Wirus z emaila w dosie?

Dla specjalistów Bezpieczeństwo
#1

Witam, przyszedł do mnie mail z nieznanego źródła i było coś o umowie bodajże, pobrałem plik i chwilę po tym wyskoczyło okienko dosu, nie mam pojęcia co to jest. Komputer przeskanowany adw.cleaner, malwarebytes anti-malware znalazło trojana i oczywiście usunąłem.

#2

http://www.cert.pl/news/9565/langswitch_lang/pl

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Extension: On Stage - C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\xiiy2qo7.default-1428912614415\Extensions\{abd24c81-a6f3-4092-82a2-bbebfc21a3f6}.xpi [2015-07-07]
S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
2015-07-12 21:26 - 2015-07-12 21:26 - 00000000 ____ D C:\AdwCleaner
2015-07-07 14:07 - 2015-07-12 17:48 - 00000000 ____ D C:\Users\Kamil\AppData\Roaming\1E006A40-1436270846-5400-F3B3-5404A6EE6FCC
2015-07-07 14:07 - 2015-07-07 14:08 - 00000000 ____ D C:\ProgramData\2988696b-294c-4054-b34f-e97ca58a10e8
2014-08-19 23:16 - 2014-09-12 16:18 - 0022536 _____ () C:\ProgramData\.windows.sys
Task: {91F36D16-058B-4812-A6B1-924AE5862485} - System32\Tasks\{6C484B96-D8E7-4E95-AE45-85525368B905} => pcalua.exe -a "D:\Gry2\FIFA 14 MW MOD\FIFA 14\ModdingWayInstaller.exe" -d "D:\Gry2\FIFA 14 MW MOD\FIFA 14"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Dobpo120.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uueto120.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dobpo120.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamuloptof => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Uueto120.sys => ""="Driver"
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

http://www.wklej.org/id/1755999/

 

http://www.wklej.org/id/1756000/

 

#4

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Odinstaluj:

Adobe Flash Player 10 ActiveX

Adobe Flash Player 17 NPAPI

Java 7 Update 51

Zainstaluj:

Flash Player 18.0.0.203 NPAPI

Flash Player 18.0.0.203 ActiveX

Java 8 Update 45

#5

I mała rada na przyszłość, email z nieznanego źródła lepiej otwierać w wirtualnej maszynie i może lepiej na linuxie, w logach widać vmware :wink: