Nieudana infekcja trojanem Crypt.XPACK.Gen , Exploit.PDF.5


(Homik1983) #1

Na jednej ze stron zawierającej rzekomo userbary na forum, program antywirusowy Avira AntiVir Persolnal - Free Antivirus wyrzucił mi komunikat o znalezieniu wirusa:

  • TR/Crypt.XPACK.Gen [trojan] w pliku C:\Documents and Settings\moje_konto\Ustawienia lokalne\Temporary Internet Files\Content.IE5\KMC7GBNC\update[1].exe

oraz

  • TR/Crypt.XPACK.Gen [trojan] w pliku C:\WINDOWS\system32\a.exe

Dla obu monitów wybrałem opcję "usunięcia pliku".

Zrobiłem test najnowszą wersją skanera antywirusowego Dr. Web CureIt (pełen test, w trybie "wszystkie pliki", również z analizą heurystyczną). Program wykrył w katalogu

C:\Documents and settings\moje_konto\Ustawienia lokalne\Temp\

kilka zawirusowanych plików:

większość z nich miała losowe nazwy typu "ASKMKLA_ks.zip.part" i "ASKMKLA_ks.exe.part" oraz jeden folderów nazwie pluginupd_IE5 (albo jakoś podobnie) z dwoma zawirusowanymi plikami (Avira nie wykryła szkodników w tych plikach). Nistety nie można było tych plików usunąć, okazało się że szkodnik Exploit.PDF.5 (tak go zidentyfikował skaner Dr. Web CureIt!) uruchomił aplikację Adobe Reader zainstalowaną na moim komputerze, z tym że aplikacja ta działała w tle i musiała mieć chyba jakiś wyciek pamięci, bo korzystała z 260 MB pamięci RAM, a użycie pamięci nadal rosło. W menadżerze zadań zakończyłem proces AcroRd32.exe, dopiero wtedy udało się ręcznie usunąć zainfekowane pliki z katalogu Temp.

Ponowny skan Avirą i skanerem Dr.Web CureIt! nic nie wykazał - oba skanery ustawione na tryb skanowania wszystkich plików bez wyjątków. Również SpyBot - Search & destroy nic nie znalazł. Cache przeglądarek wyczyściłem, użyłem też programu CCleaner do usunięcia pozostałych śmieci.

Komputer działa normalnie, nie wykazuje żadnych oznak zainfekowania. Chciałbym mieć jednak pewność, że żaden syf w komputerze nie pozostał więc proszę o sprawdzenie loga HiJackThis. Sam już przejrzałem i nie widzę nic podejrzanego, jednak przydała by się opinia kogoś doświadczonego w tym temacie.

Log z programu HijackThis 2.0.2 -> http://wklej.org/id/11536/

Jeżeli potrzebne będą logi z innych programów, to proszę o informację.


(Kambor4) #2

Fajny wpis :o

>>Hijack>>scan(Do a system scan only)>>zaznacz>> Fix checked.

Daj log z -----> ComboFix (niżej na stronie linku).

================

K.


(Homik1983) #3

Nowy log w HijackThis po procesie naprawiania wpisu O20:

http://wklej.org/id/11612/

Co ciekawe identyczny pusty wpis miałem na laptopie i pojawia się on po użyciu programu CCleaner, a dokładnie modułu czyszczenia rejestru.

Log z ComoFix:

http://wklej.org/id/11611/

Niestety coś mi teraz ComboFix namieszał (chyba jakaś nowa wersja bo ma inną ikonę niż wcześniej) i strasznie wolno działa mi Internet, zaczął mulić komputer podczas startu systemu, przywrócił IE7 do łask jako przeglądarkę domyślną, przywrócił ikonę IE7 na pulpit, przywrócił całą masę ustawień systemowych do wartości domyślnych i przestało mi działać kilka aplikacji. Z wersją z "iksem" w ikonie nigdy nie miałem takiego problemu :(.

Edit:

Ok, sprawa już nieaktualna. Nowa wersja ComboFix rozwiązała problem, po jej użyciu system ześwirował tak jak pisałem wyżej. Jedynym rozsądnym wyjściem była ponowna instalacja systemu. Tak więc problem rozwiązał się sam, szkoda że poprzez format :|.