Вирус от facebooka [темата е приключена]

[galisiq 2]

Вчера и аз лепнах вирус от клипче. Facebooka не се отваря. Антивирусната изчезна и компа се рестартира сам. Днес работи горе-долу добре, но сайта не ми се отваря още. Много съм "боса" с настройките и инсталацийте и съм в шах. Снощи инсталирах антивирусната отново, както и Malwarebytes и я пуснах да сканира. Хвана 58 троянеца. Свалих и OTL, но ме е страх да не объркам нещо по-нататък. Операционната ми система е Windows XP Professional. Благодаря предварително!

Редактирано 27 юли 2011 от nologo (преглед на промените)

[nologo 4014]

Привет, изтеглете OTL.exe и го запазете на десктопа.

• Стартирайте OTL (ако е необходимо, потвърдете през UAC).
• Направете следните настройки:
• Сложете отметка пред Scan All Users
• Под менюто File Age => изберете 90 days
• Под менюто Standard Registry => променете на ALL
• Сложете отметки пред LOP и Purity Check

Под с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

netsvcs
msconfig
drivers32 /all
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%PROGRAMFILES%\Internet Explorer\*.tmp
%PROGRAMFILES%\Internet Explorer\*.dat
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
/md5start
atapi.sys
iaStor.sys
explorer.exe
svchost.exe
userinit.exe
hlp.dat
winlogon.exe
wininit.exe
volsnap.sys
/md5stop

• Натиснете маркираният в синьо бутон: Run Scan.
• Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt. Прикачете тези два файла в следващия си коментар (погледнете опцията "прикачени файлове", когато публикувате мнение).

[galisiq 2]

[

Extras.Txt

OTL.Txt

[nologo 4014]

Стартирайте отново OTL, копирайте (Copy) и поставете (Paste) скриптовия текст от текстовото поле по-долу под колонката Custom Scans/Fixes, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта.

:otl
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O4 - HKLM..\Run: [1298639.exe] C:\WINDOWS\TEMP\1298639.exe ()
O4 - HKLM..\Run: [CFSServ.exe] File not found
O4 - HKLM..\Run: [NDSTray.exe] File not found
O4 - HKLM..\Run: [RegistryMechanic] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKU\.DEFAULT..\RunOnce: [ShowDeskFix] File not found
O4 - HKU\S-1-5-18..\RunOnce: [ShowDeskFix] File not found
O9 - Extra Button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - Reg Error: Value error. File not found
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O31 - SafeBoot: AlternateShell - services32.exe
O33 - MountPoints2\{19e941fa-1b41-11e0-bd85-001b9e3a8ea7}\Shell - "" = AutoRun
O33 - MountPoints2\{19e941fa-1b41-11e0-bd85-001b9e3a8ea7}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{19e941fa-1b41-11e0-bd85-001b9e3a8ea7}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{19e941fd-1b41-11e0-bd85-001b9e3a8ea7}\Shell - "" = AutoRun
O33 - MountPoints2\{19e941fd-1b41-11e0-bd85-001b9e3a8ea7}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{19e941fd-1b41-11e0-bd85-001b9e3a8ea7}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{6cf012f3-b725-11df-bc52-001b9e3a8ea7}\Shell\AutoRun\command - "" = H:\RPSP_Install_Wrapper.exe
O33 - MountPoints2\{6cf012f3-b725-11df-bc52-001b9e3a8ea7}\Shell\Setup RealPlayer\command - "" = H:\RPSP_Install_Wrapper.exe
O33 - MountPoints2\{c58c3f5a-1a4f-11e0-bd83-001b9e3a8ea7}\Shell - "" = AutoRun
O33 - MountPoints2\{c58c3f5a-1a4f-11e0-bd83-001b9e3a8ea7}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c58c3f5a-1a4f-11e0-bd83-001b9e3a8ea7}\Shell\AutoRun\command - "" = G:\USBAutoRun.exe
O33 - MountPoints2\{cf0e4b57-593d-11e0-be3e-001b9e3a8ea7}\Shell\AutoRun\command - "" = H:\PMBP_Win.exe
[2011.07.24 13:19:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011.07.24 13:19:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011.07.24 12:58:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011.07.24 12:57:15 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011.07.24 12:54:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011.07.24 12:53:42 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011.07.24 12:53:33 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011.07.24 12:53:33 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011.07.24 16:47:08 | 000,103,040 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.07.24 16:46:57 | 000,203,160 | -H-- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.bak
[2011.07.24 16:46:57 | 000,000,734 | ---- | M] () -- C:\Windows\System32\drivers\etc\hоsts
[2011.07.24 13:19:30 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011.07.24 13:19:30 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011.07.24 13:19:30 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011.07.24 13:19:28 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011.07.24 13:00:52 | 000,000,180 | ---- | M] () -- C:\WINDOWS\info1
[2011.07.24 12:57:25 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011.07.24 12:56:14 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011.07.17 03:24:20 | 004,636,907 | ---- | M] () -- C:\WINDOWS\geoiplist
:files
recycler /alldrives
ipconfig /flushdns /c
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallOverride" = 0
"DisableThumbnailCache" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
:commands
[purity]
[resethosts]
[emptytemp]
[emptyflash]
[Reboot]

След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix

Windows ще се рестартира и ще се създаде лог файл. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

[galisiq 2]

Тази последната стъпка я правих 10-на пъти, но няма нито рестарт, нито файл.

[nologo 4014]

Трябваше да съобщите по възможност най-бързо, а не след два дни. Повторете инструкцията от коментар 2 в темата.

Редактирано 27 юли 2011 от nologo (преглед на промените)

[galisiq 2]

Забравих да Ви кажа, че вчера го погледна един познат. Сложи му някакъв диск преди да зареди уиндоуса с програма, на която не запомних името. Самата програма работи около 4 часа. Намери доста червейчета, както и познатия ни ufa.exe и изтрихме всичките. Сега ще направя каквото трябва.

[nologo 4014]

В такъв случай нямате нужда от нашата помощ. Обърнете се към вашия познат, няма нужда да пускате каквото и да е. Пожелавам ви успех!

Темата е приключена.

P.S. Понеже пропуснах, необходимо е да стартирайте OTL още веднъж и натиснете бутона CleanUp.

При дeинсталацията на OTL ще бъдат почистени инструменти и файлове, които използвахме в темата. Ще последва рестарт на Windows. Може да изтриете останалите програми и логове, които използвахме в темата.

Друг път при проблеми с Windows търсете познатите си, а не нас.

Редактирано 27 юли 2011 от nologo (преглед на промените)