Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Chr.exe - odnawiający się plik

Sanch0

Przez Sanch0
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Sanch0

Sanch0

Opublikowano
Opublikowano

Zostawiłem kompa dzieciakom na dwa dni i to był błąd... Pewnie któraś z pobieranych gier musiała zawierać jakiś malware. Ogólnie komputer nie wykazuje żadnych niepokojących objawów ale skan MBAM który wykonałem po powrocie pokazał:

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Wersja bazy: 4052

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

2010-06-07 23:47:46

mbam-log-2010-06-07 (23-47-46).txt

 

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|H:\|)

Przeskanowano obiektów: 334079

Upłynęło: 38 minut(y), 20 sekund(y)

 

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 1

Zainfekowanych kluczy rejestru: 2

Zainfekowanych wartości rejestru: 1

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 2

 

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych modułów w pamięci:

C:\Users\Damian\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

 

Zainfekowanych kluczy rejestru:

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

 

Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\halo2 (Trojan.Downloader) -> Quarantined and deleted successfully.

 

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

 

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

 

Zainfekowanych plików:

C:\Users\Damian\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

 

Avira znalazła taki plik:

C:\Users\Damian\AppData\Local\Mozilla\Firefox\Profiles\3fkaml5n.default\Cache\6FA37558d01

[DETECTION] Contains a recognition pattern of the (harmful) BDS/AFNU back-door program

[NOTE] The file was deleted!

 

Co do pliku Chr.exe znajduje się w kataogu temp i jest uruchamiany ze startem systemu. Wraz z tym plikiem znajdowały się dwa o podobnej trzyliterowej nazwie które usunąłem bez problemów. Po usunięciu wpisu autostartu kierującego do pliku Chr.exe odnawia się. Z pewnością poleciał by po killu wszystkich procesów ale nie chciałem zacierać śladów.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt:

 

:OTL
O4 - HKU\S-1-5-21-1872720407-1848050738-1605665321-1001..\Run: [M5T8QL3YW3] C:\Users\Damian\AppData\Local\Temp\Chr.exe ()
 
:Files
C:\Users\Damian\AppData\Local\Temp\Chr.exe
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Run Fix. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...