mservice32_t.exe modyfikujący rejestr i łączacy się z konkretnym IP

[Sensej]

Kilka dni temu ściągnąłem nierozważnie narzędzie do zmiany adresu IP klienta pewnej gry MMO, niestety ze złego źródła, zamiast ze strony programisty.

Po wypakowaniu i rozpoczęciu instalacji zwróciłem uwagę na to, że Defense od Comodo pyta się o akcję do pliku mservice32_t.exe, który pomimo tego, że natychmiast przerwałem instalację, kilka godzin później próbował łączyć się z IP (podanym na screenie nr 2). Po tej próbie jego aktywność ustała, jednak niepokoi mnie, że może to być jakiś keylogger etc.

Proszę o diagnozę czy to malware czy tylko false positive.

Screeny: Comodo Log Defense

Comodo Log Firewall

OTL.Txt

Extras.Txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKU\S-1-5-21-2210288905-3839313819-1038517492-1000..\RunOnce: [update] C:\Users\Petrus\AppData\Roaming\mservice32_t.exe ()
[2011-06-27 21:00:00 | 000,000,376 | ---- | M] () -- C:\Windows\tasks\At4.job
[2011-06-27 21:00:00 | 000,000,376 | ---- | M] () -- C:\Windows\tasks\At3.job
[2011-06-27 20:00:00 | 000,000,376 | ---- | M] () -- C:\Windows\tasks\At2.job
[2011-06-27 20:00:00 | 000,000,376 | ---- | M] () -- C:\Windows\tasks\At1.job
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

[Sensej]

Polecenia wykonane.

Drugi to log uzyskany po wklejeniu skryptu.

06292011_144547.txt

OTL.Txt

[Landuss]

Infekcja usunięta i można przechodzić do czynności końcowych.

 

1. Użyj opcji Sprzątanie w OTL.

 

2. Wykonaj ważne aktualizacje, czyli instalację SP1+IE9 dla systemu, oraz aktualizacje Java i Adobe Reader: KLIK.

 

3. Opróżnij folder Przywracania systemu: KLIK.

 

 

.

Edytowane 20 Października 2011 przez picasso
2.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso