Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja plików .exe- Podejrzenia Sality

MixPoland

Przez MixPoland
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

MixPoland

MixPoland

Opublikowano
Opublikowano

Witam.

 

Mam ogromny problem.

Otóż wczoraj byłem na internecie, grałem, rozmawiałem przez skype spokojnie.

Dzisiaj uruchomiłem komputer, około godziny 8.

Zobaczyłem że nie działa Minecraft oraz Skype.

Myślałem że to może przypadek, ale zauważyłem że inne programy też nie działają.

Bardzo proszę o pomoc.

 

 

Extras.txt- http://gg.pl/dysk/8_WtUCkKGQ1Z8vWtUCkI3hk/Extras.Txt

Otl.txt- http://gg.pl/dysk/T_Ry6TbgxBVZTvRy6TbiAwE/OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano (edytowane)

Sality nie masz na szczęście, ale jest inna infekcja. Wykonuj kolejno kroki:

 

1. Wejdź w panel usuwania programów i odinstaluj pozycje: Babylon toolbar on IE / Funmoods Web Search

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - [2012-07-03 05:37:29 | 000,090,112 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\eolmt.exe -- (eolmt)
SRV - [2011-01-15 09:15:02 | 000,163,185 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\rdqpb.dll -- (fufvczyas)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //start.funmoods.com/?f=1&a=desktop&chnl=desktop&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtB0EyC0E0EtB0D0F0DtBtN0D0TzutBtDtCtBtDyCtBzz&cr=1675977283
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //start.funmoods.com/results.php?f=4&q={searchTerms}&a=desktop&chnl=desktop&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtB0EyC0E0EtB0D0F0DtBtN0D0TzutBtDtCtBtDyCtBzz&cr=1675977283
IE - HKU\S-1-5-21-299502267-1844823847-1801674531-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //start.funmoods.com/results.php?f=4&q={searchTerms}&a=desktop&chnl=desktop&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtB0EyC0E0EtB0D0F0DtBtN0D0TzutBtDtCtBtDyCtBzz&cr=1675977283
IE - HKU\S-1-5-21-299502267-1844823847-1801674531-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=113677&tt=280612_8_&babsrc=SP_ss_cr&mntrId=bc7cdfd2000000000000002719f596f9
[2012-06-28 03:35:34 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Documents and Settings\MixPoland\Dane aplikacji\Mozilla\Firefox\Profiles\hw9wy6tk.default\extensions\ffxtlbr@funmoods.com
[2012-06-29 22:39:51 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O4 - HKLM..\Run: [GEST] ] File not found
O4 - HKLM..\Run: [Windows Explorer] C:\Documents and Settings\MixPoland\Dane aplikacji\explorer.exe (AtJvB4 XxEu Jbr5zRqq)
O4 - HKU\S-1-5-21-299502267-1844823847-1801674531-1004..\Run: [Java] C:\Documents and Settings\MixPoland\Ustawienia lokalne\Temp\Java.exe (Video Game)
O4 - HKU\S-1-5-21-299502267-1844823847-1801674531-1004..\Run: [lpmjexi] C:\Documents and Settings\MixPoland\Ustawienia lokalne\Dane aplikacji\kdxamh.exe ()
O4 - HKU\S-1-5-21-299502267-1844823847-1801674531-1004..\Run: [Microsoft DLL Registration] C:\Documents and Settings\MixPoland\Dane aplikacji\regsrv64.exe (RcLkhUcRIy Rs4 U0)
O4 - HKU\S-1-5-21-299502267-1844823847-1801674531-1004..\Run: [Microsoft Windows System] C:\Documents and Settings\MixPoland\P-7-78-8964-9648-3874\windll.exe File not found
O4 - HKU\S-1-5-21-299502267-1844823847-1801674531-1004..\Run: [Windows Explorer] C:\Documents and Settings\MixPoland\Dane aplikacji\explorer.exe (AtJvB4 XxEu Jbr5zRqq)
O4 - Startup: C:\Documents and Settings\MixPoland\Menu Start\Programy\Autostart\iqory.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: â’l Us = Reg Error: Value error. File not found
[2012-06-28 03:35:26 | 000,302,425 | ---- | M] () -- C:\Documents and Settings\MixPoland\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx
[2012-06-28 03:35:26 | 000,031,470 | ---- | M] () -- C:\Documents and Settings\MixPoland\Ustawienia lokalne\Dane aplikacji\funmoods.crx
[2012-07-03 09:11:25 | 000,300,032 | -H-- | C] () -- C:\Documents and Settings\MixPoland\Dane aplikacji\svchost64.exe
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\MixPoland\P-7-78-8964-9648-3874\windll.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Edytowane przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...