Sonic0509 Opublikowano 17 Maja 2012 Zgłoś Udostępnij Opublikowano 17 Maja 2012 Witam. Przy próbie pobrania pliku "Rozkwitaly paki bialych roz - Biesiada.midi" z hxxp://chomikuj pl/pawelchudzinski123/Midi avast rzuca dwie informacje o zagrożeniu: -dla SWare Iron (i pewnie reszty bazowanej na chrome) -dla Opery/IE Inne pliki z owej strony pobierają się bez problemu. checkup.txt z SecurityCheck: notcheckup25.txt [b]``````````End of Log````````````[/b] chociaż wydaje mi się, że nie tak ma wyglądać OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 18 Maja 2012 Zgłoś Udostępnij Opublikowano 18 Maja 2012 Problem nie jest lokalny po Twojej stronie. U mnie w wirtualnej maszynie Avast też blokuje ten konkretny URL: Nie wiem z jakiego powodu. Wygląda mi to jednak na jakiś błąd detekcji ... PS. Coś bardzo dziwny ten log "Security Check"... W OTL widzę to niezdefiniowane zadanie Harmonogramu: [2012.04.17 22:03:45 | 000,000,330 | ---- | C] () -- C:\Windows\tasks\At1.job Uruchom Autoruns i w sekcji Scheduled Tasks popatrz czy jest i jaki plik egzekwuje. . Odnośnik do komentarza
Sonic0509 Opublikowano 18 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 18 Maja 2012 W Scheduled Tasks są cztery zadania. Prawdopodobnie chodzi o ten trzeci od góry, ale wszelki wypadek zamieszcam cały wycinek. . Czy pliku C:\Windows\expstart.exe powinienem się obawiać, czy jest to tylko pozostałość po użyciu Start Orb Changer'a? Odnośnik do komentarza
picasso Opublikowano 18 Maja 2012 Zgłoś Udostępnij Opublikowano 18 Maja 2012 W Scheduled Tasks są cztery zadania. Prawdopodobnie chodzi o ten trzeci od góry, ale wszelki wypadek zamieszcam cały wycinek. To nie wygląda na właściwy obiekt. To zadanie powinno być widzialne pod nazwą \At1. Dla porównania zrzut ekranu z innego systemu: Nie sugeruj się jednak tym do czego kieruje plik At1.job na podanym obrazku, bo konwencja nazewnicza jest ogólna. Były już takie pliki robione przez infekcję, Pandę i kilka innych obiektów. Dlatego u Ciebie chcę potwierdzić co odpala ten plik. Skoro nie widzi go Autoruns, to usuń ten plik z dysku i sprawdź czy nie wróci. Czy pliku C:\Windows\expstart.exe powinienem się obawiać, czy jest to tylko pozostałość po użyciu Start Orb Changer'a? Nie ruszyłam tego wpisu umyślnie. Jest to proces związany właśnie z punktowaną modyfikacją, a i inne ślady kombinatoryki tego kalibru widać w logu. I to nie "pozostałość", ten proces musi cały czas startować, jeśli ma robić to co zaplanowane. To jest sfałszowany explorer.exe, który uruchamia powłokę ze zmodyfikowanym Orb. . Odnośnik do komentarza
Sonic0509 Opublikowano 19 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 19 Maja 2012 Unąłem plik wczoraj wieczorem. Komputer uruchamiałem jeszcze wczoraj przynajmniej raz. Dzisiaj drugie uruchomienie i pliku dalej nie ma. Można sprawdzić posiadając sam plik, co on wykonuje? [...]inne ślady kombinatoryki tego kalibru widać[...] Na przykład jakie? Odnośnik do komentarza
picasso Opublikowano 20 Maja 2012 Zgłoś Udostępnij Opublikowano 20 Maja 2012 Można sprawdzić posiadając sam plik, co on wykonuje? Jeśli nadal posiadasz ten plik job, to sprawdź jego Właściwości. Może tam jest widzialna ścieżka docelowa. Na przykład jakie? Kopia zapasowa explorer.exe i katalog Orb Changera: [2012.05.16 19:47:14 | 002,614,784 | ---- | C] (Microsoft Corporation) -- C:\Windows\explorer.backup.exe[2012.05.16 19:47:13 | 000,000,000 | ---D | C] -- C:\Windows\W7SOC . Odnośnik do komentarza
Rekomendowane odpowiedzi