Wirus z pendrive z kawiarenki internetowe heur.w32

[robbo]

A wiec zalapalem sie na jakies dziadostwo , ktore powylaczalo mi nod32, menadzer zadan i np w FF musze dwukrotnie klikac w link, zeby strona sie otworzyla, strony antyvirusow on-line poblokowane:

Wyskakujace okienko jak na obrazku ponizej, w ktore mozna klikac bez konca.

 

 

32-bit

ponizej logi :

 

w sumie moge zrobic tylko taki log :

GMER 1.0.15.15570 - http://www.gmer.net

Rootkit scan 2011-04-06 13:00:31

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e SAMSUNG_HD321KJ rev.CP100-13

Running: 0njn0uqj.exe; Driver: C:\DOCUME~1\xpp\USTAWI~1\Temp\kxxiyaob.sys

 

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF6A9C000, 0x29C9F0, 0xE8000020]

? C:\WINDOWS\system32\drivers\grolgp.sys Nie można odnaleźć określonego pliku. !

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\Program Files\Mozilla Firefox 4.0 Beta 12\firefox.exe[2012] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 00401410 C:\Program Files\Mozilla Firefox 4.0 Beta 12\firefox.exe (Firefox/Mozilla Corporation)

.text C:\Program Files\Mozilla Firefox 4.0 Beta 12\plugin-container.exe[3928] USER32.dll!SetWindowLongA 7E37C29D 5 Bytes JMP 10699777 C:\Program Files\Mozilla Firefox 4.0 Beta 12\xul.dll (Mozilla Foundation)

.text C:\Program Files\Mozilla Firefox 4.0 Beta 12\plugin-container.exe[3928] USER32.dll!SetWindowLongW 7E37C2BB 5 Bytes JMP 10699709 C:\Program Files\Mozilla Firefox 4.0 Beta 12\xul.dll (Mozilla Foundation)

.text C:\Program Files\Mozilla Firefox 4.0 Beta 12\plugin-container.exe[3928] USER32.dll!GetWindowInfo 7E37C49C 5 Bytes JMP 104C7C37 C:\Program Files\Mozilla Firefox 4.0 Beta 12\xul.dll (Mozilla Foundation)

.text C:\Program Files\Mozilla Firefox 4.0 Beta 12\plugin-container.exe[3928] USER32.dll!TrackPopupMenu 7E3B531E 5 Bytes JMP 104C823A C:\Program Files\Mozilla Firefox 4.0 Beta 12\xul.dll (Mozilla Foundation)

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

 

---- EOF - GMER 1.0.15 ----

 

 

Probujac otworzyc program do loga OTL, wyskakuje mi takie okienko, a nie jak w instrukcji :

 

 

No udalo sie OTLem z innej strony :

http://wklej.org/id/507235/

 

Results of screen317's Security Check version 0.99.7

Windows XP Service Pack 3 (UAC is disabled!)

Internet Explorer 6 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 24

Out of date Java installed!

Adobe Flash Player 10.2.152.26

Adobe Reader X (10.0.1)

Mozilla Firefox (x86 pl..) Firefox Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

 

DDS i Attach

 

http://wklej.org/id/507240/ i http://wklej.org/id/507241/

 

 

EDIT:

LOGi nieaktualne, zaraz wstawie po uzyciu salitykiller i przeskanowaniu kasperskim

 

Oto logi, po jako tako jak mysle wyrzuceniu infekcji :

 

GMER

OTL

[Landuss]

W logach nic szczególnego nie ma jedynie szczątek po infekcji z mediów przenośnych:

 

O33 - MountPoints2\{f567e11e-5cc3-11e0-8f99-00218570574b}\Shell\autoPLAy\coMmand - "" = K:\sanjo.pif

O33 - MountPoints2\{f567e11e-5cc3-11e0-8f99-00218570574b}\Shell\AutoRun\command - "" = K:\sanjo.pif

O33 - MountPoints2\{f567e11e-5cc3-11e0-8f99-00218570574b}\Shell\exPlORe\ComMAnd - "" = K:\sanjo.pif

O33 - MountPoints2\{f567e11e-5cc3-11e0-8f99-00218570574b}\Shell\opEn\COmmANd - "" = K:\sanjo.pif

 

Start > Uruchom > regedit i usuń ten klucz:

 

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f567e11e-5cc3-11e0-8f99-00218570574b}

 

Czy Sality Killer coś wykrył? Oraz istotne czy nadal jest wykrywana infekcja, jeśli tak to gdzie?

 

 

Edytowane 7 Maja 2011 przez picasso
7.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso