Wirus Facebookowy

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Toster94

Użytkownik
Posty: 1
Rejestracja: 22 sie 2011, 00:04

Wirus Facebookowy

Post22 sie 2011, 00:21

Witam, zaatakował mnie słynny wirus, który rozsyła spam po Facebooku do znajomych... Wklejam log z OTL

Dostępne tylko dla zarejestrowanych użytkowników

-- 22 sie 2011, 00:21 --

Na górę
filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Wirus Facebookowy

Post22 sie 2011, 08:06

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
MOD - [2011-08-21 19:33:45 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
MOD - [2011-08-21 19:08:17 | 001,216,000 | -H-- | M] () -- C:\Windows\update.tray-2-0\svchost.exe
MOD - [2011-08-21 19:08:17 | 001,216,000 | -H-- | M] () -- C:\Windows\update.tray-13-0\svchost.exe
SRV - [2011-08-21 19:25:17 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-08-21 19:20:08 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
O4 - HKLM..\Run: [29201236-loader2.exe] C:\Windows\Temp\29201236-loader2.exe ()
O4 - HKLM..\Run: [4339078.exe] C:\Windows\Temp\4339078.exe ()
O4 - HKLM..\Run: [5082578.exe] C:\Windows\Temp\5082578.exe ()
O4 - HKLM..\Run: [812318.exe] C:\Windows\Temp\812318.exe ()
O4 - HKLM..\Run: [8167064.exe] C:\Users\Justyna\AppData\Local\Temp\8167064.exe ()
O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~2\WIA6EB~1\Datamngr\DATAMN~1.EXE (Bandoo Media, inc)
O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-2-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-13-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-21 19:29:52 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-13-0-lnk
[2011-08-21 19:29:52 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-13-0
[2011-08-21 19:28:56 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-08-21 19:28:56 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
[2011-08-21 19:28:56 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
[2011-08-21 19:25:18 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011-08-21 19:23:12 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
[2011-08-21 19:22:05 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
[2011-08-21 19:20:27 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
[2011-08-21 19:19:08 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
[2011-08-21 19:19:07 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-2-0-lnk
[2011-08-21 19:19:07 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-2-0
[2011-08-21 21:58:07 | 000,000,734 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hîsts
[2011-08-21 20:50:08 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-08-21 20:50:08 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-08-21 20:50:08 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-08-21 20:50:07 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-08-21 20:46:03 | 000,000,179 | ---- | M] () -- C:\Windows\info1
[2011-08-21 19:33:45 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
[2011-08-21 19:23:05 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
[2011-08-21 19:22:05 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-08-21 19:20:08 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32_.exe
[2011-08-21 19:20:08 | 000,258,048 | ---- | M] () -- C:\Windows\sysdriver32.exe
[2011-08-21 19:08:17 | 001,216,000 | ---- | M] () -- C:\Windows\services32.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.tray-13-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\update.5\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]


Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości