Wirus hahaha z facebooka


(Damian Bany) #1

Hej!

 

Przypadkowo kliknęło mi się w plik z słynnym wirusem z facebooka. Pomożecie? Nie chciałbym ponownie wysłać wszystkim znajomym wirusa w wiadomości...


(Acorus) #2

Odinstaluj Akamai NetSession Interface.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No CLSID value found.
O4 - HKU\S-1-5-21-2643333617-4205772057-4142476889-1002..\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] 1 File not found
O4 - HKU\S-1-5-21-2643333617-4205772057-4142476889-1002..\Run: [Akamai NetSession Interface] C:\Users\Damian\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.)
O4 - HKU\S-1-5-21-2643333617-4205772057-4142476889-1002..\Run: [Boxoft Tools] "C:\ProgramData\Boxtools\Boxofttoolbox.exe" -autorun File not found
O4 - HKU\S-1-5-21-2643333617-4205772057-4142476889-1002..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O4 - HKU\S-1-5-21-2643333617-4205772057-4142476889-1002..\Run: [svchost] C:\Temp [2014-06-03 18:20:00 | 000,000,000 | ---D | M]
[2014-06-03 17:12:08 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-12-17 21:15:47 | 000,000,000 | ---D | M] -- C:\Users\Damian\AppData\Roaming\ASUS WebStorage
@Alternate Data Stream - 3974124 bytes - C:\Temp:3E78B3F5.dat
@Alternate Data Stream - 220 bytes - C:\Users\Damian\SkyDrive:ms-properties
@Alternate Data Stream - 150 bytes - C:\ProgramData\Temp:55B41E6A
@Alternate Data Stream - 1070 bytes - C:\Temp:list3

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.


(Damian Bany) #3

W międzyczasie uruchomiłem FRST

 

FRST: http://www.wklej.org/id/1381695/

Additional: http://www.wklej.org/id/1381696/

 

Odinstalowałem Akamai NetSession Interface.

 

Wykonałem skrypt, notka: http://www.wklej.org/id/1381709/

 

Wszystko w kolejności, w jakiej pisałem.

 

Coś jeszcze? Bać się, że znowu będzie mi coś samo wysyłało z fejsa?


(Acorus) #4

Pokaż logi z FRST po usuwaniu OTL-em.


(Damian Bany) #5

FRST: http://www.wklej.org/id/1381731/

Addition: http://www.wklej.org/id/1381732/


(Acorus) #6

Otwórz Notatnik i wklej:

HKLM-x32\...\Run: [] = [X]
HKU\S-1-5-21-2643333617-4205772057-4142476889-1002\...\Policies\Explorer: []
HKU\S-1-5-21-2643333617-4205772057-4142476889-1002\...\MountPoints2: {09277c5d-67b7-11e3-be7b-240a6483e50a} - "H:\SETUP.EXE"
HKU\S-1-5-21-2643333617-4205772057-4142476889-1002\...\MountPoints2: {908ce9d6-6fb9-11e3-be7e-240a6483e50a} - "G:\LGAutoRun.exe"
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\ProgramData\SetStretch.exe
C:\ProgramData\SetStretch.VBS

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST


(Damian Bany) #7

proszę: http://www.wklej.org/id/1381760/


(Acorus) #8

Skasuj folder C:\FRST


(Damian Bany) #9

Skasowałem. Już wszystko będzie ok?


(Acorus) #10

Powinno.