Link z Skype

[jakub]

Witam

 

Osoba dostala na skypa dziwnego linka. Pobrala plik i osoby zalogowane na jej liscie dostaly tego samego linka od niej . Plik przeskanowalem f-secure ale cisza. Nie dalem za wygrana i plik poleciał na virustotal . Wynik 14/44 .Kaspersky mówi ze to : HEUR:Trojan.Win32.Generic . Doszukalem się ,że owy delikwent zostawia takie ślady : zrjubbofwfmowfzs.exe

 

Widze, że slady są w logach prosze więc o pomoc .

Extras.Txt

OTL.Txt

New Text Document.txt

[picasso]

Definitywnie jest tu infekcja. Ponadto, jest tu dziwny odczyt tej usługi, choć nie wykluczam błędu skanu OTL:

 

DRV - [2012-10-22 08:35:13 | 000,000,220 | ---- | M] () [Kernel | System | Running] -- C:\Windows\null -- (Null)

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [Pgvvpwwaqgocctdh.exe] C:\Users\jbr\AppData\Roaming\Pgvvpwwaqgocctdh.exe ()
O4 - HKU\S-1-5-21-649295582-2107987914-6498272-10032..\Run: [Pgvvpwwaqgocctdh.exe] C:\Users\jbr\AppData\Roaming\Pgvvpwwaqgocctdh.exe ()
O4 - HKU\S-1-5-21-649295582-2107987914-6498272-10032..\Run: [WINSXS32] C:\Users\jbr\AppData\Local\Temp\trjritnskgkpdjk.exe ()
O7 - HKU\S-1-5-21-649295582-2107987914-6498272-10032\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 1
O7 - HKU\S-1-5-21-649295582-2107987914-6498272-10032\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: 1 = msimn.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-649295582-2107987914-6498272-10032\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-649295582-2107987914-6498272-10032\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
[2013-04-12 16:18:22 | 000,000,110 | ---- | M] () -- C:\Windows\SysNative\null
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. System nie ma pliku HOSTS:

 

Hosts file not found

 

Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#    127.0.0.1       localhost


#    ::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook x64 i do skanu wklej:

 

:reg


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Null /s

 

Poza tym, na dyskach zewnętrznych są dziwne ukryte pliki autorun.inf:

 

O32 - AutoRun File - [2013-04-12 16:18:27 | 000,005,815 | RHS- | M] () - N:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-04-12 16:19:07 | 000,003,521 | RHS- | M] () - O:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2011-09-19 09:11:14 | 001,016,140 | RHS- | M] () - Q:\Autorun.inf -- [ NTFS ]

 

Otwórz je po kolei w Notatniku i przeklej ich zawartość.

 

 

 

.

Edytowane 18 Maja 2013 przez picasso
18.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso