Podejrzenie wirusa z FB, podejrzany link

[kerpal]

Witam, przez swoja głupotę i nie uwagę wszedłem na link od kuzyna, nie zauważyłem ze jest jakiś podejrzany, chodzi o to : hxxp://p5.freepicshare.com/[ciach]-Picture18.JPG , wszedłem na to, ściągnął mi sie jakiś plik w rarze ale go nie włączałem, takze nie wiem czy cos jest zainfekowane czy nie... przy okazji może jakieś inne syfy się znajdą...

 

 

gmer : http://wklejto.pl/106716

OTL.Txt

Extras.Txt

[picasso]

kerpal, zasady działu = podejrzane linki nie mogą być wklejane jako klikalne, edytuję przez hxxp, a dodatkowo tnę środek, bo nie daj Boże ktoś to pobierze i uruchomi.... Link ten jest jasny, sugeruje rozszerzenie graficzne, a jest to .JPG.RAR. Nie miałam czasu tego aż tak szczegółowo sprawdzić, ale to na pewno trojan.

 

1. Przepuściłam ten URL przez kilka skanerów URL, wiele bez reakcji, na VirusTotal reagują na to tylko dwa skanery:

 

BitDefender	Malware site
Websense ThreatSeeker	Malware site

 

2. Ów RAR ma w środku plik wykonywalny Picture17.JPG_www.facebook.com. I tu już można zakończyć sprawdzanie, bo to oczywiste.

 

Skasuj ten RAR z dysku, nie próbuj go otwierać / ekstraktować! Wygląda na to, że nie zdążyłeś się zaprawić tym. W raportach nie widzę nic co by wskazywało na czynną infekcję. W logu z GMER są tylko ślady rootkita Mebroot w MBR, ale to stara sprawa, omawiana bodajże w temacie z włamaniem na pocztę. Takie ślady zawsze zostają w sektorach po nadpisaniu MBR, całkowite usunięte tego odczytu byłoby równe wbijaniu zer.

 

 

PS. A przy okazji, mówiłam w Twoim poprzednim temacie (KLIK) o usuwaniu sterowników po App-V, a to nadal jest w logu:

 

DRV - [2009-12-02 22:23:52 | 000,020,584 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Sftredirxp.sys -- (Sftredir)
DRV - [2009-12-02 22:23:52 | 000,018,280 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Sftvolxp.sys -- (Sftvol)
DRV - [2009-12-02 22:23:50 | 000,211,304 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Sftplayxp.sys -- (Sftplay)
DRV - [2009-12-02 22:23:46 | 000,554,344 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Sftfsxp.sys -- (Sftfs)

 

 

 

.

[kerpal]

Nie usunąłem bo nie widze tych wartosci co podałaś ani w services ani w drivers...

[picasso]

A przepraszam kerpal. Ciągle zapominam, że Autoruns nie wylicza sterowników zatrzymanych.

 

1. Start > Uruchom > devmgmt.msc. W menu Widok włącz pokazywanie ukrytych i w sekcji "Sterowniki niezgodne z Plug and Play" szukaj do deinstalacji wymienianych powyżej (mogą mieć inne nazwy wyświetlane). Znalezione odinstaluj + restart.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2009-12-02 22:23:52 | 000,020,584 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Sftredirxp.sys -- (Sftredir)
DRV - [2009-12-02 22:23:52 | 000,018,280 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Sftvolxp.sys -- (Sftvol)
DRV - [2009-12-02 22:23:50 | 000,211,304 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Sftplayxp.sys -- (Sftplay)
DRV - [2009-12-02 22:23:46 | 000,554,344 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Sftfsxp.sys -- (Sftfs)

 

Klik w Wykonaj skrypt.

 

 

 

.

[kerpal]

Ok zrobione, wszystko było succesfully w logu w OTL, cos jeszcze czy to juz koniec ?

[picasso]

To już koniec (Sprzątanie w OTL).

[kerpal]

Ok dziękuję ;]