Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit cpuz134_x64.sys

Kriszo

Przez Kriszo
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Kriszo

Kriszo

Opublikowano
Opublikowano

Witam!

 

Przedwczoraj Avast wyskoczył z komunikatem o znalezieniu rootkita cpuz134_x64.sys. Znajdował się on w katalogu Temp w folderze użytkownika. Stało się to kilka minut po skorzystania z programu, nomen omen, CPU-Z. Pierwszy raz mi się to zdarzyło, nieraz już używałem tej aplikacji i nie było problemów. Oczywiście kazałem Avastovi (zmieniłem go później na Kaspersky AV) usunąć delikwenta i od tamtego momentu nie było już podobnych alarmów, jednak postanowiłem przeprowadzić kilka testów na obecność wszelkiej maści śmiecia spod znaku malware i raport z OTL mnie w kilku miejscach zaniepokoił, dlatego prosiłbym o rzucenie na niego fachowym okiem.

 

 

Results of screen317's Security Check version 0.99.53

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Kaspersky Anti-Virus

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Malwarebytes Anti-Malware wersja 1.65.1.1000

Adobe Flash Player 11.4.402.287

Mozilla Firefox (16.0.1)

Mozilla Thunderbird 12.0.1 Thunderbird out of Date!

````````Process Check: objlist.exe by Laurent````````

Kaspersky Lab Kaspersky Anti-Virus 2013 avp.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

 

 

Uwaga odnośnie Thunderbirda. Używam wersji 16.0.1, natomiast od czasu aktualizacji 12.0.1, w Panelu sterowania widnieją dwie. Niemniej, wersja rzeczywiście używana, to 16.0.1.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Przedwczoraj Avast wyskoczył z komunikatem o znalezieniu rootkita cpuz134_x64.sys. Znajdował się on w katalogu Temp w folderze użytkownika. Stało się to kilka minut po skorzystania z programu, nomen omen, CPU-Z.

 

Fałszywy alarm Avast. To jest rzeczywiście sterownik programu CPU-Z i uruchamia się z katalogu Temp. Po zamknięciu programu sterownik się samoczynnie usuwa, ale może pozostawić po sobie martwą usługę. Tu wg raportu nie ma takiej historii.

 

 

postanowiłem przeprowadzić kilka testów na obecność wszelkiej maści śmiecia spod znaku malware i raport z OTL mnie w kilku miejscach zaniepokoił

 

Które miejsca Cię "niepokoją"? Brak oznak infekcji. Sprawy stricte kosmetyczne:

 

1. Przez SHIFT+DEL skasuj folder szczątkowy po adware:

 

C:\Users\Krisu\AppData\Roaming\Babylon

 

.... oraz wszystkie pliki tego modelu nazwy:

 

C:\Users\Krisu\AppData\Local\Temp*.html

 

To śmieci nastukane przez Gadu 10. Niestety czyszczenie nie będzie mieć skutków permanentnych.

 

2. Usuń dwa puste wpisy startowe za pomocą Autoruns w karcie Logon:

 

O4:64bit: - HKLM..\Run: [AutoKMS] C:\Windows\AutoKMS.exe File not found
O4 - HKU\S-1-5-21-3868754764-367166796-3365555275-1000..\Run: [ChomikBox] C:\Program Files (x86)\ChomikBox\ChomikBox.exe File not found

 

 

Uwaga odnośnie Thunderbirda. Używam wersji 16.0.1, natomiast od czasu aktualizacji 12.0.1, w Panelu sterowania widnieją dwie. Niemniej, wersja rzeczywiście używana, to 16.0.1.

 

Security Check nie jest aż tak adekwatny. Log OTL Extras za to podaje, że są dwie wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-3868754764-367166796-3365555275-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Thunderbird 16.0.1 (x86 pl)" = Mozilla Thunderbird 16.0.1 (x86 pl)

 

Thunderbird 16.0.1 jest zainstalowany tylko dla bieżącego użytkownika a nie globalnie. Widocznie Security Check nie weryfikuje klucza HKEY_CURRENT_USER.

 

 

 

.

Odnośnik do komentarza
Kriszo

Kriszo

Opublikowano
  • Autor
Opublikowano
Security Check nie jest aż tak adekwatny. Log OTL Extras za to podaje, że są dwie wersje: (...) Thunderbird 16.0.1 jest zainstalowany tylko dla bieżącego użytkownika a nie globalnie. Widocznie Security Check nie weryfikuje klucza HKEY_CURRENT_USER.

 

No fakt, umknęła mi ta część loga. Kosmetykę zrobiłem, a zaniepokoiły mnie przede wszystkim te błędy na końcu loga Extras.txt. Nie byłem pewien, czy któryś nie został spowodowany przez jakiegoś niechcianego gościa. No ale jeśli jest w porządku, to pozostaje mi tylko podziękować za szybką odpowiedź. Temat do zamknięcia/usunięcia.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...