Witam. Dziś złapałem infekcję. Jest nią wscom.exe, siedzący w C:\Windows. Otwiera ona okna z reklamami, włazi do Autostartu pod nazwą WinGo. Normalnie bym ją usunął, ale wolę go się dokładnie pozbyć, więc daję log z OTL:
http://wklej.org/id/469707/
Cholerstwo wyłączyło też firewalla, teraz jak go włączyłem, to już się nie odpala.
Co ciekawe, Avira i Malwarebytes mówią, że plik jest czysty :?
Pozdrawiam.
narazie wyłąz przywracanie systemnu
– Dodane czwartek, 3 lutego 2011, 20:50 –
powiedz mi dlaczego comodo jest odracu na dysku C:\ ??
Wyłączone.
Bo go tam zainstalowałem? Wolę instalować programy do ochrony na C:
A ktoś sprawdzi loga?
Leon1
3 Luty 2011 19:55
#5
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
w otl w białe okno wklej to:
:OTL O2:64bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found. O3 - HKU\S-1-5-21-811153116-7565655-3027394347-1000…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found. O3 - HKU\S-1-5-21-811153116-7565655-3027394347-1000…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found. O3 - HKU\S-1-5-21-811153116-7565655-3027394347-1001…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found. O3 - HKU\S-1-5-21-811153116-7565655-3027394347-1001…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O18:64bit: - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found O18:64bit: - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - Reg Error: Key error. File not found O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. 33 - MountPoints2{0328f411-4151-11df-a29a-001e8cb4437a}\Shell - “” = AutoRun O33 - MountPoints2{0328f411-4151-11df-a29a-001e8cb4437a}\Shell\AutoRun\command - “” = “K:\WD SmartWare.exe” autoplay=true O33 - MountPoints2{25cc702f-4e08-11df-86db-001e8cb4437a}\Shell - “” = AutoRun O33 - MountPoints2{25cc702f-4e08-11df-86db-001e8cb4437a}\Shell\AutoRun\command - “” = “K:\WD SmartWare.exe” autoplay=true O33 - MountPoints2{955eda3f-0692-11e0-8175-001e8cb4437a}\Shell - “” = AutoRun O33 - MountPoints2{955eda3f-0692-11e0-8175-001e8cb4437a}\Shell\AutoRun\command - “” = F:\WD SmartWare.exe – [2009-10-14 22:28:45 | 003,271,968 | ---- | M] (Western Digital) O33 - MountPoints2{ddfde4f9-43df-11df-8958-001e8cb4437a}\Shell - “” = AutoRun O33 - MountPoints2{ddfde4f9-43df-11df-8958-001e8cb4437a}\Shell\AutoRun\command - “” = M:\Setup.exe O33 - MountPoints2{f27f661c-b349-11df-a0c4-001e8cb4437a}\Shell - “” = AutoRun O33 - MountPoints2{f27f661c-b349-11df-a0c4-001e8cb4437a}\Shell\AutoRun\command - “” = “K:\WD SmartWare.exe” autoplay=true O34 - HKLM BootExecute: (PDBoot.exe) - File not found @Alternate Data Stream - 180 bytes -> C:\ProgramData\TEMP:0CE7F3C9 @Alternate Data Stream - 155 bytes -> C:\ProgramData\TEMP:6724CB45 @Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:CF778051 @Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:63238B95 @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:2BE9FEFC [2011-02-03 18:11:38 | 000,584,704 | ---- | M] () – C:\Windows\Wscom.exe :Files C:\Users\ADMIN KRZYSIEK\AppData\Local\Temp*.html C:\Windows\Wscom.exe :Commands [emptyhosts] [emptytemp] [start explorer] [reboot]
kliknij wykonaj skrypt i zatwierdź restart
podaj log z usuwania i nowy
Leon1
3 Luty 2011 20:36
#8
sprawdź te pliki na http://virscan.org/
[2011-02-03 18:11:38 | 000,584,704 | ---- | M] () – C:\Windows\Wscom.exe [2011-02-03 18:11:38 | 000,001,024 | ---- | M] () – C:\Windows\Winu.vxd [2011-02-03 18:11:38 | 000,000,462 | ---- | M] () – C:\Windows\Wink.vxd
