hubkor1
(Hubkor1)
17 Marzec 2013 15:16
#1
Otworzyłem jakiś link otrzymany przez facebook. Mój antywirus poinformował mnie, ze wykrył i zablokował konia trojańskiego.
Mimo wrzystko z mojego konta na fb została wysłana niezliczona ilość postów o takiej samej treści jaką ja otrzymałem.
Raport OTL:
http://www.wklej.org/id/984503/
Raport Extras:
http://www.wklej.org/id/984505/
Atis
(Atis)
17 Marzec 2013 15:26
#2
Gdzie jest wykrywany ten wirus? Odinstaluj uTorrentBar Toolbar.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbfake.sys – (hwusbfake) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ie … 2074739&q={searchTerms} IE - HKU\S-1-5-21-1547161642-838170752-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search-results.com/sidebar.h … stemid=406 IE - HKU\S-1-5-21-1547161642-838170752-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchnu.com/406 IE - HKU\S-1-5-21-1547161642-838170752-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ie … 2074739&q={searchTerms} IE - HKU\S-1-5-21-1547161642-838170752-1801674531-1003…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo2.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1547161642-838170752-1801674531-1003…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=DD127E07-0284-4D62-81B2-6373A410AC54&apn_sauid=E8C4A948-1A5C-4765-AE59-C63DAF5EF2A6 IE - HKU\S-1-5-21-1547161642-838170752-1801674531-1003…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo2.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo2.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-1547161642-838170752-1801674531-1003…\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\prxtbuTo2.dll (Conduit Ltd.) O4 - HKLM…\Run: [Dashboard] File not found O4 - HKLM…\Run: [NBKeyScan] “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe” File not found O4 - HKLM…\Run: [uDM] File not found O4 - HKU\S-1-5-21-1547161642-838170752-1801674531-1003…\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe” ASO-616B5711-6DAE-4795-A05F-39A1E5104020 File not found O4 - HKU\S-1-5-21-1547161642-838170752-1801674531-1003…\RunOnce: [Ad Muncher Reboot Required] File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … vc1dmo.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Value error.) [2011-12-21 19:51:04 | 002,161,160 | ---- | C] (DownVision ) – C:\Documents and Settings\hubi\Ustawienia lokalne\Dane aplikacji\setup.exe :Files C:\WINDOWS\tasks\RealUpgrade*.job C:\WINDOWS\tasks\At*.job C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Agaton
(Agatonster)
17 Marzec 2013 15:28
#3
hubkor1 ,
Proszę zapoznać się z tematem i poprawić tytuł na konkretny, mówiący o problemie, w poście dokładnie opisać problem. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.
Zignorowanie zalecenia będzie skutkowało przeniesieniem tematu do Kosza.
hubkor1
(Hubkor1)
17 Marzec 2013 15:48
#4
http://www.wklej.org/id/984522/
Po otwarciu facebooka, nadal otrzymuje informacje o koniu trojańskim.