exe uruchom za pomoca... podejrzewam infekcje

[robbo]

Witam.

Dostalem w rece laptopa, w ktorym nie mozna otworzyc plikoe exe, poniewaz wyskakuje okienko otworz za pomoca...

System XP.

Zadnego programu antywirusowego nie widac.

Loga moge tylko zrobic OTL, poniewaz wystepuje problem jak wyzej.

W zalaczniku logi.

OTL.Txt

Extras.Txt

[picasso]

Dostalem w rece laptopa, w ktorym nie mozna otworzyc plikoe exe, poniewaz wyskakuje okienko otworz za pomoca...

 

Tak, tu zapisała się infekcja jako skojarzenie dla plików EXE:

 

O35 - HKU\S-1-5-21-1614895754-73586283-1177238915-1002..exefile [open] -- "C:\Documents and Settings\Doris\Ustawienia lokalne\Dane aplikacji\xaq.exe" -a "%1" %*
O37 - HKU\S-1-5-21-1614895754-73586283-1177238915-1002\...exe [@ = exefile] -- "C:\Documents and Settings\Doris\Ustawienia lokalne\Dane aplikacji\xaq.exe" -a "%1" %*

 

Zadnego programu antywirusowego nie widac.

 

W logu stoi ESET i jego składniki są uruchomione:

 

PRC - [2010-04-07 21:07:24 | 000,810,120 | ---- | M] (ESET) -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
 
SRV - [2010-04-07 21:10:38 | 000,033,560 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe -- (EhttpSrv)
SRV - [2010-04-07 21:07:24 | 000,810,120 | ---- | M] (ESET) [Auto | Running] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)
DRV - [2010-04-07 22:08:08 | 000,095,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
DRV - [2010-04-07 22:07:08 | 000,114,984 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2010-04-07 22:03:44 | 000,139,192 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
 
O4 - HKLM..\Run: [egui] C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe (ESET)

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O35 - HKU\S-1-5-21-1614895754-73586283-1177238915-1002..exefile [open] -- "C:\Documents and Settings\Doris\Ustawienia lokalne\Dane aplikacji\xaq.exe" -a "%1" %*
O37 - HKU\S-1-5-21-1614895754-73586283-1177238915-1002\...exe [@ = exefile] -- "C:\Documents and Settings\Doris\Ustawienia lokalne\Dane aplikacji\xaq.exe" -a "%1" %*
[2011-04-11 15:26:54 | 000,010,792 | -HS- | C] () -- C:\Documents and Settings\Doris\Ustawienia lokalne\Dane aplikacji\i25yncrr27168783v12a5c3x328l
[2011-04-11 15:26:54 | 000,010,792 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\i25yncrr27168783v12a5c3x328l
O3 - HKLM\..\Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-73586283-1177238915-1002\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-73586283-1177238915-1002\..\Toolbar\ShellBrowser: (no name) - {63AB4C54-3310-44c9-85D8-AA92C2263D58} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-73586283-1177238915-1002\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [Regedit32]  File not found
O4 - HKLM..\Run: [WOOTASKBARICON]  File not found
O4 - HKLM..\Run: [wuaucldt]  File not found
O4 - HKU\S-1-5-21-1614895754-73586283-1177238915-1002..\Run: [ctfmon.exe]  File not found
O4 - HKU\S-1-5-21-1614895754-73586283-1177238915-1002..\Run: [wuaucldt]  File not found
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Po restarcie automatycznie otworzy się log zwynikami.

 

2. Najwyższy czas odinstalować:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Kazaa Lite Rewolucja_is1" = Kazaa Lite Rewolucja 2.6
"kazaalite202_is1" = Kazaa Lite K++ v2.4.3

3. Wygeneruj nowe logi z OTL + zaległy GMER. Dołącz i ten log z usuwania z punktu 1.

 

 

 

.

[robbo]

LOgi po zmianach w zalacznikach.

OTL_po_skrypcie.txt

gmerr.txt

Edytowane 30 Maja 2011 przez picasso
Usuwam zdublowany log. //picasso

[picasso]

Załączyłeś dwa razy log z OTL, a nie log z usuwania + log z opcji Skanuj. Wszystko zostało pomyślnie usunięte.

 

1. W OTL wywołaj Sprzątanie, co ma usunąć kwarantannę programu i OTL. Funkcja wymaga restartu.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Wykonaj pełny skan przez Malwarebytes' Anti-Malware i przedstaw wyniki.

 

 

.

[robbo]

Log ponizej:

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Wersja bazy: 5363

 

Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 8.0.6001.18702

 

2011-06-03 06:18:03

mbam-log-2011-06-03 (06-17-45).txt

 

Typ skanowania: Pełne skanowanie (C:\|)

Przeskanowano obiektów: 166672

Upłynęło: 17 minut(y), 3 sekund(y)

 

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 1

Zainfekowane informacje rejestru systemowego: 6

Zainfekowanych folderów: 0

Zainfekowanych plików: 2

 

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)

 

Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

 

Zainfekowane informacje rejestru systemowego:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

 

Zainfekowanych plików:

c:\documents and settings\Doris\Pulpit\everest poker.exe (PUP.Casino) -> No action taken.

c:\WINDOWS\HOSTS (Trojan.Agent) -> No action taken.

[picasso]

Z prezentowanych tu wyników ten ostatni c:\WINDOWS\HOSTS wygląda na rzeczywiste zagrożenie i należy to usunąć (w MBAM jest "No action taken"). Natomiast instalka Everest Poker oraz wyniki kierujące do rejestru niekoniecznie są niepożądane. Kolejno wykryte tu zmiany rejestru: wymuszenie określonego stylu widoku w Panelu sterowania, ukrycie pozycji Szukaj i Pomoc w Menu Start, wyłączenie notyfikacji Centrum zabezpieczeń. Te wszystkie modyfikacje mogą równie dobrze pochodzić z decyzji samego użytkownika / używania jakiś tweakerów. W logu widać, że jest tu zainstalowany zmodyfikowany Windows, co sugeruje, że te zmiany już tak były od początku ustawione.

 

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 17
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish
"Opera 11.01.1190" = Opera 11.01

Należy jeszcze wykonać aktualizację wyliczonych aplikacji: INSTRUKCJE.

 

 

 

.

Edytowane 19 Października 2011 przez picasso
1.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso