TR/Dropper.Gen + cdrom.sys

[dragolice]

Witam. Dziś podczas przeglądania internetu zaczęło coś mulić kompa. Avira wywaliła komunikat o infekcji TR/Dropper.Gen na pliku cdrom.sys w folderze drivers jak i w dllcache. Dałem opcję "deny acces", ale plików nie widzę na dysku czyli zostałem bez sterownika od cdromu. W menadżerze zadań zabiłem losowo nazwany proces, krótko po tym zorientowałem się że odpalił z temp usera, + dodatkowo zauważyłem losowo nazwany exek w folderze profilu użytkownika (identycznie nazwany (z tego co pamiętam) jak z tego tematu KLIK czyli m7f4pu607h.exe). Zostały dodane wpisy w autostarcie w tym regedit.exe. Wszystkie powyższe znaleziska usunąłem.

Niestety (jak zawsze zresztą) nie mam odpowiednio dużo czasu aby wygenerować log z gmera (z kompa korzystają 4 osoby).

Proszę o analizę logów OTL, GMER doślę dopiero jutro.

Dzięki za pomoc, pozdrawiam.

Extras.Txt

OTL.Txt

[picasso]

Avira wywaliła komunikat o infekcji TR/Dropper.Gen na pliku cdrom.sys w folderze drivers jak i w dllcache. Dałem opcję "deny acces", ale plików nie widzę na dysku czyli zostałem bez sterownika od cdromu.

 

vs.

 

DRV - File not found [Kernel | System | Running] --  -- (Cdrom)

 

1. Pobierz plik cdrom.sys w wersji zgodnej z systemem w nagłówku (XP SP3): KLIK. Plik wrzuć do katalogów drivers + dllcache. Następnie Start > Uruchom > devmgmt.msc i zweryfikuj czy po podstawieniu plików nadal widać zdefektowane urządzenie, jeśli tak, odinstaluj a przy restarcie system je przebuduje.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Regedit32"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
:Files
C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrch.xml
C:\Documents and Settings\Marcin\Moje dokumenty\help_crack.exe
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt.

 

3. Do oceny logi: OTL + GMER. Oczywiście przypominam o usuwaniu emulacji na czas skanowania, czyli tu aż trzech sterowników:

 

DRV - [2008-09-16 20:20:20 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINNT\System32\Drivers\sptd.sys -- (sptd)
DRV - [2002-11-11 22:04:18 | 000,008,416 | ---- | M] (Alcohol Soft Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINNT\system32\drivers\vbusax.sys -- (vbusax)
DRV - [2002-11-11 16:41:04 | 000,092,384 | ---- | M] (Alcohol Soft Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINNT\system32\drivers\vdevax.sys -- (vdevax)

 

 

 

.

[dragolice]

1. Wykonane. System automatycznie zrobił kopię w dllcache po wrzuceniu pliku do drivers. Sprawdzałem daty utworzenia - zgadzają się. Nie mam aktualnie podłączonego cd-rom więc na tym poprzestałem.

 

2. Wykonane. Ten help crack jest z "zaufanego źródła", tylko taka fikuśna nazwa została.

 

3. Dostarczam logi.

 

Dzięki za zainteresowanie.

Pzdr.

Wykonaj skrypt.txt

gmer.txt

OTL.Txt

[picasso]

Widzę, że ocaliłeś tego "help_cracka" Natomiast, sfałszowany wpis regedit niby pomyślnie usunięty, w nowym logu powrót:

 

O4 - HKLM..\Run: [Regedit32]  File not found

Czy tu przypadkiem nie nastąpiła jakaś odmowa dla modyfikacji rejestru?

 

1. Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Skasuj wpis Regedit32.

 

2. Zresetuj komputer i sprawdź w rejestrze ponownie czy wpis wrócił. Jeśli nie:

 

3. Standard wykańczania tematu: Sprzątanie w OTL + czyszczenie folderów Przywracania systemu (KLIK).

 

4. Java do aktualizacji: KLIK.

 

 

 

.

[dragolice]

Wszystko przebiegło pomyślnie, żadnych błędów itp. Ok klucz skasowany i po restarcie się nie pojawił ponownie. Sprzątanie wykonane, SVI wyczyszczony. Java, chyba już 4 raz na forum przypominają mi o aktualizacji Tym razem już porządnie się za to zabiorę.

Dziękuję pięknie za pomoc.

Pozdrawiam.

Edytowane 14 Maja 2011 przez picasso
Temat rozwiązany. Zamykam. //picasso