Skocz do zawartości

Wykryte wirusy


Rekomendowane odpowiedzi

Witam,

Prosze o sprawdzenie logów. Jakiś czas temu antywirus wykrył wirusa: Gen:Variant.Kazy.130762; Katalog:C/Users/beata h/AppData/Local/Temp; Proces wpbt0.dll.

Kolejnego dnia miała miejsce próba kolejnego ataku, tym razem wirus: Trojan.Generic.KDZ; Plik: wpbt0.dll; Katalog:C/Users/beata h/AppData/Local/Temp, Proces:explorer.exe.

Po tych atakach postanowiłam zeskanować system, po godzinie otrzymałam informacje, że jest odmowa dostępu do dwóch plików: EtwRTdiagLog.etl, Katalog:C/Widnows/System32/LogFiles/WMI/RtBackup oraz MountPointManagerRemoteDatabase, Katalog:C/SystemVolumeInformation. Nie wiem, czy to o czymś świadczy, nigdy wcześniej po skanowaniu antywirus nie wyświetlał takich informacji.

Kilka dni temu antywirus poinformował o złośliwym programie svchost.exe uruchomionym przez service.exe i zalecił jego usunięcie (w opisie: program ten wykonywał operacje w imieniu innego programu, program nawiązuje połączenie sieciowe.)

Chciałabym się upewnić, czy wszystko jest w porządku. Dołączam logi, niestety nie jestem pewna czy Gmer jest po poprawny (skanowanie trwało około godziny) - ale niewiele tego jest.

Extras.Txt

Gmer.txt

OTL.Txt

Odnośnik do komentarza
  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Infekcji tu już nie widzę. Zapuść tylko skrypt kosmetyczny:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-917128133-1351155886-2866853356-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O8 - Extra context menu item: Open with WordPerfect - c:\Program Files\Corel\WordPerfect Office X5\Programs\WPLauncher.hta File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found
O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) -  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{1DC69E38-B76C-4246-8B15-80B3AA5A5429}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{1DC69E38-B76C-4246-8B15-80B3AA5A5429}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

Po tych atakach postanowiłam zeskanować system, po godzinie otrzymałam informacje, że jest odmowa dostępu do dwóch plików: EtwRTdiagLog.etl, Katalog:C/Widnows/System32/LogFiles/WMI/RtBackup oraz MountPointManagerRemoteDatabase, Katalog:C/SystemVolumeInformation. Nie wiem, czy to o czymś świadczy, nigdy wcześniej po skanowaniu antywirus nie wyświetlał takich informacji.

 

To normalne. Do tych obiektów nie ma uprawnień.

 

 

 

 

.

Odnośnik do komentarza

Zanim wykonam log, bardzo proszę o jednoznaczną odpowiedź MODERATORA na 2 pytania:

1) jak prawidłowo należy pobrać GMER i OTL - przy "włączonym" czy "wyłączonym" antywirusie?

2) jak prawidłowo należy wykonać skanowanie (OTL i GMER) - przy "włączonym", czy "wyłączonym" antywirusie.

 

Bardzo przepraszam za te pytania ale chciałam rozwiać wątpliowości.

Kiedyś bez problemu pobrałam OTL i Gmer przy włączonym antywirusie, kiedy jednak, ostatnio chciałam pobrać Gmera z tego forum antywirus zablokował dostęp do strony i podał informacje że strona zawiera niebezpieczny kod: Trojan.Generic.8557653.

Dziś chciałam użyć OTL (którego wcześniej pobrałam) przy włączonym antywirusie i Gdata zareagowała, że to "złośliwy plik uruchamialny, który został skompresowany, możliwe że w celu ukrycia złośliwego kodu".

 

Mam już mętlik w głowie, dlatego proszę o jednoznaczną odpowiedź moderatora na powyższe pytania.

Odnośnik do komentarza

OTL możesz pobrać przy włączonym antywirusie i skanować w trakcie jego działania.

GMER możesz pobrać przy włączonym antywirusie,ale do uruchomienia jego trzeba wyłączyć antywirusa,aby nie zakłócał w skanowaniu komputera,cytat picasso z opisu GMER-a:

 

Należy maksymalnie zredukować liczbę pracujących w tle procesów, w tym wyłączyć oprogramowanie zabezpieczające typu antywirus / firewall etc. Wprawdzie te akcje nie zdejmą określonych aktywności w sposób całkowity, ale w tym przypadku trudno jest namawiać użytkownika, by deinstalował wszystko z systemu.
Odnośnik do komentarza

ona, pobieranie narzędzi można wykonywać w obojętnym stanie, ale jeśli antywirus blokuje pobieranie, to należy go wyłączyć na czas operacji. To są fałszywe alarmy antywirusa. Być może nowe definicje się pojawiły, niekorzystne dla pobierania narzędzi, stąd problem notowany dopiero teraz. To nie jedyny antywirus, który wykrywa w OTL jakieś kurioza.

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

Poprzednie zalecenia wykonane i po prostu kończymy:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Ważne aktualizacje. Odinstaluj wszystkie stare wersje Adobe i Java oraz zaktualizuj Google Chrome: KLIK. Wg Twojego raportu w systemie obecnie są wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java™ 6 Update 37

"{3248F0A8-6813-11D6-A77B-00B0D0150150}" = J2SE Runtime Environment 5.0 Update 15

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7

"{32A3A4F4-B792-11D6-A78A-00B0D0150150}" = J2SE Development Kit 5.0 Update 15

"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

"Google Chrome" = Google Chrome 22.0.1229.94

 

To m.in. nieszczelna Java jest przyczyną infekcji w rodzaju tu prezentowanego "wpbt0.dll.". Co dopiero wydano krytyczną poprawkę Java SE 7 update 13 (JRE) + Java SE 6 Update 39.

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...