Nierozważne kliknięcie w załącznik, prawdopodobnie wirus

Dreambrain · 23 Marzec 2011 05:18

Dałem się nabrać na fałszywy e-mail od USPS, który w załączniku zawierał Upsnotify.exe

Spodziewałem się przesyłki od nich, dlatego nierozważnie otworzyłem plik i… bęc :evil:

Tu nieco więcej na ten temat piszą koledzy:

Zwolnił internet, Opera się nie uruchamia. Obawiam się że to jeden z tych programów, który zaraża wszystkie pliki exe na dysku.

OTL.txt http://wklejto.pl/93553

Extras.txt http://www.wklejto.pl/93554

Czy mógłby ktoś powiedzieć co się dzieje? Z góry dzięki

Pozdrawiam

jessica · 23 Marzec 2011 08:56

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL MOD - [2011-03-23 06:00:11 | 000,057,856 | -H-- | M] () – C:\WINDOWS\system32\ddesgman.dll SRV - File not found [Disabled | Stopped] – -- (AcrSch2Svc) O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - No CLSID value found. O3 - HKU\S-1-5-21-682003330-1844237615-1801674531-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O29 - HKLM SecurityProviders - (mqdauyin.dll) - C:\WINDOWS\System32\mqdauyin.dll (Ebsekanbn Software) O36 - AppCertDlls: labentsd - (C:\WINDOWS\system32\ddesgman.dll) - C:\WINDOWS\system32\ddesgman.dll () MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Metacafe.lnk - - File not found MsConfig - StartUpFolder: C:^Documents and Settings^Krzysztof^Menu Start^Programy^Autostart^Metacafe.lnk - - File not found MsConfig - StartUpReg: Adobe ARM - hkey= - key= - File not found MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - File not found MsConfig - StartUpReg: iTunesHelper - hkey= - key= - File not found MsConfig - StartUpReg: NexusServer - hkey= - key= - File not found MsConfig - StartUpReg: TrueImageMonitor.exe - hkey= - key= - File not found MsConfig - StartUpReg: Usługa Acronis Scheduler2 - hkey= - key= - File not found [2011-03-23 06:00:10 | 000,032,256 | ---- | C] (Ebsekanbn Software) – C:\WINDOWS\System32\mqdauyin.dll [2011-03-23 05:59:57 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\jBkCmJcDhHg18101 [2011-03-23 05:53:43 | 008,405,015 | ---- | M] () – C:\WINDOWS\hlktmp :Commands [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj > MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Pokaż raport końcowy.

jessi

szymonek760 · 23 Marzec 2011 18:07

Przeinstaluj opere i zastosuj kroki jessicy

Dreambrain · 23 Marzec 2011 19:23

Opera po wykonaniu skryptu jessici ruszyła.

Nowe logi:

OTL: http://wklejto.pl/93615

Extras.txt: http://www.wklejto.pl/93617

Log z malwarebytes (nie warto wrzucać specjalnie na stronę:)

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org


Wersja bazy: 6145


Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 8.0.6001.18702


2011-03-23 20:22:45

mbam-log-2011-03-23 (20-22-45).txt


Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 163977

Upłynęło: 4 minut(y), 8 sekund(y)


Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 1


Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)


Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)


Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)


Zainfekowanych folderów:

(Nie znaleziono zagrożeń)


Zainfekowanych plików:

c:\WINDOWS\system32\secushr.dat (Malware.Trace) -> Quarantined and deleted successfully.

jessica · 23 Marzec 2011 19:47

Spróbuj to usunąć ręcznie.

Znasz te powyższe?

Sprawdź to na --> JOTTI/ albo na VIRUSTOTAL albo na VIRSCAN

Jeśli się da, to zajrzyj do tego folderu (jest ukryty).

jessi

Dreambrain · 23 Marzec 2011 20:00

Ad1) Usunięte bez problemu.

Ad2) Tak, to pliki programu do zarządzania budżetem domowym.

Ad3) Error: Can’t find upload file. Plik jest, ale skrypt na stronie zachowuje się, jakby go nie było.

Po uwolnieniu Unlockerem plik zniknął. Był blokowany przez proces System.

Ad4) Jest tam instalator, skrót .msi a nazwa pliku {D3742F82-1C1A-4DCC-ABBD-0E831C0185CC}.msi

jessica · 23 Marzec 2011 23:15

To chyba zostawiamy w spokoju.

.