Fałszywy alarm Kaspersky'ego, czy rzeczywiste zagrożenie?

[ayla]

Witam serdecznie!

 

Dziś Kaspersky wyrzucił do kwarantanny jedną z bibliotek Brothera. Uparcie chce ją kasować. To fałszywy alarm, czy powinnam zacząć robić wszystkie logi? Poza tym, byłam na oldtimer[dot]geekstogo i kliknęłam w pobieranie OTS (spodziewałam się podlinkowanej strony z informacjami, nie bezpośredniego pobierania) i KIS zablokował dostęp, twierdząc, że obiekt posiada trojana Win32.Swisyn.cneu, to pewnie normalne, ale ta biblioteka mnie martwi nieco:

 

Zostanie przeniesiony do kwarantanny po restarcie (1)

2013-01-25 17:25:03

Zostanie przeniesiony do kwarantanny po restarcie

nieznane zagrożenie UDS:DangerousObject.Multi.Generic

c:\Program Files (x86)\Browny02\Brother\BrStMonWRes.dll

Wysoki (poziom zagrożenia - dopisek mój)

 

Googlałam o tym pliku trochę i wyszło mi, że jest całkiem normalny, ale wolę się upewnić. Będę wdzięczna za pomoc.

 

Edit: dołączam logi:

[picasso]

Oba zgłoszenia wyglądają na fałszywe alarmy (pobieranie OTL + adnotacje o bibliotece Brother). Tu nic nie wskazuje na czynną infekcję. Tylko wyczyść szczątki adware Ask i v9 oraz kilka innych drobnostek:

 

1. Wyczyść Firefox z adware Ask: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Ta akcja utworzy na Pulpicie folder Stare dane programu Firefox i on do kosza ma pojechać.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{3804D43F-9CCB-4D8A-B343-F4F3FD2BDE59}"
 
:OTL
IE - HKU\S-1-5-21-371146620-4061317904-1950943849-1001\..\SearchScopes\{A01C88EA-B003-456C-BC14-92B509642575}: "URL" = "http://www.google.com/search?sourceid=ie9&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7TSNP_enPL463"
IE - HKU\S-1-5-21-371146620-4061317904-1950943849-1001\..\SearchScopes\{BA9E99FD-9668-49EE-9AA4-27E4DACCCD06}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=193DB8D6-8DD3-456D-9317-CB4D478FC0B6&apn_sauid=A7B32CA1-BB9E-4C1E-B3AA-81B23B3193FB"
IE - HKU\S-1-5-21-371146620-4061317904-1950943849-1001\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
FF - HKCU\Software\MozillaPlugins\wacom.com/WacomTabletPlugin: C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll File not found
O3 - HKU\S-1-5-21-371146620-4061317904-1950943849-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-371146620-4061317904-1950943849-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4:64bit: - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-371146620-4061317904-1950943849-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-371146620-4061317904-1950943849-1000..\RunOnce: [sysOff] C:\Windows\SysWOW64\SYSPREP\ClosespV.exe File not found
[2012-07-29 16:07:09 | 000,000,000 | -HSD | M] -- C:\Users\Mother of Universe\AppData\Roaming\wyUpdate AU
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Po restarcie zastosuj Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj produkty Mozilla i Silverlight, najnowsze wersje to: KLIK.

 

 

 

.

[ayla]

Zrobione, dziękuję.

 

Tak myślałam, bo czytałam te swoje logi i nie dostrzegłam tam niczego złego, ale moja wiedza jest jeszcze dość... fragmentaryczna.

Ask i V9 były martwe, kiedyś się zaplątały przez nieuwagę i zostały usunięte (jak widac niedokładnie), w każdym razie nie działały "czynnie".

Ogólnie to jestem z siebie dumna, bo gdybym sama miała sobie robić poprawki, mój skrypt wyglądałby prawie jak Twój.

 

Lisek się sam zaktualizował po uruchomieniu, Silverlighta dociągnełam.