Adware.AdRotator / Win32/Adware.Primawega.AJ


(Djarzab) #1

Witam.

Pobrałem plik, który był wirusem. Po restarcie systemu w procesach zobaczyłem 2x iexplore.exe, który łączył się z jakaś stroną, bo NOD zablokował połączenie. Z autostaru wywaliłem "C:\Windows\System32\regsvr32.exe /s "C:\Windows\system32\wucljxqtosdueo.dll", po czym dałem restart.

Na pewnej stronce także dałem logi do sprawdzenia:

OTL.txt

http://wklej.org/id/495497/

Extras.txt

http://wklej.org/id/495498

To dali mi taki skrypt:

:Processes

Explorer.exe


:OTL


:Files

C:\Windows\SysWow64\csoonayoheb.exe


:Commands

[emptytemp]

[emptyflash]

[start explorer]

Oczywście wykonałem ten skrypt i po restarcie systemu powstał log:

http://wklej.org/hash/aae22453090/

I zrobiłem jeszcze ponownie przeskanowanie:

OTL.txt

http://wklej.org/id/495735/

Extras.txt

http://wklej.org/id/495736/

Bardzo proszę o sprawdzenie tych logów :).


(Acorus) #2

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware i Dr.WEB CureIt.


(Djarzab) #3

mbam i dr web cureit nic nie znalazł.

-- Dodane niedziela, 20 marca 2011, 02:42 --

W dodatkach Firefoxa było coś w stylu "m", oczywiście to usunąłem, a po restarcie FF w NODzie wyskoczył komunikat:

2011-03-20 01:23:04	Ochrona systemu plików w czasie rzeczywistym	plik	D:\Programy\Firefox\extensions\{30cb78bb-2508-c6be-3784-0adc655c4d8d}-trash\components\adac25ba.dll	odmiana wirusa Win32/Adware.Primawega.AJ aplikacja	wyleczony przez usunięcie - poddany kwarantannie	xxx-Komputer\xxx	Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: D:\Programy\Firefox\firefox.exe.

Zrobiłem full skan NODem, który oczywiście nic nie znalazł, ale jak to bywa, pewnie jeszcze gdzieś siedzi.