Dałem się nabrać na fałszywy e-mail od USPS, który w załączniku zawierał Upsnotify.exe
Spodziewałem się przesyłki od nich, dlatego nierozważnie otworzyłem plik i… bęc :evil:
Tu nieco więcej na ten temat piszą koledzy:
http://tnij.org/k1cc
Zwolnił internet, Opera się nie uruchamia. Obawiam się że to jeden z tych programów, który zaraża wszystkie pliki exe na dysku.
OTL.txt http://wklejto.pl/93553
Extras.txt http://www.wklejto.pl/93554
Czy mógłby ktoś powiedzieć co się dzieje? Z góry dzięki
Pozdrawiam
jessica
(jessica)
23 Marzec 2011 08:56
#2
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL MOD - [2011-03-23 06:00:11 | 000,057,856 | -H-- | M] () – C:\WINDOWS\system32\ddesgman.dll SRV - File not found [Disabled | Stopped] – -- (AcrSch2Svc) O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - No CLSID value found. O3 - HKU\S-1-5-21-682003330-1844237615-1801674531-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O29 - HKLM SecurityProviders - (mqdauyin.dll) - C:\WINDOWS\System32\mqdauyin.dll (Ebsekanbn Software) O36 - AppCertDlls: labentsd - (C:\WINDOWS\system32\ddesgman.dll) - C:\WINDOWS\system32\ddesgman.dll () MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Metacafe.lnk - - File not found MsConfig - StartUpFolder: C:^Documents and Settings^Krzysztof^Menu Start^Programy^Autostart^Metacafe.lnk - - File not found MsConfig - StartUpReg: Adobe ARM - hkey= - key= - File not found MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - File not found MsConfig - StartUpReg: iTunesHelper - hkey= - key= - File not found MsConfig - StartUpReg: NexusServer - hkey= - key= - File not found MsConfig - StartUpReg: TrueImageMonitor.exe - hkey= - key= - File not found MsConfig - StartUpReg: Usługa Acronis Scheduler2 - hkey= - key= - File not found [2011-03-23 06:00:10 | 000,032,256 | ---- | C] (Ebsekanbn Software) – C:\WINDOWS\System32\mqdauyin.dll [2011-03-23 05:59:57 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\jBkCmJcDhHg18101 [2011-03-23 05:53:43 | 008,405,015 | ---- | M] () – C:\WINDOWS\hlktmp :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
Użyj > MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
Pokaż raport końcowy.
jessi
Przeinstaluj opere i zastosuj kroki jessicy
Opera po wykonaniu skryptu jessici ruszyła.
Nowe logi:
OTL: http://wklejto.pl/93615
Extras.txt: http://www.wklejto.pl/93617
Log z malwarebytes (nie warto wrzucać specjalnie na stronę:)
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Wersja bazy: 6145
Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702
2011-03-23 20:22:45
mbam-log-2011-03-23 (20-22-45).txt
Typ skanowania: Szybkie skanowanie
Przeskanowano obiektów: 163977
Upłynęło: 4 minut(y), 8 sekund(y)
Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 1
Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)
Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)
Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)
Zainfekowanych folderów:
(Nie znaleziono zagrożeń)
Zainfekowanych plików:
c:\WINDOWS\system32\secushr.dat (Malware.Trace) -> Quarantined and deleted successfully.
jessica
(jessica)
23 Marzec 2011 19:47
#5
Spróbuj to usunąć ręcznie.
[2011-03-23 18:59:09 | 000,009,395 | ---- | M] () – C:\Documents and Settings\Krzysztof\Portfel.xhb [2011-03-23 18:59:09 | 000,009,235 | ---- | M] () – C:\Documents and Settings\Krzysztof\Portfel.xhb~
Znasz te powyższe?
Sprawdź to na --> JOTTI/ albo na VIRUSTOTAL albo na VIRSCAN
Jeśli się da, to zajrzyj do tego folderu (jest ukryty).
jessi
Ad1) Usunięte bez problemu.
Ad2) Tak, to pliki programu do zarządzania budżetem domowym.
Ad3) Error: Can’t find upload file. Plik jest, ale skrypt na stronie zachowuje się, jakby go nie było.
Po uwolnieniu Unlockerem plik zniknął. Był blokowany przez proces System.
Ad4) Jest tam instalator, skrót .msi a nazwa pliku {D3742F82-1C1A-4DCC-ABBD-0E831C0185CC}.msi
jessica
(jessica)
23 Marzec 2011 23:15
#7
To chyba zostawiamy w spokoju.
.