kruger Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Witam wszystkich forumowiczów, prośba o sprawdzenie stanu komputera pod kątem obecności trojanów, rootkitów i im podobnych. Kilka dni temu zauważyłem w menadżerze zadań nieznany proces, sprawdziłem go i był to trojan. Plik nazywał się DATEC20.tmp.exe i znajdował się w folderze %temp% (przeskanowany multi skanerem i prawie wszystkie wyniki pozytywne). Dodatkowo trojan ten (jakiś downloader) utowrzył usługę. Wykasowałem ją wtedy ale zachowałem plik rejestru jej dotyczący Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\kfcuhjxgwg] "Type"=dword:00000010 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,00,\ 52,00,6f,00,62,00,65,00,72,00,74,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,\ 00,61,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,5c,00,54,00,65,00,6d,00,70,00,\ 5c,00,44,00,41,00,54,00,45,00,43,00,32,00,30,00,2e,00,74,00,6d,00,70,00,2e,\ 00,65,00,78,00,65,00,22,00,20,00,2d,00,2d,00,53,00,45,00,52,00,56,00,49,00,\ 43,00,45,00,00,00 "DisplayName"="kfcuhjxgwg" "WOW64"=dword:00000001 "ObjectName"="LocalSystem" ------------ To było kilka dni temu, o ile pamiętam 2 lipca, a plik miał datę utworzenia 28 czerwca. Dzsiaj włączył mi się samoistnie jakiś fałszywy skaner antywirusowy, zabiłem proces w menadżerze i podobnie jak poprzednio przeskanowałem multi skanerem ale tym razem tylko jeden wynik był pozytywny (może jakiś nowy i nie ma go jeszcze w bazach). Ścieżka do tego pliku: C:\Users\Robert\AppData\Local\wpwvdy.exe A dodatkowo nie poddoba mi się C:\windows\SysWow64\drivers\str.sys (data utowrzenia 28 czerwca a więc podobnie jak DATEC) Linki z google @str.sys zaprowadziły mnie tutaj No i jeszcze nie jestem całkiem pewien plików z SysNative ale oczywiście proszę o całościową ocenę i co wykasować bo w zasadzie nie znam się na tym za bardzo. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Rzeczywiście jest tu aktywna infekcja. Przechodź od razu do usuwania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3204032678-4035969612-3975192566-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2012-07-05 17:25:08 | 000,491,520 | ---- | M] () -- C:\Users\Robert\AppData\Local\wpwvdy.exe [2012-06-28 20:09:53 | 000,140,832 | ---- | C] () -- C:\windows\SysWow64\drivers\str.sys :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
kruger Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Dzięki za szybką odpowiedź, skrypt wykonany i nowe logi do oceny OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Wygląda, że wszystko usunięte. Problemu być nie powinno. Przejdź do ostatnich działań: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Przeskanuj się za pomocą Malwarebytes Anti-Malware Odnośnik do komentarza
kruger Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 OK, dzięki jeszcze raz, zaraz przeskanuję tym Malwarebytes. Odnośnik do komentarza
Rekomendowane odpowiedzi