Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan.Carberp.ED i archiwa zabezpieczone hasłem

Martius

Przez Martius
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Martius

Martius

Opublikowano
Opublikowano

Ostatnio oprócz avast zacząłem korzystać z programu Malwarebtyes Anti-Malware. Ostatni skan wykazał infekcję na partycji systemowej Trojan.Carberp.ED w dwóch plikach - C:\Windows\Installer\1cba964.msi i C:\Windows\Installer\1cba95e.msi . Pliki zostały objęte kwarantanną i usunięte. Nie jestem pewien czy może zdążyły coś namieszać albo doprowadzić do innej infekcji. Do tej pory nie zauważyłem dziwnych objawów z wyjątkiem zmniejszającego się powoli wolnego miejsca na dysku c (może to po prostu automatyczna ochrona systemu, nie jestem pewien) .Oprócz wymaganych logów wrzucam raport skanowania Malwarebtyes Anti-Malware.

Oprócz tego zaniepokoiły mnie wyniki skanowania avast. Program nie wykrył żadnych infekcji ale nie był w stanie sprawdzić wszystkich plików ponieważ w części "Archiwum jest zabezpieczone hasłem" . Nie mam pojęcia czy to normalne czy może jednak coś podejrzanego. Tu też wrzucam raport z skanowania z listą zabezpieczonych plików.

gmer.txt

Shortcut.txt

FRST.txt

Addition.txt

log malwarebtyes antimalware.txt

avast raport.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Ostatni skan wykazał infekcję na partycji systemowej Trojan.Carberp.ED w dwóch plikach - C:\Windows\Installer\1cba964.msi i C:\Windows\Installer\1cba95e.msi . Pliki zostały objęte kwarantanną i usunięte.

Nawet nie wiadomo co to było i czy prawdziwa infekcja. MBAM wykrył pliki związane z (de)instalacją jakiegoś programu. Jest możliwe, że były to jakieś stare odpadki adware. Jest też możliwe, że nie było to nic groźnego / fałszywy alarm.

 

 

Oprócz tego zaniepokoiły mnie wyniki skanowania avast. Program nie wykrył żadnych infekcji ale nie był w stanie sprawdzić wszystkich plików ponieważ w części "Archiwum jest zabezpieczone hasłem" .

Te wyniki nie są niczym dziwnym, a wykrytym obiektem są pliki instalatora Adobe Reader XI w Temp. FRST wykazuje, że co dopiero był instalowany.

 

 

W raportach brak oznak infekcji. Do usunięcia tylko puste wpisy i czyszczenie Temp. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2390189086-3348412821-3457465990-1000\...\Run: [Opos] => [X]
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X]
S3 cpuz138; \??\C:\Users\MARCIN~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X]
Task: {560C3C35-4C5F-4FEB-998D-43954DC94A81} - System32\Tasks\{59B41D1E-186B-4E6B-AC7A-1B059DB465A2} => pcalua.exe -a D:\gry\icewinddale2\setup-widescreen.exe -d D:\gry\icewinddale2
Task: {56597FCB-E01C-47AC-915D-9F9F1BE0FB1B} - System32\Tasks\{0B557FD3-AB39-4043-9350-0720E1F35D0A} => pcalua.exe -a C:\Users\Marcin_GW\Downloads\widescreen-v3.05.exe -d C:\Users\Marcin_GW\Downloads
Task: {EBD20C22-5A54-446A-BC57-038085FD212C} - System32\Tasks\{D99E02FC-8E44-44B3-A716-14BD8875A428} => pcalua.exe -a "D:\gry\steam\steamapps\common\The Bards Tale\Config\The Bard's Setup.exe" -d "D:\gry\steam\steamapps\common\The Bards Tale"
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Users\Public\Desktop\Adobe Reader X.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Rozumiem, że w przypadku wykrycia czegokolwiek przez MBAM lepiej ograniczyć się do korzystania z kwarantanny?

To dotyczy wielu programów antymalware / antywirusowych. Nie są nieomylne.

 

1. Dwie linie się omyłkowo skleiły w skrypcie. Drobniutka poprawka. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Users\Public\Desktop\Adobe Reader X.lnk

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Następnie skasuj ręcznie pobrany FRST. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

3. O ile nic się nie zmieniło od ostatniego raportu Addition, do aktualizacji (aspekty wyjaśnione w w/w linku):

 

==================== Installed Programs ======================
 

Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated)

Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated)

Adobe Reader XI (11.0.09) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AB0000000001}) (Version: 11.0.09 - Adobe Systems Incorporated)

Java 7 Update 71 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F03217071FF}) (Version: 7.0.710 - Oracle)

Mozilla Firefox 34.0.5 (x86 pl) (HKLM-x32\...\Mozilla Firefox 34.0.5 (x86 pl)) (Version: 34.0.5 - Mozilla)

OpenOffice.org 3.3 (HKLM-x32\...\{EB87675F-5281-4767-A54B-31931794C23D}) (Version: 3.3.9567 - OpenOffice.org)

Opera 12.17 (HKLM-x32\...\Opera 12.17.1863) (Version: 12.17.1863 - Opera Software ASA)
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...