Nighivten
15 Luty 2012 15:41
#1
Więc zacznę od tego, że nie znam się zbytnio na bezpieczeństwie komputera więc nie wiem czego mają być dokładnie te logi, wstawiam więć ze skanowania OTL:
http://wklej.to/6Ekdi
W Menadżerze zadań w procesach zauważyłem dziwny proces vmreg.exe. Jakiś podejrzany ten plik, do tego ukryty,
Microsoft Essentials nic nie wykrywa, jednakże skanery Jotti już wykryły, że jest to jakiś trojan/keylogger, tibii?
Jakoś nie będę ubolewał nad stratą konta gdyż go już nie mam raczej, ale może zagraża też innym plikom.
Co wpisać do OTL aby się go pozbyć, ewentualnie innych podejrzanych plików.
Ewentualnie proszę dokładnie powiedzieć czego mam dać skany:P
Dziękuję z góry.
Leon1
15 Luty 2012 19:03
#2
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL MOD - [2012-01-15 10:33:30 | 000,514,321 | ---- | M] () – C:\Users\rodzinny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windate.exe PRC - [2012-01-15 10:33:30 | 000,514,321 | ---- | M] () – C:\Users\rodzinny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windate.exe IE - HKCU…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” [2011-12-14 15:47:54 | 000,002,333 | ---- | M] () – C:\Users\rodzinny\AppData\Roaming\Mozilla\Firefox\Profiles\3et4j3rj.default\searchplugins\askcom.xml FF:64bit: - HKLM\Software\MozillaPlugins@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins@java.com/DTPlugin,version=10.2.1: C:\Windows\system32\npDeployJava1.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins@java.com/JavaPlugin,version=10.2.1: C:\Program Files\Oracle\JavaFX 2.0 Runtime\bin\new_plugin\npjp2.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins@microsoft.com/GENUINE: disabled File not found O2:64bit: - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Oracle\JavaFX 2.0 Runtime\bin\jp2ssv.dll File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll File not found O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll File not found O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll File not found O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] “C:\Program Files (x86)\Ask.com \Updater\Updater.exe” File not found O4 - HKLM…\Run: [WinampAgent] “C:\Program Files (x86)\Winamp\winampa.exe” File not found O4 - HKCU…\Run: [PCSpeedUp] C:\Program Files (x86)\Przyspiesz Komputer\PCSpeedUp.lnk File not found O4 - HKCU…\Run: [vmreg] C:\Users\rodzinny\AppData\Roaming\vmreg.exe () O4 - Startup: C:\Users\rodzinny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windate.exe () [2012-01-15 10:33:30 | 000,514,321 | ---- | C] () – C:\Windows\windate.exe [2012-01-02 19:08:57 | 000,144,896 | -H-- | C] () – C:\Users\rodzinny\AppData\Roaming\vmreg.exe @Alternate Data Stream - 1188 bytes -> C:\Program Files (x86)\Common Files\microsoft shared:zV33RZC5BNHSOLgBMkr0T @Alternate Data Stream - 1183 bytes -> C:\ProgramData\Microsoft:iEkOB8x8c97HXJxtv9Kyg7I @Alternate Data Stream - 1162 bytes -> C:\ProgramData\Microsoft:S0fDzueXrbzcYBlIN03HA :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [RESETHOSTS] [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
