Na jednej ze stron zawierającej rzekomo userbary na forum, program antywirusowy Avira AntiVir Persolnal - Free Antivirus wyrzucił mi komunikat o znalezieniu wirusa:
- TR/Crypt.XPACK.Gen [trojan] w pliku C:\Documents and Settings\moje_konto\Ustawienia lokalne\Temporary Internet Files\Content.IE5\KMC7GBNC\update[1].exe
oraz
- TR/Crypt.XPACK.Gen [trojan] w pliku C:\WINDOWS\system32\a.exe
Dla obu monitów wybrałem opcję “usunięcia pliku”.
Zrobiłem test najnowszą wersją skanera antywirusowego Dr. Web CureIt (pełen test, w trybie “wszystkie pliki”, również z analizą heurystyczną). Program wykrył w katalogu
C:\Documents and settings\moje_konto\Ustawienia lokalne\Temp\
kilka zawirusowanych plików:
większość z nich miała losowe nazwy typu “ASKMKLA_ks.zip.part” i “ASKMKLA_ks.exe.part” oraz jeden folderów nazwie pluginupd_IE5 (albo jakoś podobnie) z dwoma zawirusowanymi plikami (Avira nie wykryła szkodników w tych plikach). Nistety nie można było tych plików usunąć, okazało się że szkodnik Exploit.PDF.5 (tak go zidentyfikował skaner Dr. Web CureIt!) uruchomił aplikację Adobe Reader zainstalowaną na moim komputerze, z tym że aplikacja ta działała w tle i musiała mieć chyba jakiś wyciek pamięci, bo korzystała z 260 MB pamięci RAM, a użycie pamięci nadal rosło. W menadżerze zadań zakończyłem proces AcroRd32.exe, dopiero wtedy udało się ręcznie usunąć zainfekowane pliki z katalogu Temp.
Ponowny skan Avirą i skanerem Dr.Web CureIt! nic nie wykazał - oba skanery ustawione na tryb skanowania wszystkich plików bez wyjątków. Również SpyBot - Search & destroy nic nie znalazł. Cache przeglądarek wyczyściłem, użyłem też programu CCleaner do usunięcia pozostałych śmieci.
Komputer działa normalnie, nie wykazuje żadnych oznak zainfekowania. Chciałbym mieć jednak pewność, że żaden syf w komputerze nie pozostał więc proszę o sprawdzenie loga HiJackThis. Sam już przejrzałem i nie widzę nic podejrzanego, jednak przydała by się opinia kogoś doświadczonego w tym temacie.
Log z programu HijackThis 2.0.2 -> http://wklej.org/id/11536/
Jeżeli potrzebne będą logi z innych programów, to proszę o informację.