Problem z wirusem "Koobface"

jasiu0406 · 22 Sierpień 2011 16:15

Witam. Padłem ofiarą wirusa Koobface (Hi wanna laugh itd.). Wszystkie wirusy z komputera usunąłem programem SUPER AntiSpyware (wcześniej też przywracałem system). Jednak teraz nie mogę odpalić Fejsa… Proszę o pomoc

OTL: http://wklej.to/DT9oM

Extras: http://wklej.to/qxXL6

Leon1 · 22 Sierpień 2011 17:09

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL PRC - [2011-08-22 11:06:35 | 000,139,776 | ---- | M] () – C:\Windows\systemup.exe PRC - [2011-08-21 14:28:46 | 000,382,464 | ---- | M] () – C:\Windows\update.7.1\svchostdriver.exe MOD - [2011-08-22 11:06:35 | 000,139,776 | ---- | M] () – C:\Windows\systemup.exe SRV - File not found [Auto | Stopped] – -- (wxpdrivers) SRV - File not found [Auto | Stopped] – -- (srviecheck) SRV - File not found [Auto | Stopped] – -- (srvbtcclient) SRV - [2011-08-21 14:28:46 | 000,382,464 | ---- | M] () [Auto | Running] – C:\Windows\update.7.1\svchostdriver.exe – (ddservice) [2010-10-19 20:41:14 | 000,000,000 | —D | M] (vShare Plugin) – C:\Users\Jasiu\AppData\Roaming\mozilla\Firefox\Profiles\813flx5r.default\extensions\vshare@toolbar O4 - HKLM…\Run: [1254476.exe] C:\Windows\Temp\1254476.exe () O4 - HKLM…\Run: [3824847.exe] C:\Users\Jasiu\AppData\Local\Temp\3824847.exe () O4 - HKLM…\Run: [71488405-loader2.exe] C:\Windows\Temp\71488405-loader2.exe () O4 - HKLM…\Run: [7771840.exe] C:\Windows\Temp\7771840.exe () O4 - HKLM…\Run: [9331553.exe] C:\Windows\Temp\9331553.exe () O4 - HKLM…\Run: [Regedit32] File not found O4 - HKLM…\Run: [systemup] C:\Windows\systemup.exe () O4 - HKLM…\Run: [tray_ico] File not found O4 - HKLM…\Run: [tray_ico1] File not found O4 - HKLM…\Run: [tray_ico2] File not found O4 - HKLM…\Run: [tray_ico3] File not found O4 - HKLM…\Run: [tray_ico4] File not found O4 - HKU\S-1-5-21-2949146295-2053388235-3070815552-1000…\Run: [conhost] File not found O4 - HKU\S-1-5-21-2949146295-2053388235-3070815552-1000…\Run: [syncables] File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) F3 - HKU\S-1-5-21-2949146295-2053388235-3070815552-1000 WinNT: Load - (C:\Users\Jasiu\AppData\Local\Temp\csrss.exe) - File not found [2011-08-21 14:35:43 | 000,000,000 | —D | C] – C:\Windows\ufa [2011-08-21 14:35:43 | 000,000,000 | —D | C] – C:\Windows\rpcminer [2011-08-21 14:35:43 | 000,000,000 | —D | C] – C:\Windows\phoenix [2011-08-21 14:29:50 | 000,000,000 | -H-D | C] – C:\Windows\update.5.0 [2011-08-21 14:29:11 | 000,000,000 | -H-D | C] – C:\Windows\update.2 [2011-08-21 14:28:48 | 000,000,000 | -H-D | C] – C:\Windows\update.7.1 [2011-08-21 14:27:03 | 000,000,000 | —D | C] – C:\Windows\av_ico [2011-08-21 14:25:32 | 000,000,000 | -H-D | C] – C:\Windows\update.1 [2011-08-21 14:25:28 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-8-0-lnk [2011-08-21 14:25:28 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-8-0 [2011-08-22 13:49:21 | 000,000,734 | ---- | M] () – C:\Windows\System32\drivers\etc\hîsts [2011-08-22 11:06:36 | 000,000,202 | ---- | M] () – C:\Windows\info1 [2011-08-22 11:06:35 | 000,139,776 | ---- | M] () – C:\Windows\systemup.exe [2011-08-21 14:35:42 | 005,589,370 | ---- | M] () – C:\Windows\phoenix.rar [2011-08-21 14:35:42 | 001,075,284 | ---- | M] () – C:\Windows\rpcminer.rar [2011-08-21 14:35:42 | 000,246,272 | ---- | M] () – C:\Windows\unrar.exe [2011-08-21 14:35:42 | 000,182,617 | ---- | M] () – C:\Windows\ufa.rar [2011-08-21 14:29:08 | 000,904,792 | ---- | M] () – C:\Windows\geoiplist.rar [2011-08-21 14:28:05 | 000,000,000 | ---- | M] () – C:\Windows\loader2.exe_ok [2011-08-21 14:29:09 | 004,636,907 | ---- | C] () – C:\Windows\geoiplist :Files C:\Users\Jasiu\AppData\Local\Temp*.html :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [RESETHOSTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

jasiu0406 · 22 Sierpień 2011 21:18

Wykonano

log z usuwania: http://wklej.to/yDpnM

OTL: http://wklej.to/vcZqy

Leon1 · 22 Sierpień 2011 21:25

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

W OTL kilknij CleanUp (Sprzątanie)

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

grzesiek_a · 22 Sierpień 2011 21:47

@Leon$ AlternateShell raczej nie powinno się usuwać

Zastosuj raczej ten skrypt:

Reszta według powyższego posta.

jasiu0406 · 22 Sierpień 2011 21:51

A jak już zrobiłem wg poprzedniego skryptu??..

– Dodane 23.08.2011 (Wt) 0:46 –

Fejsik działa poprawnie, jeszcze czekam na wynik skanu od Dr. Web, na razie nic nie wykryło, więc powinno być OK. DZIĘKUJĘ BARDZO ZA RZETELNĄ POMOC!!

grzesiek_a · 23 Sierpień 2011 07:34

To mimo wszystko uruchom jeszcze mój skrypt.