Trojan JS:FakeAV-AS?

[Gaston]

moja ukochana dziewczyna nie zarejestrowała sobie avastu i wpisując sobie sobie w google "tate modern" i klikając na jedną z grafik przedstawiającą dolną salę Tate Modern najprawdopodobniej zainfekowała sobie komputer. (hxxp://ww.google.pl/imgres?imgurl=http://ww.funmaps.com/images/dynamic/business/london-tate-modern-turbine-hall-carsten-holler-exhibition.jpg&imgrefurl=hxxp://mygooglephotos.webs.com/tate-modern-london.html&h=640&w=480&sz=65&tbnid=bDYJnQwE4sOKbM:&tbnh=137&tbnw=103&prev=/images%3Fq%3Dtate%2Bmodern&zoom=1&q=tate+modern&usg=__BB1jHD9q4vt8sdBtEw0RIQJnipI=&sa=X&ei=HKuZTI7ULoHBswbZltmTDA&ved=0CDoQ9QEwBQ które przekierowuje na coś a la ktekwwr.in/scanner

Nazwa trojana spisana z avastu, który na innym kompie skutecznie zablokował ten obrazek.

w załącznikach pliki skanu OTL, Gmer z trybu awaryjnego, bo normalnie się zawieszał.

Extras.Txt

OTL.Txt

Gmer awaryjny.txt

[Landuss]

Są ślady infekcji z urządzenia przenośnego np. z pendrive, telefonu, aparatu itp:

 

O33 - MountPoints2\{46f03e32-a090-11df-94ed-001a6bbdd14a}\Shell\AutoRun\command - "" = H:\

O33 - MountPoints2\{46f03e32-a090-11df-94ed-001a6bbdd14a}\Shell\explore\command - "" = mane\\\strane.exe

O33 - MountPoints2\{46f03e32-a090-11df-94ed-001a6bbdd14a}\Shell\open\command - "" = mane\\\strane.exe

O33 - MountPoints2\{7a5d1184-8d39-11df-aeb9-001a6bbdd14a}\Shell\AutoRun\command - "" = .\garbage/[Filtr wulgaryzmów]ec.exe

O33 - MountPoints2\{7a5d1184-8d39-11df-aeb9-001a6bbdd14a}\Shell\explore\command - "" = garbage////[Filtr wulgaryzmów]ec.exe

O33 - MountPoints2\{7a5d1184-8d39-11df-aeb9-001a6bbdd14a}\Shell\open\command - "" = garbage\\\[Filtr wulgaryzmów]ec.exe

O33 - MountPoints2\{df3278f1-c154-11df-8efe-001a6bbdd14a}\Shell\AutoRun\command - "" = LEVATE\\\macuru.exe

O33 - MountPoints2\{df3278f1-c154-11df-8efe-001a6bbdd14a}\Shell\explore\command - "" = LEVATE\\\\macuru.exe

O33 - MountPoints2\{df3278f1-c154-11df-8efe-001a6bbdd14a}\Shell\open\command - "" = LEVATE\\\\macuru.exe

O33 - MountPoints2\H\Shell\AutoRun\command - "" = .\garbage/[Filtr wulgaryzmów]ec.exe

O33 - MountPoints2\H\Shell\explore\command - "" = garbage////[Filtr wulgaryzmów]ec.exe

O33 - MountPoints2\H\Shell\open\command - "" = garbage\\\[Filtr wulgaryzmów]ec.exe

 

Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

 

 

 

 

[Gaston]

raporty w załączniku (plus preskan Gmera)

UsbFix.txt

preskan gmera.txt

[Landuss]

USBFix nie wykazuje infekcji, ale nic nie piszesz czy podpiąłeś to właściwe infekcyjne urządzenie.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
$RECYCLE.BIN /alldrives
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.

 

 

 

 

[Gaston]

wykonane, skany w załączniku.

ps. przeoczyłem maila z powiadomieniem o odp.,

pozdr!

OTL.Txt

Extras.Txt

[Landuss]

Wszystko wygląda w porządku. Wykonaj jeszcze poniższe zalecenia.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Użyj opcji Vaccinate z USBFix.

 

3. Wykonaj obowiązkowe aktualizacje. System jest goły i nie ma żadnego Service Packa, a do Visty mamy już dwa wydania. Musisz je montować jeden za drugim. Również IE zaktualizujesz do najnowszej wersji.

 

- Vista Service Pack 1

- Vista Service Pack 2

- Internet Explorer 8

 

 

Edytowane 5 Listopada 2010 przez picasso
5.11.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso