WORM: Win32/Pubshbot.VR Co to jest?

wirus wysyła linki do znajomych na Facebooku. nie moge sobie z nim poradzic, skanowałem esetem ale nic z tego. czasem nie moge uruchomic zadnych programów i ikon na pulpicie. prosze o pomoc

Podaj logi z OTL

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754 i TDSSKiller

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292.

TDSSKiller http://www.wklej.eu/index.php?id=3d56f8ddc9

OTL: http://www.wklej.eu/index.php?id=2b969436f7

Nie podałeś drugiego logu z OTL (Extras.txt), uzupełnij.

Odinstaluj McAfee Security Scan. Następnie:
Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL
MOD - [2012-06-22 12:09:18 | 000,115,204 | R-S- | M] () -- C:\Users\Aga\AppData\Local\rtbogs.exe
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
IE - HKU\S-1-5-21-3166458494-3295765406-3981349245-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://domredi.com/1/
IE - HKU\S-1-5-21-3166458494-3295765406-3981349245-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
O4 - HKU\S-1-5-21-3166458494-3295765406-3981349245-1000..\Run: [eyeBeam SIP Client] File not found
O4 - HKU\S-1-5-21-3166458494-3295765406-3981349245-1000..\Run: [sgpxyjm] C:\Users\Aga\AppData\Local\rtbogs.exe ()
O4 - Startup: C:\Users\Aga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\phqht.exe ()
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6D292789-06BD-40B6-94A1-7D8E85540C85}: DhcpNameServer = 212.27.40.241 212.27.40.240
O29 - HKLM SecurityProviders - (digiwet.dll) - File not found
O33 - MountPoints2\{41e3f504-f00e-11de-924e-001060d00fa6}\Shell\AutoRun\command - "" = G:\mk28sp.exe
O33 - MountPoints2\{41e3f504-f00e-11de-924e-001060d00fa6}\Shell\open\Command - "" = G:\mk28sp.exe
O33 - MountPoints2\{41e3f50a-f00e-11de-924e-001060d00fa6}\Shell\AutoRun\command - "" = H:\mk28sp.exe
O33 - MountPoints2\{41e3f50a-f00e-11de-924e-001060d00fa6}\Shell\open\Command - "" = H:\mk28sp.exe
O33 - MountPoints2\{437d6d74-f20c-11de-9a31-001060d00fa6}\Shell - "" = Autorun
O33 - MountPoints2\{507a2c3d-01ce-11de-abec-001060d00fa6}\Shell\AutoRun\command - "" = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe
O33 - MountPoints2\{507a2c3d-01ce-11de-abec-001060d00fa6}\Shell\open\command - "" = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe
O33 - MountPoints2\{5e421047-9012-11de-88ea-001060d00fa6}\Shell - "" = Autorun
O33 - MountPoints2\{70e0de1f-878c-11df-899a-00030d6d0d46}\Shell\AutoRun\command - "" = F:\mk28sp.exe
O33 - MountPoints2\{70e0de1f-878c-11df-899a-00030d6d0d46}\Shell\open\Command - "" = F:\mk28sp.exe
O33 - MountPoints2\{77b644cc-e0c9-11dd-b864-001060d00fa6}\Shell - "" = Autorun
O33 - MountPoints2\{f66faa1b-759f-11de-a030-001060d00fa6}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe
O33 - MountPoints2\{f66faa1b-759f-11de-a030-001060d00fa6}\Shell\open\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe
O33 - MountPoints2\{fbaa3458-af3a-11de-baac-001060d00fa6}\Shell - "" = Autorun
[2012-06-22 16:27:02 | 000,000,226 | -H-- | M] () -- C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2012-06-22 15:52:02 | 000,000,236 | -H-- | M] () -- C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2012-06-21 23:41:15 | 000,000,898 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3166458494-3295765406-3981349245-1000Core.job
[2012-06-22 14:25:05 | 000,000,920 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3166458494-3295765406-3981349245-1000UA.job

:Services
0109661339761091mcinstcleanup

:Files
RECYCLER /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

http://www.wklej.eu/index.php?id=49b0cfff3c

http://www.wklej.eu/index.php?id=56807cb8b3

http://www.wklej.eu/index.php?id=bf07d35d6b

Odinstaluj jeszcze Winamp Toolbar for Firefox

Poza tym usunięte.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 7.0.5 - Polish

i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... eader.html

nie moge odinstalowac tego winapa, pisze ze nie mam wystarczających uprawnien

W takim razie usuń go z dodatków w Firefoksie.

kurde nie ma go tam

To w takim razie ok, przejdź do kolejnych kroków.

a co to było wgl ?? znalazło jakies dwa syfy skonczy skanowac dam raport

Jak to co, infekcja. Najprawdopodobniej sam sobie to pobrałeś i uruchomiłeś.

ok dzieki za pomoc

jeszcze jedno pytanie czy na innych komputerach moge zrobic to samo tak jak mi pisałes wyzej ??

Absolutnie, do każdego przypadku trzeba pisać inny skrypt. Jak coś to po prostu wrzuć logi z pozostałych komputerów.

WORM: Win32/Pubshbot.VR Co to jest?

Regulamin forum

WORM: Win32/Pubshbot.VR Co to jest?

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??

Re: WORM:Win32/Pubshbot.VR Co to jest ??