Malware wpbt0.dll i COMODO


(Wodnik N73) #1

Witam, podczas przeglądania internetu comodo zakomunikował o wykryciu zagrożenia malware (plik wpbt0.dll). Myślałem że zablokował w takim razie wirusa ale zostałem przeniesiony na strone COMODO i poinformowany ze komputer zainfekowany i mogę wyczyścić komputer kupując płatny pakiet/ ewentualnie skontaktować się telefonicznie z doradcą comodo. Nie sądze że to jakaś fałszywa plansza, bo w pasku adresu gdzie mnie przeniosło widniał adres comodo.com (chyba że wirus jakoś maskował prawdziwy adres) - nie wiem. Potem skanowałem komputer (windows 7 64bit) skanerem comodo antywirus 5.12 i oto rezultat http://zapodaj.net/1b0afb5d6419e.png.html godzina 21:48 to próba wejścia na zarażoną stronę, a podczas skanowania 15min pozniej wykrył drugie zagrożenie i musiałem sam przenieść do kwarantanny. Dlaczego antywirus nie zrobił tego sam o tej 21.48? usunałem te dwa wpisy z kwarantanny, przeskanowałem ponownie system i niby czysty, ale mam pełno obaw czy aby na pewno.

sciagnalem program hijackthis i wykonalem log ktory zamieszczam (prosze o uwagi jakim ewentualnie innym programem przeskanowac i wstawic log byscie mogli mi pomoc wykryc ewentualne zagrozenie ktorego mam nadzieje juz nie ma)

- usunąłem - sory, kolejne logi wkleje wedle regulaminu

oczywiscie po sciaganiu tego programu i podczas uruchomienia jako admin musialem wpisywac haslo, wiec mam nadzieje ze tego wirusa nie ma, albo nie byl jakims keylogerem. Bardzo prosze o pomoc


(Atis) #2

Wszystkie logi na wklej.org.

OTL - Raport obowiązkowy:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741


(Wodnik N73) #3

Ok, juz poprawiam

OLT http://wklej.org/id/901313/

Extras http://wklej.org/id/901316/


(Atis) #4

W logach nie widać żadnej infekcji.


(Wodnik N73) #5

To dobrze. Dziwne wydaje mi się to, że COMODO zablokował i przeniósł do kwarantanny jeden zarażony wpis / plik, drugi pozostawił sobie bez żadnej interwencji i dopiero skanowanie go wykryło. Lecz i tak sam musiałem go przenieść do kwarantanny, a następnie obydwa wpisy sam usunąć. I po tej całej operacji skanuje różnymi rzeczami pokroju adwcleaner, Microsoft Malicious Software Removal Tool 4.15... i też mi nic nie wykrywa, bo te logi to niestety dla mnie czarna magia. Dzięki dlatego za pomoc.

Swoją drogą Comodo proponował usunięcie zarażenia za chyba około 20$ czy tam euro.. nie pamiętam, w necie czytałem że te wpbt0.dll to poważne malware, keylogger. I takie coś usunąłem dwoma kliknięciami w comodo? Chyba że fałszywy alarm.

Ps. Czy warto zmienić hasło do konta admina? Bo po tej infekcji musiałem je pare razy podawać by instalować w/w programy wykrywające wirusy i nie wiem jak ma się sprawa przechwycenia hasła przez ewentualny keylogger jeżeli podawałem wielokronie hasło w okienko po wybraniu "uruchom jako administrator"?


(Atis) #6

Ten plik wchodzi w skład trojana który blokuje system udając policję:

wirus-policja-problem-usunieciu-t513541.html

W logach nie widać aktywnej infekcji, więc Comodo skutecznie zablokował trojana.

W razie infekcji system można uruchomić w trybie awaryjnym, bo w normalnym trybie wyświetla się tego typu komunikat:


(Wodnik N73) #7

Dzięki wielkie za pomoc ! : )

Ps. niepokoi mnie tylko zużycie ramu. nagle w trybie idle aż 2gb (bez uruchomionego firefoxa, playerow muzycznych itp), a w tle tylko comodo i dwie male aplikacje networx i powernap. w menadzerze zadan nic nie jest wykazane, co mogloby zużywać taką ilość ramu (z 800-900mb więcej niz zwykle).

ps. wybrałem opcje "pokaz procesy wszystkich uzytkowników" i rzuca sie w oczy glownie az 11 procesów o jednej nazwie "svchost.exe", a jeden z tych procesów aż ponad 220 000 K pamieci


(Conclusion) #8

co to są -svchost.exe- i dlaczego tak ich dużo w Windows ,oraz dlaczego tak dużo ramu zabierają pod tym linkiem jeśli znasz angielski http://www.howtogeek.com/howto/windows- ... t-running/

Jeśli nie znasz ,napisz , wyśle Tobie krótkie streszczenie .


(Wodnik N73) #9

te streszczenie to chyba nawet pod tym linkiem jest dosłowne tłumaczenie: http://www.vista.pl/artykuly/14641_czym ... miony.html ?

Czyli widze ze wszystko raczej w porządku, plik svchost mam w folderze windows\system32, chyba nie ma się co martwić. Jeszcze raz dzięki Wam za pomoc.


(morphiusz1) #10

Te komunikaty /comodo o geekbuddy są zalosne. Wystarczy kliknąć "poradze sobie sam" (czy cos w ten deseń) i comodo usuwa sam bez żadnej niepotrzebnej pomocy "techników". warto zaznaczyć ptaszkiem aby nie wyświetlał podobnych okien ponownie.


(Wodnik N73) #11

To prawda, żałosna zagrywka... co nie zmienia faktu, że oprócz tej propozycji wyświetlał też napis, że komputer JEST ZARAŻONY, co widocznie było prawdą, bo gdybym nie skanował komputera to drugi obiekt którego sam automatycznie nie usunął dalej szalał by na partycji systemowej. Dopiero przeskanowanie i ponowna moja sugestia by przeniósł do kwarantanny, a potem usunął niebezpieczny obiekt - dały pozytywne rezultaty. To jest przerażające. Niby kompunikat przy przeglądaniu stronek że zablokował w całości atak, a tak naprawdę zrobił to połowicznie...