Witam,
kilka dni temu pojawiło mi się zadanie, którego nie tworzyłem. Odkryłem w zasadzie przypadkiem, bowiem podczas startu pojawił się błąd ładowania do pamięci rundll32 > po nitce doszedłem że to plik cyratgym.job, który był niewidzialny dla systemu (oprócz SilentRunners i SystemLook). Ale nawet te narzędzia nie potrafiły otworzyć pliku. Linux'em przeniosłem i 'dobrałem' się do plików (cofnięte były wszystkie uprawnienia dla .job i .dll który miał być uruchamiany).
O ile plik amstream.dll to bodajże jakiś komponent DirectX, o tyle skanery wskazują na amstream7.dll jako podejrzany.
W tej chwili plik .job jest przeniesiony, ale nie wiem co jeszcze mogło się przyplątać (amstream7.dll na razie mieszka w system32 na potrzeby ew. diagnostyki) więc proszę o sprawdzenie i odpowiedź - na ile możliwa - co to jest i skąd to mogło się wziąć.
---
Przypomniałem sobie, że c.a w tym samy czasie uaktualniałem system.
OTL: http://wklej.org/id/518811/
Extras: http://wklej.org/id/518812/
RSIT: http://wklej.org/id/518818/
Gmer: http://wklej.org/id/518913/
SilentRunners: http://wklej.org/id/518824/
http://virusscan.jotti.org/en/scanresult/50bf74a8b5b05b9ce9cc6640924e6d4418f7ccdc
http://www.virustotal.com/file-scan/report.html?id=8b525916de9cc3e66ec4fd4e189ca9e3438cf997cf11c401f5c0fe3ba47ed49b-1303751773
Pliki:
[2011-04-25 18:00:02 | 000,000,188 | ---- | M] () -- C:\windows\tasks\rejestr.job
[2011-04-25 17:01:25 | 000,004,092 | ---- | M] () -- C:\powerorg.reg
[2011-04-25 14:58:14 | 000,000,688 | ---- | M] () -- C:\Documents and Settings\BB\Moje dokumenty\fhn hjk tnhjkth.reg
[2011-04-24 17:24:24 | 000,000,197 | ---- | M] () -- C:\comp_reg.bat
[2011-04-24 17:24:00 | 000,022,016 | ---- | M] () -- C:\comp_reg.exe
[2011-04-24 17:18:37 | 000,016,384 | ---- | M] (IZWIBW) -- C:\koniec.exe
[2011-04-24 16:42:33 | 000,000,093 | ---- | M] () -- C:\alert.bat
[2011-04-11 19:34:26 | 000,000,479 | ---- | M] () -- C:\windows\start.reg
są prawidłowe (moje - dot. zresztą wątków w dziale Windows XP).