Podejrzany załącznik w e-mailu - logi

FranTic_69 · 5 Marzec 2015 09:37

Witam.

Wczoraj wieczorem otrzymałem maila niby to z jednego ze sklepów zajmujących się sprzedażą kluczy do gier, którego czasem używam. Informowano mnie o rzekomo podejrzanej aktywności na moim koncie

z rosyjskich i algierskich adresów IP, w załączniku znalazł się plik .doc z rzekomym raportem tych niecnych aktywności, choć nic ciekawego tam nie było, jedynie jakieś makra, którym oczywiście nie pozwoliłem się uruchomić.

Na wszelki wypadek wrzucam logi z FRST. Skany Comodo oraz MalwareBytes niczego nie wykazały.

FRST: http://wklej.to/X8j35

Addition: http://wklej.to/wHRI7

Acorus · 5 Marzec 2015 12:25

Odinstaluj GeekBuddy.Otwórz notatnik systemowy i wklej:

HKLM-x32\...\Run: [tvncontrol] = C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe [2327248 2015-03-01] (Comodo Security Solutions, Inc.)
BootExecute: autocheck autochk * sdnclean64.exe
HKU\S-1-5-21-2772277127-3772378725-1396977502-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2772277127-3772378725-1396977502-1001 - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
CHR HKLM-x32\...\Chrome\Extension: [cmaiofennmphjldldcpphcechfnnohja] - C:\Program Files (x86)\AdTrustMedia\PrivDog\PrivDog_chrome.crx [Not Found]
R2 GeekBuddyRSP; C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe [2327248 2015-03-01] (Comodo Security Solutions, Inc.)
S3 Privacy Content Firewall; "C:\Program Files\AdTrustMedia\PrivDog\3.0.108.0\PrivDogService.exe" [X]
S2 AODDriver4.2.0; \\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X]
S3 GPUZ; \\C:\WINDOWS\TEMP\GPUZ.sys [X]
2015-03-05 08:49 - 2015-03-05 08:50 - 00000000 ____ D () C:\AdwCleaner
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

FranTic_69 · 5 Marzec 2015 12:36

Zrobione.

Oto Fixlog: http://wklej.to/0Taci

Acorus · 5 Marzec 2015 13:54

Skasuj folder C:\FRST