Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Win32/Agent.TUM - koń trojański w pamięci operacyjnej

arturo91

Przez arturo91
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

arturo91

arturo91

Opublikowano
Opublikowano

Witam Witam :) Otóz kilka godzin temu po uruchomieniu przegladarki ukazał mi sie komunikat od mojego dostawcy internetowego ( komunikat w załączniku ). Przeprowadziłem skanowanie systemu antywirusem i wykryto na samym poczatku skanowanie dokładnie 1 infekcje :

 

 

2012-11-29 18:50:02 Skaner przy uruchamianiu plik Pamięć operacyjna » C:\Users\Artur\AppData\Roaming\csrss.exe odmiana zagrożenia Win32/Agent.TUM koń trojański nie można wyleczyć Artur-PC\Artur .

 

czyli tzw. wirus w pamieci operacyjnej. Uruchomiłem przywracanie systemu i po ponownym skanowaniu komputera antywirus nie zgłasza juz tej infekcji.

Jednak chciałbym sie upewnic ze wszystko jest z moim systemem w porzadku. Załaczam logi OTL :)

 

 

PS. Czy istnieje jakis dobry sprawdzony program do usuwania ( zabezpieczania przed ) bootkitów, rootkitów itp ? :) Aa no i skanuje OTL wersja 3.2.69.0 :) Czy to bezpieczna wersja ? :)

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Uruchomiłem przywracanie systemu i po ponownym skanowaniu komputera antywirus nie zgłasza juz tej infekcji.

Jednak chciałbym sie upewnic ze wszystko jest z moim systemem w porzadku.

 

W raporcie OTL nie widać żadnych oznak infekcji. Wykonaj tylko podstawowe operacje:

 

1. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

2. W Dzienniku zdarzeń jest błąd WMI numer 10. Napraw narzędziem automatycznym: KB2545227.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Google Chrome" = Google Chrome
"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw_1167637.dll (Adobe Systems, Inc.)

 

W podsumowaniu: deinstalacja starszych wersji Adobe Shockwave Player i Java, w celu zastąpienia najnowszymi, aktualizacja przeglądarek Internet Explorer, Firefox i Google Chrome (nie wiem jaka to wersja).

 

 

Aa no i skanuje OTL wersja 3.2.69.0 :) Czy to bezpieczna wersja ?

 

Jest napisane w przyklejonym które wersje są wadliwe. Aktualnie poprawna wersja na serwerze to właśnie ta z której skorzystałeś.

 

 

Czy istnieje jakis dobry sprawdzony program do usuwania ( zabezpieczania przed ) bootkitów, rootkitów itp ?

 

Podstawową rolę zabezpieczającą pełni już Twój ESET Smart Security. Do usuwania rootkitów, które już niestety wdarły się w system, narzędzia dedykowane takie jak Kaspersky TDSSKiller czy MBAR.

 

 

 

 

.

Odnośnik do komentarza
arturo91

arturo91

Opublikowano
  • Autor
Opublikowano

Witam ponownie. Przeskanowałem dzis ponownie dysk antywirusem i znow wykryto jedną infekcję - również w sektorze startowym:

 

2012-11-30 20:19:52 Pamięć operacyjna;C:\Sektor startowy;D:\Sektor startowy;C:\;D:\ 263886 1 1 Przerwane przez użytkownika

 

 

Tym razem istaniała możliwość "usunięcia" infekcji natomiast niepokoi mnie to ponowne zagrożenie... Nie mam pojecia co sie dzieje z tym sektorem startowym.... Wrzucam logi OTL :(

 

Jeszcze log z MBRcheck :)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Konsekwentnie w OTL nic nie widać. W MBRCheck również nic, ale to starawe narzędzie i nie ma immunizacji (infekcja może oszukać).

 

O sektorze startowym nic nie wspominałeś wcześniej. Skoro antywirus wykrywa coś w ruzruchu, to zrób skan w Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, nic nie usuwaj i ustaw Skip, zaprezentuj log do oceny. Jeśli jedyne co znajdzie to SPTD, raportu nie pokazuj, bo to sterownik emulatora napędów wirtualnych.

 

 

 

.

Odnośnik do komentarza
arturo91

arturo91

Opublikowano
  • Autor
Opublikowano

A wiec tak... Kaspersky TDssKiller nie wykrył żadnego zagrożenia... Z programów do usuwania rootkit/ bootkit , które macie na liście tutaj na forum tylko aswMBR wykrywa jakiś sterownik... Niestety nie jestem w stanie wrzucić logów z aswMBR, gdyz po pewnym czasie skanowania program sie zawiesza i wyswietla komunikat " Program przestał odpowiadać". Natomiast mam screena z infekcji która wykrył. Ale nie mam pojecia czy jest to jakis bootkit/ rootkit.

 

Wczoraj wykonałem skan programem Hitman Pro, który wykrył mi trojana w folderze C:/Program FIles/ RadVideo - infekcje usunąłem.

Wrzucam logi z TDSSKillera oraz wyzej wspomniany screen z aswMBR.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Z programów do usuwania rootkit/ bootkit , które macie na liście tutaj na forum tylko aswMBR wykrywa jakiś sterownik...

 

To pewnie aktywności emulatora napędów wirtualnych SPTD. Sterownik emulatora był notowany w logu z OTL:

 

DRV - [2012-11-29 22:30:36 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...