Facebook wirus: hi wanne laught: jak się pozbyć?

[NattanTyri]

Może odświerzenie tematu? Mam podobny problem. Na początku facebook wogole nie chciał mi pokazać zawartości stron. Ciągle wyskakiwało okienko,iż IE nie może odczytać zawartości. Z czasem to mineło ale co jakis <dokładniej co 3 zmiany podstron na FB> wyskakuje mi okieno, iż IE przestał działać i strona albo sie wyłącza albo odświerza co jest bardzo denerwujące. A, że jestem zielony, wiec nie wiem jak to naprawić ;/
http://www.wklej.eu/index.php?id=71dbac9d3b
http://www.wklej.eu/index.php?id=9a15b29fb4

[mateo8898]

Temat wydzielam.

Log Extras to jakaś sieczka, popraw. Brak także logu z Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736, uzupełnij.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL
MOD - [2012-03-06 17:48:41 | 000,045,568 | ---- | M] () -- C:\Users\dom\AppData\Local\Temp\C8CA.tmp
MOD - [2012-03-06 17:48:41 | 000,020,480 | ---- | M] () -- C:\Users\dom\AppData\Local\Temp\C977.tmp
MOD - [2012-03-05 22:00:04 | 000,529,408 | ---- | M] () -- C:\Users\dom\AppData\Roaming\bysph.exe
MOD - [2012-03-05 22:00:04 | 000,106,496 | ---- | M] () -- C:\Users\dom\AppData\Roaming\lsxk.exe
SRV - File not found [Auto | Stopped] --  -- (Nero BackItUp Scheduler 4.0)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (VGPU)
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817
IE - HKU\S-1-5-21-143479926-4187989836-2384826317-1001\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found
IE - HKU\S-1-5-21-143479926-4187989836-2384826317-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\dom\AppData\Roaming\toolplugin\toolbar.dll ()
O4 - HKU\S-1-5-21-143479926-4187989836-2384826317-1001..\Run: [© Microsoft Real Time Media Stack] C:\Users\dom\AppData\Local\Temp\System\rtmpltem.exe File not found
O4 - HKU\S-1-5-21-143479926-4187989836-2384826317-1001..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-143479926-4187989836-2384826317-1003..\RunOnce: [CTAutoUpdate] "C:\Program Files\Creative\Shared Files\Software Update\AutoUpdate.exe" /RunFromInstaller File not found
O8 - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html File not found
[2012-03-06 17:09:01 | 000,001,050 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-143479926-4187989836-2384826317-1001UA.job
[2012-03-06 17:09:00 | 000,000,998 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-143479926-4187989836-2384826317-1001Core.job
[2012-03-05 22:00:04 | 000,529,408 | ---- | M] () -- C:\Users\dom\AppData\Roaming\bysph.exe
[2012-03-05 22:00:04 | 000,106,496 | ---- | M] () -- C:\Users\dom\AppData\Roaming\lsxk.exe
[2011-11-13 16:34:01 | 000,311,296 | RHS- | C] (Created with WinAutomation (http://www.WinAutomation.com)) -- C:\Users\dom\AppData\Roaming\Readar_sl.exe
[2011-11-13 16:33:59 | 008,180,224 | RHS- | C] () -- C:\ProgramData\TunesHelper.exe

:Files
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"=-
"NeroFilterCheck"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[mateo8898]

Już poprawiam:
log z GMER:
http://www.wklej.eu/index.php?id=4cb386b320
log z Extras:
http://www.wklej.eu/index.php?id=26b961e2af
log z OTL:
http://www.wklej.eu/index.php?id=07a9f1fe36
Zaraz wrzuce log z usuwania i nowe logi z OTL.

//Posty połączone

Log z usuwania:
http://www.wklej.eu/index.php?id=b99be13bac
Log z OTL po usuwaniu:
http://www.wklej.eu/index.php?id=902225db77
Extras po usuwaniu:
http://www.wklej.eu/index.php?id=a47c97a54c

Teraz nie powinno być "sieczki"

[mateo8898]

W OTL wklej:

:OTL

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-

:Files
C:\WINDOWS\update.1

Klikasz Wykonaj skrypt. Następnie:

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Odinstaluj starą wersję Javy:

Java(TM) 6 Update 27

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html

[NattanTyri]

Log ze skanowania:
http://www.wklej.eu/index.php?id=887932fda6
Wszystko usunąłem.

[mateo8898]

OK, opróżnij jeszcze kwarantannę Malwarebytes, wykonaj pozostałe kroki i to tyle.

[NattanTyri]

Dzięki wielkie. Jestes Mistrz!

[NattanTyri]

Jest kolejna sprawa. Otóż moja kuzynka również ściągnęła pliki z linku z FB. Teraz nie możne używać opcji panelu sterowania a niektóre programy otwierają się tylko poprzez"otwórz za pomocą..". Oto logi:
GMER:
http://www.wklej.eu/index.php?id=603f39f573
Tu niestety tylko to mi się pokazało. Nie wiem dlaczego. ;/
OTl:
http://www.wklej.eu/index.php?id=a6a1838090
Extras:
http://www.wklej.eu/index.php?id=8c6f416807

[mateo8898]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1329250583_894691
IE - HKU\S-1-5-21-1454471165-1202660629-682003330-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1329250583_894691
[2012-02-14 21:16:23 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\MasterAdmin\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O16 - DPF: Microsoft XML Parser for Java file:///C:/WINDOWS/Java/classes/xmldso.cab (Reg Error: Key error.)
O37 - HKU\S-1-5-21-1454471165-1202660629-682003330-500\...exe [@ = F4D56] -- "C:\Documents and Settings\All Users\Dane aplikacji\F4D561A20410423D5A39B5800CDF108C\F4D561A20410423D5A39B5800CDF108C.exe" -s "%1" %*
[2012-03-06 17:12:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\MasterAdmin\Menu Start\Programy\Smart Fortress 2012
[2012-03-06 17:10:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\F4D561A20410423D5A39B5800CDF108C

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
[HKEY_USERS\S-1-5-21-1454471165-1202660629-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Smart Fortress 2012"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[NattanTyri]

Log z usuwania:
http://www.wklej.eu/index.php?id=d784a156d3
Extras:
http://www.wklej.eu/index.php?id=f317e65f5a
OTL:
http://www.wklej.eu/index.php?id=c8d2ab3d75

[mateo8898]

W OTL wklej:

:OTL
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found.
[2012-03-06 19:00:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\F4D561A20410423D5A39B5800CDF108C

:Reg
[-HKEY_USERS\S-1-5-21-1454471165-1202660629-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Fortress 2012]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Zaktualizuj Firefoksa do najnowszej wersji https://www.instalki.pl/download/programy/windows/internet/przegladarki-www/firefox/

[NattanTyri]

Kolejny raz niezawodny. Dzięki !