Wirus SoftwareBundler:Win32/OneClickDownloader + Robak Worm.Win32.Gamarue

[Lawsford674]

Witam. Dziś mój MSE wykrył rozruch na moim komputerze, spowodowany przez SoftwareBundler:Win32/OneClickDownloader oraz Robaka Worm.Win32.Gamarue. Robak Win32.Gamarue dostał się do mojego komputera przez pobranie pewnego programu (administrator strony został już powiadomiony) MSE wykrył go poddał kwarantannie po czym po rozpoznaniu pliku i jego pochodzenia wykonałem akcję usuń. Co do SoftwareBundler:Win32/OneClickDownloader to nie wiem skąd się wziął MSE poddał plik kwarantannie (file:C:\Users\user\AppData\Loca\Temp\OUrf_ugU.exe.part)kiedy dowiem się co to i skąd się wzięło usunę go tymczasem mam zamiar wykonać log w Adwcleaner i OTL'u chciał bym poprosić was o przejrzenie ich i odpowiedź czy pozbyłem się ów "niespodzianek". Z góry dziękuję.

Przeszukałem komputer AdwCleanerem log wydaje się być wporządku zatem nie widzę potrzeby wstawiania go na forum.

Jedyne co wykrył to: Klucze w Rejestrze (które usunąłem):

HKLM\SOFTWARE\Classes\protector_dll.protectorbho

HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1

I pliki w przeglądrkach (Firefoks,Chrome) także już usunięte:

C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\m3dwhjuv.default\prefs.js

C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\preferences

Przeskanowałem komputer za pomocą OTL'a mogłem coś przeoczyć podczas sprawdzania logu i extrasu zatem proszę was o szybkie ich sprawdzenie i odpowiedż.

OTL0.Txt

Extras.Txt

[cr!s]

Log z OTL wygląda na czysty.

Uruchom OTL i wklej

:OTL

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O4 - HKU\S-1-5-21-1025274614-742238905-2788778795-1010..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

:Commands

[emptytemp]

i kliknij 'Wykonaj skrypt'.

[Lawsford674]

Tak z ciekawości czemu ma służyć ów skrypt ?

[cr!s]

W sekcji O4 znajdują się wpisy programów, które startują wraz z uruchomieniem Windowsa (tzw autostart). Wirusy często tworzą klucze w tej sekcji rejestru, aby zapewnić sobie uruchamianie się wraz z systemem. W twoim przypadku jakiś program stowrzył sobie klucz w autostarcie, jednak został usunięty albo w jakiś inny sposób przepadł (file not found informuje,że plik do którego odnosi się wpis nie może zostać zlokalizowany), ale wpisy zostały. Nie radzę jednak samemu usuwać żadnych wpisów (nawet tych z dopiskiem file not found) bez odpowiedniej znajomości narzędzia.

Pozdrawiam.

[Lawsford674]

Wykonałem skrypt następnie przejrzałem powstały log, wszystko wydaje się wyglądać dobrze jednak dla pewności ów log załączam do postu, przejrzyj go w wolnej chwili. Dziękuję będę czekał na twoją odpowiedź jeśli wszystko okaże się być w porządku + dla Ciebie a następnie zwracam się do moderatora z uprzejmą prośbą o zamknięcie tematu.

11082013_000440x.txt

[cr!s]

Wszystko jest w porządku. Możesz (jeśli jeszcze tego nie zrobiłeś) profilaktycznie wykonać pełne skanowanie swoim antywirusem (lub jeszcze lepiej jakimś innym np. Malwarebytes Anti-Malware). Zgodnie z prośbą autora temat można zamknąć.

Pozdrawiam.

[Lawsford674]

Problem rozwiązany zatem wnoszę o zamknięcie tematu.