KB00851660.exe - Cryptic.DYR

[MarcinT]

Witam! Dzisiaj przy czyszczeniu Autoruna AVG znalazł "Cryptic.DYR" w pliku KB00851660.exe znajdującym się w folderze C:\Users\Marcin\AppData\Roaming\KB00851660.exe. Wrzuciłem ten plik na stronę virustotal.com, TU wynik (potem ten plik usunąłem). System to Windows 7 Home Premium x64, w załączniku dodaje logi. Proszę o pomoc w usunięciu tego wirusa, z góry dziękuje.

OTL.Txt

Extras.Txt

[picasso]

Nie widzę oznak czynnej infekcji. Z podejrzanych rzeczy ten ukryty numeryczny katalog:

 

[2012-03-29 13:27:10 | 000,000,000 | -H-D | C] -- C:\Users\Marcin\AppData\Roaming\87AB2357

 

1. Drobne korekty szczątków i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2012-03-29 13:27:10 | 000,000,000 | -H-D | C] -- C:\Users\Marcin\AppData\Roaming\87AB2357
[2011-08-05 10:05:36 | 000,000,000 | ---- | C] () -- C:\Users\Marcin\AppData\Roaming\chrtmp
IE - HKU\S-1-5-21-3110761487-4205649708-3628464568-1000\..\SearchScopes\{2772FC19-F7F7-4C94-B9D4-C0A34368407C}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ddrnw&q={searchTerms}"
IE - HKU\S-1-5-21-3110761487-4205649708-3628464568-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8777;https=127.0.0.1:8777
IE - HKU\S-1-5-21-3110761487-4205649708-3628464568-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8777;https=127.0.0.1:8777
O3 - HKLM\..\Toolbar: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O20:64bit: - Winlogon\Notify\klogon: DllName - (%SystemRoot%\System32\klogon.dll) -  File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Na wszelki wypadek wykonaj skan za pomocą Malwarebytes Anti-Malware. Jeśli coś znajdzie, przedstaw raport.

 

 

 

.

[MarcinT]

Skrypt wykonany, poniżej log z MBAMa:

 

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Wersja bazy: v2012.04.03.09

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Marcin :: MARCIN-KOMPUTER [administrator]

 

2012-04-03 19:48:42

mbam-log-2012-04-03 (19-48-42).txt

 

Typ skanowania: Pełne skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 361481

Upłynęło: 25 minut(y), 33 sekund(y)

 

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykrytych wartości rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)

 

wykrytych folderów: 0

(Nie znaleziono zagrożeń)

 

Wykrytych plików: 1

C:\Users\Marcin\AppData\Roaming\cglogs.dat (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

(zakończone)

[picasso]

Nic szczególnego nie zostało wykryte. Zastosuj Sprzątanie w OTL i wyczyść foldery Przywracania systemu (KLIK). Wykonaj drobne aktualizacje;

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 29
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

 

 

.

[MarcinT]

Zrobione. Jeszcze raz dziękuje.