Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Trojan.Carberp.ED i archiwa zabezpieczone hasłem

Martius

Przez Martius
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Martius

Martius

Opublikowano
Opublikowano

Ostatnio oprócz avast zacząłem korzystać z programu Malwarebtyes Anti-Malware. Ostatni skan wykazał infekcję na partycji systemowej Trojan.Carberp.ED w dwóch plikach - C:\Windows\Installer\1cba964.msi i C:\Windows\Installer\1cba95e.msi . Pliki zostały objęte kwarantanną i usunięte. Nie jestem pewien czy może zdążyły coś namieszać albo doprowadzić do innej infekcji. Do tej pory nie zauważyłem dziwnych objawów z wyjątkiem zmniejszającego się powoli wolnego miejsca na dysku c (może to po prostu automatyczna ochrona systemu, nie jestem pewien) .Oprócz wymaganych logów wrzucam raport skanowania Malwarebtyes Anti-Malware.

Oprócz tego zaniepokoiły mnie wyniki skanowania avast. Program nie wykrył żadnych infekcji ale nie był w stanie sprawdzić wszystkich plików ponieważ w części "Archiwum jest zabezpieczone hasłem" . Nie mam pojęcia czy to normalne czy może jednak coś podejrzanego. Tu też wrzucam raport z skanowania z listą zabezpieczonych plików.

gmer.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Addition.txtPobieranie informacji ...

log malwarebtyes antimalware.txtPobieranie informacji ...

avast raport.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
  Cytat

Ostatni skan wykazał infekcję na partycji systemowej Trojan.Carberp.ED w dwóch plikach - C:\Windows\Installer\1cba964.msi i C:\Windows\Installer\1cba95e.msi . Pliki zostały objęte kwarantanną i usunięte.

Nawet nie wiadomo co to było i czy prawdziwa infekcja. MBAM wykrył pliki związane z (de)instalacją jakiegoś programu. Jest możliwe, że były to jakieś stare odpadki adware. Jest też możliwe, że nie było to nic groźnego / fałszywy alarm.

 

 

  Cytat

Oprócz tego zaniepokoiły mnie wyniki skanowania avast. Program nie wykrył żadnych infekcji ale nie był w stanie sprawdzić wszystkich plików ponieważ w części "Archiwum jest zabezpieczone hasłem" .

Te wyniki nie są niczym dziwnym, a wykrytym obiektem są pliki instalatora Adobe Reader XI w Temp. FRST wykazuje, że co dopiero był instalowany.

 

 

W raportach brak oznak infekcji. Do usunięcia tylko puste wpisy i czyszczenie Temp. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2390189086-3348412821-3457465990-1000\...\Run: [Opos] => [X]
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X]
S3 cpuz138; \??\C:\Users\MARCIN~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X]
Task: {560C3C35-4C5F-4FEB-998D-43954DC94A81} - System32\Tasks\{59B41D1E-186B-4E6B-AC7A-1B059DB465A2} => pcalua.exe -a D:\gry\icewinddale2\setup-widescreen.exe -d D:\gry\icewinddale2
Task: {56597FCB-E01C-47AC-915D-9F9F1BE0FB1B} - System32\Tasks\{0B557FD3-AB39-4043-9350-0720E1F35D0A} => pcalua.exe -a C:\Users\Marcin_GW\Downloads\widescreen-v3.05.exe -d C:\Users\Marcin_GW\Downloads
Task: {EBD20C22-5A54-446A-BC57-038085FD212C} - System32\Tasks\{D99E02FC-8E44-44B3-A716-14BD8875A428} => pcalua.exe -a "D:\gry\steam\steamapps\common\The Bards Tale\Config\The Bard's Setup.exe" -d "D:\gry\steam\steamapps\common\The Bards Tale"
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Users\Public\Desktop\Adobe Reader X.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat

Rozumiem, że w przypadku wykrycia czegokolwiek przez MBAM lepiej ograniczyć się do korzystania z kwarantanny?

To dotyczy wielu programów antymalware / antywirusowych. Nie są nieomylne.

 

1. Dwie linie się omyłkowo skleiły w skrypcie. Drobniutka poprawka. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Users\Public\Desktop\Adobe Reader X.lnk

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Następnie skasuj ręcznie pobrany FRST. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

3. O ile nic się nie zmieniło od ostatniego raportu Addition, do aktualizacji (aspekty wyjaśnione w w/w linku):

 

==================== Installed Programs ======================
 

Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated)

Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated)

Adobe Reader XI (11.0.09) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AB0000000001}) (Version: 11.0.09 - Adobe Systems Incorporated)

Java 7 Update 71 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F03217071FF}) (Version: 7.0.710 - Oracle)

Mozilla Firefox 34.0.5 (x86 pl) (HKLM-x32\...\Mozilla Firefox 34.0.5 (x86 pl)) (Version: 34.0.5 - Mozilla)

OpenOffice.org 3.3 (HKLM-x32\...\{EB87675F-5281-4767-A54B-31931794C23D}) (Version: 3.3.9567 - OpenOffice.org)

Opera 12.17 (HKLM-x32\...\Opera 12.17.1863) (Version: 12.17.1863 - Opera Software ASA)
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...