Zmieniona nazwa partycji C > Trojan.Cra$her

goblin21 · 18 Wrzesień 2011 10:41

Parę dni temu zauważyłem że jakimś cudem została zmieniona nazwa partycji C na Trojan.Cra$her

Na pewno nie jest to moja robota. Na necie nic o tym nie znalazłem.

Przeskanowałem kompa antyvirem [ESET Smart Security] lecz nic specjalnego nie znalazł.

Na początek wyniki skanowania programem OTL

Extras.txt

http://wklejto.pl/105083

OTL.txt

http://wklejto.pl/105084

Proszę o pomoc

Acorus · 18 Wrzesień 2011 10:59

Odinstaluj Spybot - Search & Destroy.

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}” [2010-12-22 19:19:50 | 000,000,863 | ---- | M] () – C:\Documents and Settings\rodzina\Dane aplikacji\Mozilla\Firefox\Profiles\5h0udf8l.default\searchplugins\conduit.xml O2 - BHO: (no name) - {F6760B3E-14B3-439E-BBFE-1F7C95CAF6A2} - C:\Program Files\KSToolbar\KSToolbar.dll () O3 - HKU\S-1-5-21-1708537768-861567501-725345543-1004…\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O3 - HKU\S-1-5-21-1708537768-861567501-725345543-1004…\Toolbar\WebBrowser: (no name) - {645FCD0C-EADE-4B52-8CDB-EF33692A2E75} - No CLSID value found. O3 - HKU\S-1-5-21-1708537768-861567501-725345543-1004…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found O4 - HKLM…\Run: [d3dx11_45] C:\WINDOWS\system32\d3dx11_45.dll.exe () [2011-09-18 12:01:01 | 000,000,238 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2011-09-13 13:55:20 | 000,000,448 | ---- | M] () – C:\WINDOWS\tasks\EasyShare Registration Task.job [2011-08-29 17:20:06 | 000,280,108 | R-S- | M] () – C:\WINDOWS\System32\d3dx11_45.dll.exe [2011-08-29 17:18:12 | 000,025,600 | R-S- | M] () – C:\WINDOWS\System32\d3dx11_44.dll.exe [2010-09-29 17:24:54 | 000,000,000 | —D | M] – C:\Documents and Settings\rodzina\Dane aplikacji\EurekaLog [2011-08-10 10:54:58 | 000,000,000 | —D | M] – C:\Documents and Settings\rodzina\Dane aplikacji\PriceGong @Alternate Data Stream - 48 bytes -> C:\Documents and Settings\All Users.WINDOWS\DRM:مايكروسوفت @Alternate Data Stream - 40 bytes -> C:\Documents and Settings\rodzina\Dane aplikacji\CrystalSpace:NT @Alternate Data Stream - 40 bytes -> C:\Documents and Settings\rodzina\Dane aplikacji:NT @Alternate Data Stream - 229 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:8FF81EB0 @Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2 @Alternate Data Stream - 106 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:DFC5A2B2 :Commands [emptytemp] [resethosts]

Kliknij Wykonaj skrypt .Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.