holcus Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 witam, czy mogłem zainfekować komputer poprzez klilnięcie "konfiguruj" na pliku .scr? nie uruchamiałem go. skanery nic nie wykrywały w pliku chociaż jestem pewien, że to coś złośliwego. plik sciągniety z pewnego tematu innego forum pt: "obejrzyjcie moje fotki " ;p Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 Witam, czy widzisz tu może wróżbitę na horyzoncie? Zasady działu: KLIK. Do stwierdzenia pewnych faktów są wymagane logi. Odnośnik do komentarza
holcus Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Przepraszam oto logi przeskanowałem jeszcze mbamem. log również w załączniku MBam cośtam wykrył ale mam wrażenie że to jakaś stara, przeoczona infekcja... jeszcze nie usuwałem aha, apropo mojego pytania to wygląda na to że opcja "konfiguruj" dla .scr uruchamia program (sprawdziłem na innym .exe) OTL.Txt Extras.Txt mbam-log-2012-05-07 (23-50-23).txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Wyniki MBAM: definitywny trojan, ale co ciekawe log z OTL nie widzi tego wpisu startowego w rejestrze, choć proces notuje i po tym mogłabym zidentyfikować obiekt, bo wyróżnia się: ========== Processes (SafeList) ========== PRC - [2012/05/03 14:52:29 | 000,066,048 | ---- | M] () -- C:\Users\Konrad\AppData\Local\Temp\dumpre.exe I nie jestem taka pewna czy to odrębne "przeoczone" wcześniej zagadnienie. Ten plik ma świeżą datę utworzenia sprzed kilku dni. Nie wiem o jakiej rozbieżności dat mowa i kiedy tak naprawdę zabawiałeś się z tym SCR, ale Tu się nasuwa, że jest to jego pochodna. Ty jednak wyekzekwowałeś "uruchomienie" przez odwołanie do funkcji menu kontekstowego. Jeśli masz jeszcze kopię tego SCR, możesz mi przesłać niepublicznie na PW, a ja to sprawdzę na wirtualnej maszynie. Sumarycznie do wykonania następujące akcje: 1. Za pomocą MBAM usuń tego trojana. Zapobiegawczo przeczyść ogólnie lokalizacje tymczasowe posiłkując się TFC - Temp Cleaner. 2. Log z OTL wskazuje uszczerbek, "coś" skasowało plik HOSTS: Hosts file not found Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Drobne aktualizacje do nadrobienia: KLIK. Konkretnie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 29"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) . Odnośnik do komentarza
holcus Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 Dziękuje, wszystko zrobione. Plik scr ściągnąłem dopiero wczoraj i zaraz po kliknięciu "konfiguruj" i pojawienia się kółeczka windows 7 (klepsydry) na chwilę, zacząłem pisać ten temat. Spodziewałem się raczej komunikatu w stylu: "windows nie może skonfigurować pliku bo nie jest to poprawna aplikacja wygaszacza" chciałem go przechytrzyć, on przechytrzył mnie... Nie wiem czy to istotne, ale nie uruchamiałem systemu ponownie od załadowania .scr do dzisiaj rano - kiedy to MBAM tego potrzebował do usunięcia dumpre.exe. Czy wyniki skanowania OTL mogły być niekompletne przez to? Na priva wysłałem ten podejrzany plik .scr Odnośnik do komentarza
Rekomendowane odpowiedzi