Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Facebook'owy wirus "hi" . Proszę o pomoc

#1
Facebook'owy wirus "hi" . Proszę o pomoc
Załapałem tego wirusa i chciałbym się go pozbyć . Oto logi najpierw utworzyłem je w hijack'u : http://wklej.org/id/581816/ A oto OTL: http://wklej.org/id/581813/
http://wklej.org/id/581816/

Kompletnie się na tym nie znam .
Bardzo proszę o pomoc Z góry serdecznie dziękuję
 System operacyjny: windows_seven Przeglądarka: chrome
#2
RE: Facebook'owy wirus "hi" . Proszę o pomoc
Zamknij wszystkie przeglądarki internetowe, odinstaluj PHPNukeEN, Daemon Tools Toolbar, ConduitEngine, uruchom otl i wklej do niego:
Kod:
:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "PHPNukeEN Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2086743&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.8.0191
O4 - HKLM..\Run: [1169485-loader2.exe] C:\Windows\TEMP\1169485-loader2.exe ()
O4 - HKLM..\Run: [1813440.exe] C:\Windows\TEMP\1813440.exe ()
O4 - HKLM..\Run: [5523914.exe] C:\Users\Darek\AppData\Local\Temp\5523914.exe ()
O4 - HKLM..\Run: [6575599.exe] C:\Windows\TEMP\6575599.exe ()
O4 - HKLM..\Run: [7946389.exe] C:\Users\Darek\AppData\Local\Temp\7946389.exe ()
O4 - HKLM..\Run: [8434474.exe] C:\Windows\TEMP\8434474.exe ()
O4 - HKLM..\Run: [8586285.exe] C:\Users\Darek\AppData\Local\Temp\8586285.exe ()
O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
:Services
srvbtcclient
srvsysdriver32
wxpdrivers
srviecheck
ddservice

:Files
C:\Users\Darek\AppData\Roaming\mozilla\Firefox\Profiles\n848w8m4.default\extensions\DTToolbar@toolbarnet.com
C:\Users\Darek\AppData\Roaming\mozilla\Firefox\Profiles\n848w8m4.default\extensions\engine@conduit.com
C:\Users\Darek\AppData\Roaming\Mozilla\Firefox\Profiles\n848w8m4.default\searchplugins\conduit.xml
C:\Users\Darek\AppData\Roaming\Mozilla\Firefox\Profiles\n848w8m4.default\searchplugins\daemon-search.xml

%Windir%\l1rezerv.exe
%Windir%\update.*
%Windir%\sysdriver32.exe
%Windir%\services32.exe
%Windir%\rpcminer
%Windir%\av_ico
%Windir%\av_ico1
%Windir%\av_ico2
%Windir%\av_ico3
%Windir%\av_ico4
%Windir%\ufa
%Windir%\phoenix
%Windir%\phoenix.rar
%Windir%\rpcminer.rar
%Windir%\unrar.exe
%Windir%\ufa.rar
%Windir%\info1
%Windir%\geoiplist.rar
%Windir%\geoiplist
%Windir%\loader2.exe_ok
%Windir%\winlog-ids.txt
%Windir%\winlog-dirs.txt
%Windir%\btc_client_iplist.txt
%Windir%\iecheck_iplist.txt
%Windir%\iplist.txt
%Windir%\front_ip_list.txt
RECYCLER /alldrives
%Windir%\System32\drivers\etc\hosts | %Windir%\System32\drivers\etc\hîsts /replace

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\sysdriver32.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\systeminfog]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SERVICES32.EXE]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\l1rezerv.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico3]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico4]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdriver32.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wxpdrv]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdriver32_.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

:Commands
[emptyflash]
[emptytemp]
wciśnij wykonaj skrypt.
Pokaż log z usuwania przez OTL oraz nowy pełny zestaw logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t

Użyj SystemLook x64 i wklej do niego:
Kod:
:contents
c:\boot.ini

:regfind
l1rezerv.exe
sysdriver32.exe
sysdriver32_.exe
systemup.exe
tray_ico0
w_distrib.exe
services32.exe
wxpdrv
wciśnij look i pokaż co wyskoczy.

Tematu nie będę kontynuował, dopóki nie pojawi się pełny zestaw logów.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#3
RE: Facebook'owy wirus "hi" . Proszę o pomoc
log z usuwania przez OTL : http://wklej.org/id/582721/
Oraz systemlook to co mi wyskoczyło : http://wklej.org/id/582722/

silent runners : http://wklej.org/id/582741/
rsit log.txt : http://wklej.org/id/582765/
MBR : http://wklej.org/id/582768/
oraz raport z TDSS http://wklej.org/id/582776/
Mam nadzieję że wszystko.
Dziękuję


Pokaż nowy log z OTL.
Paweł01

Nowy log z OTL http://wklej.org/id/583749/
http://wklej.org/id/583751/
 System operacyjny: windows_seven Przeglądarka: chrome
#4
RE: Facebook'owy wirus "hi" . Proszę o pomoc
Zamknij Firefoxa, uruchom OTL i wklej do niego:

Kod:
:OTL
FF - prefs.js..extensions.enabledItems: {942cd1d4-9cc1-4d31-876a-ea8f489f7a59}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {51a86bb3-6602-4c85-92a5-130ee4864f13}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {dd02a4eb-4afd-4d60-99d8-e67f964ca813}:3.3.3.2
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKU\S-1-5-21-1521395748-2361298922-1149358850-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3:[b]64bit:[/b] - HKU\S-1-5-21-1521395748-2361298922-1149358850-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found

:Files
C:\Users\Darek\AppData\Roaming\mozilla\Firefox\Profiles\n848w8m4.default\extensions\{51a86bb3-6602-4c85-92a5-130ee4864f13}
C:\Users\Darek\AppData\Roaming\mozilla\Firefox\Profiles\n848w8m4.default\extensions\{942cd1d4-9cc1-4d31-876a-ea8f489f7a59}
C:\Users\Darek\AppData\Roaming\mozilla\Firefox\Profiles\n848w8m4.default\extensions\{dd02a4eb-4afd-4d60-99d8-e67f964ca813}

:Commands
[emptytemp]
[resethosts]
wciśnij wykonaj skrypt.
Pokaż log z usuwania przez OTL oraz nowy, pełny zestaw logów.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#5
RE: Facebook'owy wirus "hi" . Proszę o pomoc
http://wklej.org/id/584658/

Nowy zestaw Logow podam w najbliższym czasie .


Czy skrypt do OTL wkleiłeś łącznie z frazą:
WowTL

?
Jeśli nie - popraw to.
Paweł01
 System operacyjny: windows_seven Przeglądarka: chrome
#6
RE: Facebook'owy wirus "hi" . Proszę o pomoc
Tak . Łącznie z tą frazą OTL .
To są nowe logi :
z OTL : http://wklej.org/id/585516/ oraz http://wklej.org/id/585518/
silent runners http://wklej.org/id/585523/
rsit http://wklej.org/id/585525/
MBR http://wklej.org/id/585531/
 System operacyjny: windows_seven Przeglądarka: chrome
#7
RE: Facebook'owy wirus "hi" . Proszę o pomoc
Zamknij wszystkie przeglądarki internetowe, uruchom otl i wklej:
Kod:
:OTL
IE - HKU\S-1-5-21-1521395748-2361298922-1149358850-1000\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-1521395748-2361298922-1149358850-1000\..\URLSearchHook: {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - Reg Error: Key error. File not found
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKLM..\Run: [avast5]  File not found

:Commands
[emtytemp]
Wciśnij wykonaj skrypt.
Pokaż log z usuwania przez OTL oraz nowe logi OTL + RSIT.

Użyj SystemLook x64 i wklej do niego:
Kod:
:dir
C:\Program Files (x86)\mozilla firefox\extensions\{a927faf9-8143-2b62-027d-89b614f02a9d} /s

:contents
c:\programdata\SetWallpaper.cmd
wciśnij look i pokaż co wyskoczy.

Zamień:
Adobe Reader 9.4.0 - Polish -> na wersję X 10
Java™ 6 Update 22 -> zaktualizuj do najnowszej wersji.
Mozilla Firefox (3.6.18) -> do najnowszej wersji.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#8
RE: Facebook'owy wirus "hi" . Proszę o pomoc
log z usuwania przez OTL http://wklej.org/id/586695/
Oraz nowe logi :
http://wklej.org/id/586704/
http://wklej.org/id/586706/

System look http://wklej.org/id/586698/

oraz rsit http://wklej.org/id/586713/
 System operacyjny: windows_seven Przeglądarka: chrome
#9
RE: Facebook'owy wirus "hi" . Proszę o pomoc
Powinno być OK.
W OTL użyj funkcji Sprzątanie.
Jeśli wszystko jest w porządku z komputerem - wyłącz na chwilę a następnie ponownie włącz przywracanie systemu na poszczególnych partycjach.
Przeskanuj komputer za pomocą MBAM, DrWebCureIt (potrwa) oraz Nod32 Online Scanner.
Jeśli narzędzia coś znajdą - pokaż z nich raporty.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne




Podobne wątki (Facebook'owy wirus "hi" . Proszę o pomoc)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Spam E-mail'owy, unsubskrypcja nie działa. dorion300 3 1324 22.03.2016, 15:04
Ostatni post: raxer
Sad super optimizer- wirus ? Proszę o Pomoc. ssebqq 9 3564 17.08.2015, 21:55
Ostatni post: S3buus
  nie działający facebook - brak mozliwości zalogowania do konta KasiaPi 2 4541 27.07.2015, 17:43
Ostatni post: vipdavid

Skocz do:


Wybrane wątki (Facebook'owy wirus "hi" . Proszę o pomoc)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Router sam wrócił do ustawień fabrycznych kameleon90 5 1518 02.07.2019 09:17
Ostatni post: standy-reklamowe
  Poważny problem - nie da się uruchomić plików .exe Morgoth77 19 25234 21.06.2019 14:15
Ostatni post: Antymateria
  Ruska strona automatycznie uruchamiana po starcie systemu bowglie98 2 1452 19.06.2019 10:54
Ostatni post: morderca
Scared Chrome wyskakujace reklamy - pomocy krzysiekszakal 10 7224 15.06.2019 10:07
Ostatni post: jou300
  niebezpieczne pliki PDF elakwiecinska 7 4549 08.06.2019 02:31
Ostatni post: Illidan
  Podejrzany plik DLL maze20lb 9 5965 26.05.2019 22:12
Ostatni post: morty
  Serwis a ochrona danych neah 6 3851 26.05.2019 11:42
Ostatni post: wlisik
  Włamanie (?) na FB, lajkowanie stron, dziwne cookies Jednaczuuu 5 3649 21.05.2019 17:12
Ostatni post: Jednaczuuu
  Dziwny folder w %appdata% brunojoker 1 3791 11.05.2019 18:17
Ostatni post: broda99
  Witam i proszę o sprawdzenie logów z hjakthis izydorber 6 3775 11.05.2019 16:20
Ostatni post: Officer Crabtree
  Problem z dllhost.exe McSamuraj 6 8372 19.04.2019 01:51
Ostatni post: gorm80
  samoczynne otwieranie się stron baro990 6 4363 14.04.2019 11:38
Ostatni post: baro990
  Samoistne włączanie się wiersza poleceń po starcie systemu dipladoks.org shivy 1 3853 12.04.2019 20:08
Ostatni post: morderca
  ESET Internet Security AtBroker.exe autostart JoseM 1 4152 10.04.2019 03:16
Ostatni post: Illidan
  Niebezpieczny niebezpiecznik ptosz 4 4375 03.04.2019 19:24
Ostatni post: ptrick