WORM: Win32/Pubshbot.VR Co to jest?

przez **Czlenio** » 22 Cze 2012, 16:09

wirus wysyła linki do znajomych na Facebooku. nie moge sobie z nim poradzic, skanowałem esetem ale nic z tego. czasem nie moge uruchomic zadnych programów i ikon na pulpicie. prosze o pomoc

przez **kominekl** » 22 Cze 2012, 16:23

Podaj logi z OTL

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754 i TDSSKiller

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292.

przez **Czlenio** » 22 Cze 2012, 16:39

TDSSKiller http://www.wklej.eu/index.php?id=3d56f8ddc9

OTL: http://www.wklej.eu/index.php?id=2b969436f7

przez **mateo8898** » 22 Cze 2012, 17:10

Nie podałeś drugiego logu z OTL (Extras.txt), uzupełnij.

Odinstaluj McAfee Security Scan. Następnie:
Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL
MOD - [2012-06-22 12:09:18 | 000,115,204 | R-S- | M] () -- C:\Users\Aga\AppData\Local\rtbogs.exe
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
IE - HKU\S-1-5-21-3166458494-3295765406-3981349245-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://domredi.com/1/
IE - HKU\S-1-5-21-3166458494-3295765406-3981349245-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
O4 - HKU\S-1-5-21-3166458494-3295765406-3981349245-1000..\Run: [eyeBeam SIP Client] File not found
O4 - HKU\S-1-5-21-3166458494-3295765406-3981349245-1000..\Run: [sgpxyjm] C:\Users\Aga\AppData\Local\rtbogs.exe ()
O4 - Startup: C:\Users\Aga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\phqht.exe ()
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6D292789-06BD-40B6-94A1-7D8E85540C85}: DhcpNameServer = 212.27.40.241 212.27.40.240
O29 - HKLM SecurityProviders - (digiwet.dll) - File not found
O33 - MountPoints2\{41e3f504-f00e-11de-924e-001060d00fa6}\Shell\AutoRun\command - "" = G:\mk28sp.exe
O33 - MountPoints2\{41e3f504-f00e-11de-924e-001060d00fa6}\Shell\open\Command - "" = G:\mk28sp.exe
O33 - MountPoints2\{41e3f50a-f00e-11de-924e-001060d00fa6}\Shell\AutoRun\command - "" = H:\mk28sp.exe
O33 - MountPoints2\{41e3f50a-f00e-11de-924e-001060d00fa6}\Shell\open\Command - "" = H:\mk28sp.exe
O33 - MountPoints2\{437d6d74-f20c-11de-9a31-001060d00fa6}\Shell - "" = Autorun
O33 - MountPoints2\{507a2c3d-01ce-11de-abec-001060d00fa6}\Shell\AutoRun\command - "" = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe
O33 - MountPoints2\{507a2c3d-01ce-11de-abec-001060d00fa6}\Shell\open\command - "" = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe
O33 - MountPoints2\{5e421047-9012-11de-88ea-001060d00fa6}\Shell - "" = Autorun
O33 - MountPoints2\{70e0de1f-878c-11df-899a-00030d6d0d46}\Shell\AutoRun\command - "" = F:\mk28sp.exe
O33 - MountPoints2\{70e0de1f-878c-11df-899a-00030d6d0d46}\Shell\open\Command - "" = F:\mk28sp.exe
O33 - MountPoints2\{77b644cc-e0c9-11dd-b864-001060d00fa6}\Shell - "" = Autorun
O33 - MountPoints2\{f66faa1b-759f-11de-a030-001060d00fa6}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe
O33 - MountPoints2\{f66faa1b-759f-11de-a030-001060d00fa6}\Shell\open\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe
O33 - MountPoints2\{fbaa3458-af3a-11de-baac-001060d00fa6}\Shell - "" = Autorun
[2012-06-22 16:27:02 | 000,000,226 | -H-- | M] () -- C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2012-06-22 15:52:02 | 000,000,236 | -H-- | M] () -- C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2012-06-21 23:41:15 | 000,000,898 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3166458494-3295765406-3981349245-1000Core.job
[2012-06-22 14:25:05 | 000,000,920 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3166458494-3295765406-3981349245-1000UA.job

:Services
0109661339761091mcinstcleanup

:Files
RECYCLER /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

przez **Czlenio** » 22 Cze 2012, 17:43

http://www.wklej.eu/index.php?id=49b0cfff3c

http://www.wklej.eu/index.php?id=56807cb8b3

http://www.wklej.eu/index.php?id=bf07d35d6b

przez **mateo8898** » 22 Cze 2012, 17:58

Odinstaluj jeszcze Winamp Toolbar for Firefox

Poza tym usunięte.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 7.0.5 - Polish

i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... eader.html

przez **Czlenio** » 22 Cze 2012, 18:02

nie moge odinstalowac tego winapa, pisze ze nie mam wystarczających uprawnien

przez **mateo8898** » 22 Cze 2012, 18:16

W takim razie usuń go z dodatków w Firefoksie.

przez **Czlenio** » 22 Cze 2012, 18:23

kurde nie ma go tam

przez **mateo8898** » 22 Cze 2012, 18:26

To w takim razie ok, przejdź do kolejnych kroków.

przez **Czlenio** » 22 Cze 2012, 18:40

a co to było wgl ?? znalazło jakies dwa syfy skonczy skanowac dam raport

przez **mateo8898** » 22 Cze 2012, 18:50

Jak to co, infekcja. Najprawdopodobniej sam sobie to pobrałeś i uruchomiłeś.

przez **Czlenio** » 22 Cze 2012, 18:53

ok dzieki za pomoc

przez **Czlenio** » 22 Cze 2012, 18:59

jeszcze jedno pytanie czy na innych komputerach moge zrobic to samo tak jak mi pisałes wyzej ??

przez **mateo8898** » 22 Cze 2012, 19:09

Absolutnie, do każdego przypadku trzeba pisać inny skrypt. Jak coś to po prostu wrzuć logi z pozostałych komputerów.

WORM: Win32/Pubshbot.VR Co to jest?

WORM: Win32/Pubshbot.VR Co to jest?

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Kto jest na forum