Skocz do zawartości

TR/Dropper.Gen + cdrom.sys


Rekomendowane odpowiedzi

Witam. Dziś podczas przeglądania internetu zaczęło coś mulić kompa. Avira wywaliła komunikat o infekcji TR/Dropper.Gen na pliku cdrom.sys w folderze drivers jak i w dllcache. Dałem opcję "deny acces", ale plików nie widzę na dysku czyli zostałem bez sterownika od cdromu. W menadżerze zadań zabiłem losowo nazwany proces, krótko po tym zorientowałem się że odpalił z temp usera, + dodatkowo zauważyłem losowo nazwany exek w folderze profilu użytkownika (identycznie nazwany (z tego co pamiętam) jak z tego tematu KLIK czyli m7f4pu607h.exe). Zostały dodane wpisy w autostarcie w tym regedit.exe. Wszystkie powyższe znaleziska usunąłem.

Niestety (jak zawsze zresztą) nie mam odpowiednio dużo czasu aby wygenerować log z gmera (z kompa korzystają 4 osoby).

Proszę o analizę logów OTL, GMER doślę dopiero jutro.

Dzięki za pomoc, pozdrawiam.

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
  Cytat
Avira wywaliła komunikat o infekcji TR/Dropper.Gen na pliku cdrom.sys w folderze drivers jak i w dllcache. Dałem opcję "deny acces", ale plików nie widzę na dysku czyli zostałem bez sterownika od cdromu.

 

vs.

 

DRV - File not found [Kernel | System | Running] --  -- (Cdrom)

 

1. Pobierz plik cdrom.sys w wersji zgodnej z systemem w nagłówku (XP SP3): KLIK. Plik wrzuć do katalogów drivers + dllcache. Następnie Start > Uruchom > devmgmt.msc i zweryfikuj czy po podstawieniu plików nadal widać zdefektowane urządzenie, jeśli tak, odinstaluj a przy restarcie system je przebuduje.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Regedit32"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
:Files
C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrch.xml
C:\Documents and Settings\Marcin\Moje dokumenty\help_crack.exe
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt.

 

3. Do oceny logi: OTL + GMER. Oczywiście przypominam o usuwaniu emulacji na czas skanowania, czyli tu aż trzech sterowników:

 

DRV - [2008-09-16 20:20:20 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINNT\System32\Drivers\sptd.sys -- (sptd)

DRV - [2002-11-11 22:04:18 | 000,008,416 | ---- | M] (Alcohol Soft Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINNT\system32\drivers\vbusax.sys -- (vbusax)

DRV - [2002-11-11 16:41:04 | 000,092,384 | ---- | M] (Alcohol Soft Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINNT\system32\drivers\vdevax.sys -- (vdevax)

 

 

 

.

Odnośnik do komentarza

1. Wykonane. System automatycznie zrobił kopię w dllcache po wrzuceniu pliku do drivers. Sprawdzałem daty utworzenia - zgadzają się. Nie mam aktualnie podłączonego cd-rom więc na tym poprzestałem.

 

2. Wykonane. Ten help crack jest z "zaufanego źródła", tylko taka fikuśna nazwa została.

 

3. Dostarczam logi.

 

Dzięki za zainteresowanie.

Pzdr.

Wykonaj skrypt.txtPobieranie informacji ...

gmer.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza

Widzę, że ocaliłeś tego "help_cracka" :P Natomiast, sfałszowany wpis regedit niby pomyślnie usunięty, w nowym logu powrót:

 

O4 - HKLM..\Run: [Regedit32]  File not found

Czy tu przypadkiem nie nastąpiła jakaś odmowa dla modyfikacji rejestru?

 

1. Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Skasuj wpis Regedit32.

 

2. Zresetuj komputer i sprawdź w rejestrze ponownie czy wpis wrócił. Jeśli nie:

 

3. Standard wykańczania tematu: Sprzątanie w OTL + czyszczenie folderów Przywracania systemu (KLIK).

 

4. Java do aktualizacji: KLIK.

 

 

 

.

Odnośnik do komentarza

Wszystko przebiegło pomyślnie, żadnych błędów itp. Ok klucz skasowany i po restarcie się nie pojawił ponownie. Sprzątanie wykonane, SVI wyczyszczony. Java, chyba już 4 raz na forum przypominają mi o aktualizacji :P Tym razem już porządnie się za to zabiorę.

Dziękuję pięknie za pomoc.

Pozdrawiam.

Edytowane przez picasso
Temat rozwiązany. Zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...