File not found O4 - HKCU…\Run: [AQQ] File not found :Files H:\Users\wojtek\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] “Start Page”=“http://www.google.pl/” [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] “Start Page”=“http://www.google.pl/” :Commands [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

tisamon · 26 Sierpień 2011 10:03

Oto raport z usuwania:

http://wklej.org/id/584872/

a to nowy log:

http://wklej.org/id/584875/

Myślę że teraz już wszystko będzie śmigać, także ogromny szacun i podziękowania

Micha sie cieszy kiedy widzi że jeszcze można znaleźć ludzi gotowych do pomocy.

jessica · 26 Sierpień 2011 10:51

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script.

Raportu z tego usuwania już nie dawaj.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

To wszystko.

jessi

tisamon · 26 Sierpień 2011 12:01

Jeszcze raz wielkie dzięki ;]