Obecność: win32/Installcore, trojan.Siggen3


(krzych5610) #1

Przy próbie pobierania ze strony - www.dobreprogramy.pl - antywirus ESET, wygenerował komunikat,

"2013-08-29 10:43:30 Ochrona protokołu HTTP plik http://download.dobreprogramy.pl/11435/x86 odmiana zagrożenia Win32/InstallCore.CH potencjalnie niepożądana aplikacja. Połączenie zostało zakończone - poddany kwarantannie Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: D:\Opera\opera.exe."

Wykonałem dodatkowy skan za pomocą skanera Dr-WEB i pojawiło się to, w programie wextract.exe, lokalizacja:

C:\Winnt\system32\wextract.exe, C:\Winnt\system32\dllcache\wextract.exe - stwierdzona obecność trojan.Siggen3.52645.

Dr-WEB przepakował to co znalazł do swojej kwarantanny i zalecił przeinstalowanie systemu???. Pominąłem tą sugestię. Uruchomiłem komputer ponownie i nie stwierdziłem w działaniu nic niepokojącego. Program wextract.exe siedzi w kwarantannie Dr-WEB. Jaką funkcję pełni w pracy systemu, skoro po przeniesieniu do kwarantanny system się o niego nie dopomina.

Proszę na koniec o przeanalizowanie logów OTL pod kątem wskazanych zagrożeń.


(Atis) #2

Asystent pobierania jest wykrywany przez ESET, bo zawiera elementy Adware.

Pobieraj używając opcji Linki bezpośrednie.

http://www.dobreprogramy.pl/Asystent-po … 42460.html

Plik wextract.exe to moim zdaniem jest błąd skanera Dr.Web.

W logach nie widać infekcji.


(krzych5610) #3

Dziękuję za sprawdzenie i wyjaśnienie wątpliwości.