Skocz do zawartości

Zagrożenie "URL:Mal" przy próbie ściągnięcia pliku z chomikuj.pl


Rekomendowane odpowiedzi

Witam.

Przy próbie pobrania pliku "Rozkwitaly paki bialych roz - Biesiada.midi" z hxxp://chomikuj pl/pawelchudzinski123/Midi

avast rzuca dwie informacje o zagrożeniu:

-dla SWare Iron (i pewnie reszty bazowanej na chrome)

post-844-0-58838200-1337277185_thumb.png

 

-dla Opery/IE

post-844-0-00055300-1337277245_thumb.png

 

Inne pliki z owej strony pobierają się bez problemu.

 

checkup.txt z SecurityCheck:

notcheckup25.txt
[b]``````````End of Log````````````[/b]

chociaż wydaje mi się, że nie tak ma wyglądać

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Problem nie jest lokalny po Twojej stronie. U mnie w wirtualnej maszynie Avast też blokuje ten konkretny URL:

 

avasturl.png

 

Nie wiem z jakiego powodu. Wygląda mi to jednak na jakiś błąd detekcji ...

 

 

PS. Coś bardzo dziwny ten log "Security Check"... W OTL widzę to niezdefiniowane zadanie Harmonogramu:

 

[2012.04.17 22:03:45 | 000,000,330 | ---- | C] () -- C:\Windows\tasks\At1.job

 

Uruchom Autoruns i w sekcji Scheduled Tasks popatrz czy jest i jaki plik egzekwuje.

 

 

 

.

Odnośnik do komentarza
W Scheduled Tasks są cztery zadania. Prawdopodobnie chodzi o ten trzeci od góry, ale wszelki wypadek zamieszcam cały wycinek.

 

To nie wygląda na właściwy obiekt. To zadanie powinno być widzialne pod nazwą \At1. Dla porównania zrzut ekranu z innego systemu:

 

autoruns.th.png

 

Nie sugeruj się jednak tym do czego kieruje plik At1.job na podanym obrazku, bo konwencja nazewnicza jest ogólna. Były już takie pliki robione przez infekcję, Pandę i kilka innych obiektów. Dlatego u Ciebie chcę potwierdzić co odpala ten plik. Skoro nie widzi go Autoruns, to usuń ten plik z dysku i sprawdź czy nie wróci.

 

 

Czy pliku C:\Windows\expstart.exe powinienem się obawiać, czy jest to tylko pozostałość po użyciu Start Orb Changer'a?

 

Nie ruszyłam tego wpisu umyślnie. Jest to proces związany właśnie z punktowaną modyfikacją, a i inne ślady kombinatoryki tego kalibru widać w logu. I to nie "pozostałość", ten proces musi cały czas startować, jeśli ma robić to co zaplanowane. To jest sfałszowany explorer.exe, który uruchamia powłokę ze zmodyfikowanym Orb.

 

 

 

.

Odnośnik do komentarza
Można sprawdzić posiadając sam plik, co on wykonuje?

 

Jeśli nadal posiadasz ten plik job, to sprawdź jego Właściwości. Może tam jest widzialna ścieżka docelowa.

 

 

Na przykład jakie?

 

Kopia zapasowa explorer.exe i katalog Orb Changera:

 

[2012.05.16 19:47:14 | 002,614,784 | ---- | C] (Microsoft Corporation) -- C:\Windows\explorer.backup.exe

[2012.05.16 19:47:13 | 000,000,000 | ---D | C] -- C:\Windows\W7SOC

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...