Trojan.Downloader [Win32/Kryptik]

[cod3r]

Witam,

Przeglądając dziś pewną stronkę kliknąłem sobie w link po czym Windows Defender zgłosił Trojana Downloadera, nie zapamiętałem dokładnie nazwy. Kliknałem oczyść system, następnie zabiłem podejrzane procesy i usunąłem pliki z katalogu C:\Users\marcin\AppData\Local\Temp (tam był zidentyfikowany plik infekcji przez Defendera).

Co jest dla mnie bardzo dziwne Comodo nie zareagował... wcale. W C:\Program Files (x86) zlokalizowałem również 2 podejrzane katalogi FBD23 i LP).

Katalog pierwszy jest pusty, drugi natomiast zawiera następujące pliki, które przeskanowałem na VirusTotal i załączam linki do wykonanej analizy:

 

5F38.tmp --> https://www.virustot...sis/1327178935/

419A.exe --> https://www.virustot...sis/1327179023/

419A.tmp --> ten ma 0 kB

DE0.exe --> https://www.virustot...sis/1327179263/

 

Domyślam się, że najlepiej je ręcznie wywalić .

Załączam też logi OTL, proszę o sprawdzenie, czy jeszcze siedzi jakaś infekcja.

Aha, i jeszcze zauważyłem, że ustawienia Mozilli się zmieniły. Po tym jak wywaliłem pliki wirusa z katalogu Temp, przeskanowałem Defenderem komputer i chciałem odpalić przeglądarkę to było ustawione łączenie za pomocą proxy.

 

edit:

Teraz przeglądając sobie zdarzenia Comodo widze, że niektóre pliki dodał sobie do piaskownicy, więc jednak jakoś zareagował.

Jest jeszcze jeden podejrzany plik w katalogu: C:\Users\marcin\AppData\Roaming\F44FB

BD23.44F -- > https://www.virustotal.com/file/b1c846241fc0b420ad2afc3555c8f32720ad91a7e6bd78459f5b033a0cc0a5f2/analysis/1327181127/

OTL.Txt

Extras.Txt

[Landuss]

W logach nadal widać aktywną infekcję. Można przystąpić do usuwania.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Program Files (x86)\LP
C:\Program Files (x86)\FBD23
C:\Users\marcin\AppData\Roaming\F44FB
C:\Users\marcin\AppData\Roaming\csrss.exe
 
:OTL
O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

[cod3r]

Ok, a więc tak. Foldery i pliki które się w nich znajdowały (LP, FBD23, F44FB) wywaliłem wczoraj ręcznie. Plik csrss.exe Comodo trzymał w nierozpoznanych plikach więc nie powinien narobić szkód.

Chciałbym się jeszcze zapytać o plik C:\Windows\System32\svchost.exe . Widziałem go w Comodo, że zużywał sporo zasobów, np. zaraz po odpaleniu kompa (teraz już nie) i przeskanowałem na VirusTotal.

Jeden skaner wykrył jakiegoś Trojana. https://www.virustot...sis/1327228816/ Fałszywy alarm?

Przedstawiam raporty z usuwania i nowy log OTL.

 

 

Nie wiem dlaczego loga po usuwaniu nie mogę dać w załącznik :|. (Błąd Nie masz uprawnień do wysyłania tego typu plików)

Więc załączę tutaj:

 

All processes killed

========== FILES ==========

File\Folder C:\Program Files (x86)\LP not found.

File\Folder C:\Program Files (x86)\FBD23 not found.

File\Folder C:\Users\marcin\AppData\Roaming\F44FB not found.

C:\Users\marcin\AppData\Roaming\csrss.exe moved successfully.

========== OTL ==========

64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 56468 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: marcin

->Temp folder emptied: 5318 bytes

->Temporary Internet Files folder emptied: 114822 bytes

->Java cache emptied: 5690105 bytes

->FireFox cache emptied: 51416372 bytes

->Flash cache emptied: 57084 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 57099 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50534 bytes

%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 638 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 55,00 mb

 

 

OTL by OldTimer - Version 3.2.31.0 log created on 01222012_112815

 

Files\Folders moved on Reboot...

C:\Users\marcin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 

Registry entries deleted on Reboot...

OTL.Txt

[Landuss]

Chciałbym się jeszcze zapytać o plik C:\Windows\System32\svchost.exe . Widziałem go w Comodo, że zużywał sporo zasobów, np. zaraz po odpaleniu kompa (teraz już nie) i przeskanowałem na VirusTotal.

 

To jest plik systemowy i nie wolno go ruszać. A zużywanie przez niego zasobów prawdopodobnie było wynikiem infekcji. Sam widzisz, że po usunięciu się uspokoiło.

 

To by było na tyle. Użyj opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK

[cod3r]

OK, dzięki Landuss. Nic podejrzanego więcej nie widzę, więc skoro to wszystko to temat można zamknąć.