Zainfekowany Win 7 64bit - cleanup.bat, cleanup.exe, zip.exe

MarioW87 · 11 Wrzesień 2013 20:28

Cześć,

Aviara wykryła mi trojana w podejrzanym pliku cleanup.bat. Znajdował się on bezpośrednio na dysku C:, podobnie jak 2 pozostałe - cleanup.exe, zip.exe.

Próbowałem usunąć je programem Avenger, jednak niestety po ponownym uruchomieniu okazało się, że pliki ponownie się utworzyły. Podobnie było po zastosowaniu Combofix. Kolega mi doradził, abym więc wszedł w msconfig zakładka uruchamianie, odznaczył wszystko, zastosował zmiany, a później zaznaczył to co ma być uruchomione przy starcie. Po reboocie komputera wyżej wspomnaine pliki nie pokazały się. Nie do końca przekonany jestem czy wszystko jest ok. Prośba, czy moglibyście zobaczyć log z OTLa czy wszystko gra?

Extras: http://www.wklej.org/id/1127816/

OTL: http://www.wklej.org/id/1127819/

Dzięki wielkie z góry

Atis · 11 Wrzesień 2013 21:37

Odinstaluj uTorrentControl_v2 Toolbar.

Pobierz i uruchom AdwCleaner Kliknij Scan i później Clean.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - [2013-09-11 21:27:43 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\wglco.sys – (ozjcjh) DRV - [2013-09-11 20:53:45 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\lopsc.sys – (czpiyesj) DRV - [2013-09-11 20:01:12 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\xfinm.sys – (zufmtevg) DRV - [2013-09-11 19:22:39 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\agnte.sys – (bddfgqlp) DRV - [2013-09-11 19:07:10 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\hdbibpk.sys – (ddxbfa) DRV - [2013-09-11 18:27:10 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\ownny.sys – (cfomhr) DRV - [2013-09-11 17:25:30 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\voedrj.sys – (mipn) DRV - [2013-09-11 17:17:10 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\slrii.sys – (bwhqnvvs) DRV - [2013-09-11 17:09:38 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\fjlzq.sys – (kswxea) DRV - [2013-09-11 16:58:56 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\plqlzk.sys – (fjfdeefu) [2013-08-13 21:38:23 | 000,000,004 | ---- | M] () – C:\Users\Mario\AppData\Roaming\cache.ini :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania

Wklej msconfig i kliknij Skanuj. Pokaż ten log.