Trojan.Downloader

[OdGda]

Witam.

 

Zaniepokoiło mnie wykryte przez MBAM zagrożenie:

c:\WINDOWS\system32\java.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

oraz

c:\program files\Java\jre6\bin\java.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Pierwsze pochodzi z szybkiego skanu (po restarcie "czysto"), drugie ze skanu pełnego (po restarcie "czysto").

 

Sekwencja zdarzeń z logu SpyBot S&D:

 

2010-12-06 00:36:10 Odmówiono (based on user decision) value "run" (new data: "") dodane in NT startup!

2010-12-06 00:36:21 Odmówiono (based on user decision) value "TaskMan" (new data: "") dodane in Winlogon!

2010-12-06 00:38:34 Odmówiono (based on user decision) value "run" (new data: "") dodane in NT startup!

2010-12-06 00:38:35 Odmówiono (based on user decision) value "TaskMan" (new data: "") dodane in Winlogon!

2010-12-06 01:17:09 Odmówiono (based on user decision) value "run" (new data: "") dodane in NT startup!

2010-12-06 01:17:09 Odmówiono (based on user decision) value "TaskMan" (new data: "") dodane in Winlogon!

2010-12-06 01:17:41 Zezwolono (based on user decision) value "Malwarebytes' Anti-Malware (reboot)" (new data: ""C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript") dodane in System Startup global entry!

2010-12-06 01:20:40 Zezwolono (based on user decision) value "Malwarebytes' Anti-Malware (reboot)" (new data: "") usunięte in System Startup global entry!

2010-12-06 01:20:44 Odmówiono (based on user decision) value "run" (new data: "") dodane in NT startup!

2010-12-06 01:20:47 Odmówiono (based on user decision) value "TaskMan" (new data: "") dodane in Winlogon!

"Odmówione" zdarzenia były kolejno przed restartem po "szybkim skanie" oraz po restarcie, oraz analogicznie po pełnym skanowaniu MBAM. Nie wiem czego dotyczą.

Usunięte pliki java były datowane na 25 X 2010 i Windows wskazywał, że są autorstwa Sun Microsystems, więc może to nadczułość MBAM + moje przewrażliwienie? Tym bardziej, jeśli ich data jest prawidłowa - uruchamiałem w międzyczasie MBAM wielokrotnie i nic nie wykrywał.

 

Z ew. niepokojących objawów zaobserwowałem jedynie bardzo powolne aktualizowanie się MBAM - nie zawsze, ale dość często. Ok. miesiąc temu Avast usunął z pulpitu plik Gmer (pod losową nazwą) - nie informując mnie o tym (zauważyłem po czasie). Gdy sprawdziłem, to opisał go jako Tojan.gen. Niestety nie potrafię wydobyć z Avasta tej informacji.

 

W załączeniu wymagane logi.

 

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

1. Nie masz się czym przejmować. To jest fałszywy alarm. Oto wątek dyskusyjny na forum MBAM: KLIK.

 

2. Logi w porządku. Tylko drobnostka, czyli usługa po starym Avaście:

 

SRV - File not found [Auto | Stopped] -- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe -- (aswUpdSv)

Start > Uruchom > CMD i wpisz komendę SC DELETE aswUpdSv

 

3. Soft do aktualizacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish
"KLiteCodecPack_is1" = K-Lite Codec Pack 3.6.5 Full
"Mozilla Thunderbird (2.0.0.23)" = Mozilla Thunderbird (2.0.0.23)

Prócz podstaw (INSTRUKCJE) również stare kodeki.

 

Ok. miesiąc temu Avast usunął z pulpitu plik Gmer (pod losową nazwą) - nie informując mnie o tym (zauważyłem po czasie). Gdy sprawdziłem, to opisał go jako Tojan.gen. Niestety nie potrafię wydobyć z Avasta tej informacji.

 

To pewien rodzaj ironii, bo silnik GMER jest wbudowany w moduł antyrootkit Avasta.

 

 

.

[OdGda]

Bardzo dziękuję za wyjaśnienia. Aktualizacje, które zaleciłaś już robię. Daruję sobie tylko kodeki (po prostu odinstaluję), bo nie odtwarzam żadnych filmów. Usunę też szczątki starego Avasta.

 

Miałem nadzieję, że to jakiś babol MBAM i nawet zacząłem od szukania, ale chyba forum MBAM było miejscem zbyt oczywistym, bo tam nie trafiłem

 

Jeszcze raz dziękuję i pozdrawiam.