olaxD
(Ola Grabowska1998)
23 Sierpień 2011 16:51
#1
Cześć. Mam problem z wirusem z facebook’a - “hi, wanna laugh?”. Przyznam, że nie za bardzo się znam, ale zainstalowałam program Malwarebytes Anti-Malware i przeprowadziłam skany. Niestety, dalej nie mogę wejść na facebook’a.
Oto logi:
OTL - http://wklejto.pl/103649
Extras - http://wklejto.pl/103650
Z góry bardzo dziękuję
Pozdrawiam, Ola
drobok
(Drobok)
23 Sierpień 2011 16:58
#2
Ściągnij otl, wklej w opcje skanowania:
:OTL
O31 - SafeBoot: AlternateShell - services32.exe
:files
%windir%\rpcminer
%windir%\phoenix
%windir%\ufa
%windir%\av_ico
%windir%\update.*
%windir%\System32\drivers\etc\hîsts
%windir%\phoenix.rar
%windir%\rpcminer.rar
%windir%\ufa.rar
%windir%\l1rezerv.exe
%windir%\geoiplist
%windir%\geoiplist.rar
%windir%\info1
%windir%\sysdriver32_.exe
%windir%\sysdriver32.exe
%windir%\unrar.exe
%windir%\loader2.exe_ok
%windir%\systemup.exe
:Services
ddservice
wxpdrivers
srvbtcclient
srviecheck
srvsysdriver32
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"w_distrib.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"1996141.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"2290519.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"6089328.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"6718570.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"7412270.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico8"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico1"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico2"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico3"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico4"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico5"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico6"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico7"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"364492.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"1932006.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"9956810.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"3393134.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"71244908-loader2.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"7154932.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"8982452.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"915198.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"l1rezerv.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32_.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"systemup"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wxpdrv"=-
:Commands
[emptyflash]
[emptytemp]
[resethosts]
//edit oczywiście nie zwalnia cię to z obowiązku wklejenia loga na forum.
Następnie kliknij wykonaj skrypt. Jest to instrukcja uniwersalna, każdy może jej używać, źródło
//edit2 do osób piszących poniżej, proszę zapoznać się z regulaminem, należy założyć osobny temat.
drobok
(Drobok)
23 Sierpień 2011 17:16
#3
Chyba, że ktoś mu logi z combofix’a sprawdzi, i da mu skrypt do usunięcia. Ale tak czy siak combofix jest niestabilny i nie powinno się go używać ;]
olaxD
(Ola Grabowska1998)
23 Sierpień 2011 18:21
#4
Raport usuwania: http://wklejto.pl/103697
OTL: http://wklejto.pl/103698
Extras: http://wklejto.pl/103699
co mam teraz zrobić? proszę o szybką odpowiedź
Pozdrawiam, Ola
drobok
(Drobok)
23 Sierpień 2011 18:33
#5
Jak poprzednio:
:OTL
SRV - File not found [Auto | Stopped] -- -- (ekrn)
SRV - File not found [On_Demand | Stopped] -- -- (EhttpSrv)
SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
File not found (No name found) --
O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - File not found
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found
O4 - HKLM..\Run: [avast] File not found
O4 - HKLM..\Run: [egui] File not found
O4 - HKLM..\Run: [UnlockerAssistant] File not found
[2011-08-23 18:24:09 | 000,000,000 | ---D | C] -- C:\f0580dc5e5c11204d5
[2011-08-23 15:03:22 | 000,000,000 | ---D | C] -- C:\308a6d8792ae552a21
Wirusa nie ma, powinno być dobrze. Użyj opcji sprzątanie.
olaxD
(Ola Grabowska1998)
23 Sierpień 2011 19:17
#6