rafor4
(rafor4)
25 Grudzień 2012 23:55
#1
Witam. Temat jest taki iż dostałem na skypie od kolegi link, z którego pobierało się plik MeSexyJPEG.exe (tak wiem .exe). Nie odpaliłbym go gdyby nie skan virustotal (3/42) i braku zagrożeń ze skanu AVG. Kiedy go odpaliłem AVG wykrył infekcje w folderze C:\Documents and Settings\Michał.MICHAL\dlnf.exe. Nie uruchamiałem jeszcze komputera ponownie, nie wiem co wirus może robić, jednak proszę o sprawdzenie logów:
Otl.txt:
http://wklej.org/id/906215/
Extrats:
http://wklej.org/id/906217/
Acorus
(Acorus)
28 Grudzień 2012 09:50
#2
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\PCAMPR5.SYS – (PCAMPR5) DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\Drivers\IesDrv.sys – (IesDrv) DRV - File not found [Kernel | On_Demand | Stopped] – F:\INSTALL\GMSIPCI.SYS – (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_med … 1347383873 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_med … 1347383873 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?q={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?q={searchTerms} IE - HKU\S-1-5-21-220523388-1757981266-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_med … 1347383873 IE - HKU\S-1-5-21-220523388-1757981266-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_med … 1347383873 IE - HKU\S-1-5-21-220523388-1757981266-725345543-1004…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKU\S-1-5-21-220523388-1757981266-725345543-1004…\SearchScopes{33BB0A4E-99AF-4226-BDF6-49120163DE86}: “URL” = http://search.v9.com/web/?q={searchTerms} [2012-12-25 23:08:00 | 000,000,580 | -H-- | M] () – C:\WINDOWS\tasks\DataUpload.job [2012-12-25 16:56:33 | 000,000,616 | -H-- | M] () – C:\WINDOWS\tasks\ConfigExec.job [2012-09-09 10:12:17 | 000,000,000 | —D | M] – C:\Documents and Settings\dsa.MICHAL-KOMPUTER\Dane aplikacji\PriceGong @Alternate Data Stream - 807641 bytes -> C:\WINDOWS\temp:temp :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl
Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”