Kerio wykrywa próby typu infekcja kodu z pliku rundll32.exe

daniel-cesarz · 23 Lipiec 2011 16:41

Wczoraj Kerio poinformowała mnie o próba ataku typu infekcja kodu,.

Szczegóły techniczne o próbie ataku:

Atakujący: C:\WINDOWS\system32\rundll32.exe

Aplikacja iniekcyjna:

Opis aplikacji: C:\WINDOWS\system32\rundll32.exe

Wersja pliku: Uruchamia plik DLL jako aplikację

Nazwa produktu: 5.1.2600.5512 (xpsp.080413-2105)

Wersja produktu: System operacyjny Microsoft® Windows®

Utworzono: 5.1.2600.5512

Ostatnia zmiana: 2004/8/3, 22:44:28

Ostatni dostęp: 2008/4/14, 21:51:40

Aplikacja docelowa:

Opis aplikacji: C:\WINDOWS\Explorer.EXE

Wersja pliku: Eksplorator Windows

Nazwa produktu: 6.00.2900.5512 (xpsp.080413-2105)

Wersja produktu: System operacyjny Microsoft® Windows®

Utworzono: 6.00.2900.5512

Ostatnia zmiana: 2004/8/3, 22:44:20

Ostatni dostęp: 2008/4/14, 21:51:18

Adres iniekcji: 0x02D246B7

Tego samego dania kerio poinformowało o wykryciu jakiś Trojanów. Skanowałem komputer Avastem, który niczego nie wykrył oraz ESET, który znalazł i usunął Trojana Win32/Kryptik.QOP oraz Malwarebytes który wykrył: http://wklej.org/id/565985/

Jednak za każdym razem przy włączaniu komputera kerio nadal informuje o zablokowaniu ataku pokazanego wyżej.

Proszę o sprawdzenie OTL’a i pomoc. Z góry Dziękuję za każdą odpowiedź.

OTL: http://wklej.org/id/565948/

Extras: http://wklej.org/id/565949/

Acorus · 23 Lipiec 2011 17:23

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

daniel-cesarz · 23 Lipiec 2011 17:55

OTL : http://wklej.org/id/566000/

Raport: http://wklej.org/id/566001/

Kerio nadal przy uruchamiana komputera informuje o informuje o próbę ataku

Acorus · 23 Lipiec 2011 18:17

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

daniel-cesarz · 23 Lipiec 2011 18:47

OTL : http://wklej.org/id/566024/

Raport: http://wklej.org/id/566025/

Kerio nie informuje już o próbie ataku, ale podczas uruchamiania komputera wyskakuje informacja: wystąpił błąd podczas ładowania C:\WINDOWS\rsjap2.dll Nie można odnaleźć określonego modułu.

Leon1 · 23 Lipiec 2011 18:54

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

daniel-cesarz · 23 Lipiec 2011 19:13

OTL : http://wklej.org/id/566049/

Raport: http://wklej.org/id/566050/

Teraz jest chyba już ok. Wielkie dzięki

Leon1 · 23 Lipiec 2011 19:22

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html