Facebook - wirus "hi, wanna laugh?"


(Ola Grabowska1998) #1

Cześć. Mam problem z wirusem z facebook'a - "hi, wanna laugh?". Przyznam, że nie za bardzo się znam, ale zainstalowałam program Malwarebytes Anti-Malware i przeprowadziłam skany. Niestety, dalej nie mogę wejść na facebook'a. :frowning:

Oto logi:

OTL - http://wklejto.pl/103649

Extras - http://wklejto.pl/103650

Z góry bardzo dziękuję :slight_smile:

Pozdrawiam, Ola :smiley:


(Drobok) #2

Ściągnij otl, wklej w opcje skanowania:

:OTL

O31 - SafeBoot: AlternateShell - services32.exe


:files

%windir%\rpcminer

%windir%\phoenix

%windir%\ufa

%windir%\av_ico

%windir%\update.*

%windir%\System32\drivers\etc\hîsts

%windir%\phoenix.rar

%windir%\rpcminer.rar

%windir%\ufa.rar

%windir%\l1rezerv.exe

%windir%\geoiplist

%windir%\geoiplist.rar

%windir%\info1

%windir%\sysdriver32_.exe

%windir%\sysdriver32.exe

%windir%\unrar.exe

%windir%\loader2.exe_ok

%windir%\systemup.exe


:Services

ddservice

wxpdrivers

srvbtcclient

srviecheck

srvsysdriver32


:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"w_distrib.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"1996141.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"2290519.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"6089328.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"6718570.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"7412270.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tray_ico8"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tray_ico"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tray_ico1"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tray_ico2"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tray_ico3"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tray_ico4"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tray_ico5"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tray_ico6"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tray_ico7"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"364492.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"1932006.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"9956810.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"3393134.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"71244908-loader2.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"7154932.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"8982452.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"915198.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"l1rezerv.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"sysdriver32.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"sysdriver32_.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"systemup"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"wxpdrv"=-


:Commands

[emptyflash]

[emptytemp]

[resethosts]

//edit oczywiście nie zwalnia cię to z obowiązku wklejenia loga na forum.

Następnie kliknij wykonaj skrypt. Jest to instrukcja uniwersalna, każdy może jej używać, źródło

//edit2 do osób piszących poniżej, proszę zapoznać się z regulaminem, należy założyć osobny temat.


(Drobok) #3

Chyba, że ktoś mu logi z combofix'a sprawdzi, i da mu skrypt do usunięcia. Ale tak czy siak combofix jest niestabilny i nie powinno się go używać ;]


(Ola Grabowska1998) #4

Raport usuwania: http://wklejto.pl/103697

OTL: http://wklejto.pl/103698

Extras: http://wklejto.pl/103699

co mam teraz zrobić? :smiley: proszę o szybką odpowiedź :wink:

Pozdrawiam, Ola :slight_smile:


(Drobok) #5

Jak poprzednio:

:OTL

SRV - File not found [Auto | Stopped] -- -- (ekrn)

SRV - File not found [On_Demand | Stopped] -- -- (EhttpSrv)

SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)

File not found (No name found) -- 

O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - File not found

O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found

O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - File not found

O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found

O4 - HKLM..\Run: [avast] File not found

O4 - HKLM..\Run: [egui] File not found

O4 - HKLM..\Run: [UnlockerAssistant] File not found

[2011-08-23 18:24:09 | 000,000,000 | ---D | C] -- C:\f0580dc5e5c11204d5

[2011-08-23 15:03:22 | 000,000,000 | ---D | C] -- C:\308a6d8792ae552a21

Wirusa nie ma, powinno być dobrze. Użyj opcji sprzątanie.


(Ola Grabowska1998) #6

wykonałam wszystko, to co mówiłeś :slight_smile: facebook działa :smiley: i mam nadzieję, że już będzie wszystko w porządku :wink: nie wiem, jak to zrobiłeś, ale jesteś naprawdę cudowny :slight_smile: dziękuję Ci bardzo za pomoc :wink:

Pozdrawiam, Ola :smiley: