Tomasz Opublikowano 3 Października 2010 Zgłoś Udostępnij Opublikowano 3 Października 2010 Zauważyłem w Autostarcie dwie aplikacje, które uruchamiają się wraz z systemem. Pojawił się w moim folderze użytkownika folder wuaucldt, jak się później okazało plik exe - zostal przeze mnie uruchomiony. Avast dopiero po ręcznym skanowaniu tego pliku wskazał Malware, wrzucił go do kwarantanny, a ja go z tej kwarantanny usunąłem. Pliki które uruchamiają się przy starcie to wuaucldt oraz hhrbealdsiasexymnuv. Log Gmer: http://www.wklej.org/id/396593/ OTL: http://www.wklej.org/id/396610/ Extras: http://www.wklej.org/id/396611/ Proszę o pomoc. Odnośnik do komentarza
Landuss Opublikowano 3 Października 2010 Zgłoś Udostępnij Opublikowano 3 Października 2010 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2254651957-1038395838-2164521862-1000..\Run: [wuaucldt] c:\users\tomasz\wuaucldt.exe File not found O4 - Startup: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algkir32.exe () O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found :Files C:\Users\Tomasz\AppData\Roaming\yopgrf.dat C:\Users\Tomasz\AppData\Roaming\avdrn.dat C:\Users\Tomasz\AppData\Local\Temp*.html C:\Users\Tomasz\oashdihasidhasuidhiasdhiashdiuasdhasd :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{485852E0-54A0-4871-BC62-09063EDCE42D}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{34079D77-50E6-4566-91AA-B23148358764}C:\program files\sopcast\adv\sopadver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
Tomasz Opublikowano 3 Października 2010 Autor Zgłoś Udostępnij Opublikowano 3 Października 2010 Dzięki za odpowiedź, jak widać w dalszym ciągu jest plik wuaucldt.exe w moim olderze i autostarcie. Log z OTL po skanowaniu: http://www.wklej.org/id/396694/ Extras: http://www.wklej.org/id/396697/ Screen: Odnośnik do komentarza
Landuss Opublikowano 3 Października 2010 Zgłoś Udostępnij Opublikowano 3 Października 2010 Według poprzedniego logu pliku nie było, widocznie znów się pojawił. W takim razie kolejny skrypt do OTL: :OTL O4 - HKU\S-1-5-21-2254651957-1038395838-2164521862-1000..\Run: [wuaucldt] c:\users\tomasz\wuaucldt.exe () :Files C:\Users\Tomasz\AppData\Roaming\yopgrf.dat C:\Users\Tomasz\oashdihasidhasuidhiasdhiashdiuasdhasd :Commands [emptytemp] Nowe logi do oceny. Odnośnik do komentarza
Tomasz Opublikowano 3 Października 2010 Autor Zgłoś Udostępnij Opublikowano 3 Października 2010 OTL: http://www.wklej.org/id/396779/ Extras: http://www.wklej.org/id/396781/ Na razie śladu nie widać, mam nadzieję, że czysto Odnośnik do komentarza
Landuss Opublikowano 3 Października 2010 Zgłoś Udostępnij Opublikowano 3 Października 2010 Jeszcze to niepokoi: [2010-10-03 17:58:53 | 000,000,001 | ---- | C] () -- C:\Users\Tomasz\oashdihasidhasuidhiasdhiashdiuasdhasd Wykonaj skan za pomocą Malwarebytes Anti-Malware i zaprezentuj raport. Odnośnik do komentarza
Tomasz Opublikowano 3 Października 2010 Autor Zgłoś Udostępnij Opublikowano 3 Października 2010 Dziękuje za dotychczasową pomoc i poświęcenie czasu. W załączniku raport z ww programu. Ciekawy jestem na ile szkodliwa była ta infekcja, czy pokusić się o zmianę haseł do kont mailowych, banków etc...? mbam-log-2010-10-03 (21-24-50).txt Odnośnik do komentarza
Landuss Opublikowano 3 Października 2010 Zgłoś Udostępnij Opublikowano 3 Października 2010 MBAM wykrył to co wskazywałem. Usuń jego wykrycie. Haseł nie musisz zmieniać. To nie była infekcja wykradająca hasła. Temat uznaję za zakończony i zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi