Exploit.Java.CVE-2012-1723.bx

[cod3r]

Witam,

 

Co jakiś czas wykonuję rutynowe skany Comodo, dziś wykrył mi jakiś podejrzany plik. Przeskanowałem plik na Virustotal i Kaspersky oznaczył go jako Exploit.Java.CVE-2012-1723.bx. (link do wyników z virustotal: klik).

Dodam jeszcze, że podejrzany plik znajduje się w lokalizacji C:\Users\Uzytkownik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 .

Załączam skany OTL.

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

[picasso]

Ten wynik pochodzi z cache Java, czyli odwiedzałeś jakąś witrynę, która ładowała aplet Java. W raportach nie notuję żadnych jawnych oznak infekcji. Tylko te poniżej zakreślone mnie intrygują, nie wiem co to jest (o tych plikach mówiłam zresztą w Twoim starszym temacie):

 

[2011-06-05 10:30:15 | 000,003,120 | ---- | C] () -- C:\windows\SysWow64\drivers\wdfhbjg.sys
[2011-03-07 02:49:15 | 000,003,120 | ---- | C] () -- C:\windows\SysWow64\drivers\wdfgfdc.sys
[2011-03-07 02:32:02 | 000,003,120 | ---- | C] () -- C:\windows\SysWow64\drivers\wdfgfce.sys
 
[2012-06-27 13:07:04 | 000,000,000 | -HSD | M] -- C:\Users\Uzytkownik\AppData\Roaming\Common

 

Sprawdź co jest w tym ukrytym folderze Common.

 

 

 

.

[cod3r]

Dziś folderu Common nie odnajduję w podanej ścieżce. Być może ulotnił się po czyszczeniu CCleanerem? Codziennie czyszczę. Co do 3 pierwszych plików, to one są chyba od samego początku na kompie. Z tego co sobie przejrzałem to we wszystkich wcześniejszych wątkach, które zamieszczałem na tutejszym forum zawsze w logach OTL te pliki były. Musiałby się pojawić wraz z instalacją świeżego systemu, komputer mam od września ubiegłego roku.

[picasso]

  Cytat

Dziś folderu Common nie odnajduję w podanej ścieżce.

 

Folder jest, ma atrybuty HS (ukryty systemowy). Nie widzisz go, gdyż nie masz włączonych wszystkich opcji widoku: Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > opcja Ukryj chronione pliki systemu operacyjnego ma zostać odznaczona.

 

 

  Cytat

Co do 3 pierwszych plików, to one są chyba od samego początku na kompie.

 

To nie są pliki będące częścią instalacji Windows. Coś musiało je wtórnie utworzyć.

 

 

.

[cod3r]

Ok, tak więc w folderze Common znajduje się plik o nazwie Shared101.ini mający taką zawartość:

AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAKFV/LYRdVEe3JaGzEg0DiQAAAAACAAAAAAAQZgAAAAEAACAAAABDzroqtdDvKikiR2IQ6lx00qcAdABNAPQq5UHKKFTIOwAAAAAOgAAAAAIAACAAAABqwRDoDwYBy3QORnjRqmkOEVJ6mYlfK20F3KPqa7SlnDAAAACdWtE6/qHucThgLA2DsAr6bQ650of5mFWn2p9CaXjnxmHcWVqlzkcXRXSbzabFXchAAAAA/N5r5WxiJPvtPaKHyKIPS/tuzGnPkDSBaKQuMyJUwnR8ogRQ4SsVqB+tL8v3MZgoKLanmsyPNmz62uevHaK5aw==

 

A co do tych 3 plików, być może są to drivery do jakiś produktów HP'owskich bądź powiązanych. Kupując komputer system miałem niestety z masą niepotrzebnych aplikacji wciśniętych dodatkowo.

[picasso]

  Cytat

Ok, tak więc w folderze Common znajduje się plik o nazwie Shared101.ini mający taką zawartość

 

%AppData%\Common + Shared101.ini to komponenty DisplayFusion wg tego sandboxa: KLIK. Zgadzałoby się, DisplayFusion widzę w raporcie.

 

 

  Cytat

A co do tych 3 plików, być może są to drivery do jakiś produktów HP'owskich bądź powiązany.

 

Te pliki wydają mi się dziwne (końcówka nazwy "losowana" z alfabetu), nie narzucają żadnych skojarzeń z HP, poza tym to 32-bitowe twory i nie ma widzialnych usług powiązanych. Na wszelki wypadek wyizoluj je (np. przenosząc na Pulpit) + restart systemu. Poobserwuj co się dzieje, a jeśli żadnych negatywnych skutków, to je definitywnie skasuj z dysku.

 

 

 

.

[cod3r]

Zrobiłem zgodnie z poradą, pliki wyizolowane. Sprawdziłem i nie widziałem żadnych negatywnych skutków więc je usunąłem.

Dzięki za pomoc, temat można zamknąć.