Wirus z maila od dhl, exe w "uruchom jako"

Dla specjalistów Bezpieczeństwo
#1

Witam,

 

tyle lat się ustrzegłem, a dziś bezmyślnie zaaplikowałem sobie wirusa … :confused: (po godz. 17)

 

proszę o pomoc.

 

log OTG:

 

http://wklej.to/5TGA7

 

extras:

 

http://wklej.to/2QpE4

 

aktualizacja - logi z zaznaczonymi infekcjami LOP i Purity:

 

http://wklej.to/FWAUo

http://wklej.to/4JMv5

#2

Hej,

Wykonaj logi (FRST.txt i Addition.txt) programem Farbar Recovery Scan Tool - informacje o tym, jak dokładnie ustawić program i gdzie zamieścić logi znajdziesz w temacie: http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/.

Pozdrawiam,

Dimatheus

#3

Dzięki za wskazówki, 

 

oto logi:

 

FRST.txt - http://www.wklej.org/id/1724710/

Addition.txt - http://www.wklej.org/id/1724711/

 

 

PS. w międzyczasie zlokalizowałem i usunąłem plik wirusa/ów, system się “uspokoił”, ale nie wiem czy to wystarczy.

#4

Odinstaluj ASUS WebStorage.Otwórz notatnik systemowy i wklej:

Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File ==== ATTENTION
HKLM\...\Run: [EeeStorageBackup] = C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe [1732608 2009-11-26] ()
HKLM\...\Run: [AdobeAAMUpdater-1.0] = C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [444904 2012-09-20] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [UpdateLBPShortCut] = C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [222504 2009-05-20] (CyberLink Corp.)
HKLM-x32\...\Run: [UpdateP2GoShortCut] = C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [222504 2009-05-20] (CyberLink Corp.)
HKLM-x32\...\Run: [GrooveMonitor] = C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [SwitchBoard] = C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AdobeCS6ServiceManager] = C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe [1073312 2012-03-09] (Adobe Systems Incorporated)
HKU\S-1-5-21-454164672-1201679167-2793277201-1000\...\Run: [AdobeBridge] = [X]
HKU\S-1-5-21-454164672-1201679167-2793277201-1000\...\Run: [630121aafe366eef3658abb918a2c6] = "C:\Users\Arq\AppData\Local\630121aafe366eef3658abb918a2c6.exe"
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=dsts=1413643623from=coruid=128GBXHGXSSD_31OS1005TKVZ1005TKVZq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=dsts=1413643623from=coruid=128GBXHGXSSD_31OS1005TKVZ1005TKVZq={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=dsts=1413643623from=coruid=128GBXHGXSSD_31OS1005TKVZ1005TKVZq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=dsts=1413643623from=coruid=128GBXHGXSSD_31OS1005TKVZ1005TKVZq={searchTerms}
HKU\S-1-5-21-454164672-1201679167-2793277201-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-454164672-1201679167-2793277201-1000 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-454164672-1201679167-2793277201-1000 - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=scts=1413643623from=coruid=128GBXHGXSSD_31OS1005TKVZ1005TKVZ
CHR Extension: (Bookmark Manager) - C:\Users\Arq\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-23]
S3 DIRECTIO; \\c:\BIT_TEMP\DirectIo.sys [X]
U3 tmlwf; No ImagePath
U3 tmwfp; No ImagePath
2015-05-28 21:50 - 2014-10-18 16:47 - 00000000 ____ D () C:\ProgramData\IePluginServices
2015-05-28 21:50 - 2014-10-18 16:47 - 00000000 ____ D () C:\Program Files (x86)\SupTab
C:\Users\Arq\mf.bat
C:\Users\Arq\s.bat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#5

Operacje wykonane bez problemów.

 

Log AdwCleaner:

 

http://www.wklej.org/id/1725036/

#6

Skasuj folder C:\FRST.

#7

zrobione

 

wielkie dzięki Panowie

 

pytanie gdzie posłać pifko  :piwo: ?