Samoistne wysyłanie meili + 'ukryte' pliki .sha

Dla specjalistów Bezpieczeństwo
#1

Hej,

dwa dni temu dostałam informację od znajomego, że dostał ode mnie (wraz z ośmioma innymi osobami) meila z linkiem w środku. Wiem o przynajmniej trzech meilach, które wyszły z mojej poczty:

W poniedziałek wieczorem przeskanowałam laptopa ComodoAntivirusem, jednak niczego nie wykrył. Wtedy ściągnęłam Malwarebytes Anti-Malware i przeskanowałam wszystkie dyski; przy szybkim niczego nie wykryło, ale już przy pełnym (trwającym jakieś 3h) znalazło trojana, którego wykasowałam nad ranem we wtorek (przed tym z mojej poczty zdążył się wysłać meil z godziny 5:27). Po drodze wykasowałam wszystkie cookies’y, historię przeglądania, wyczyściłam komputer CCleanerem, zmieniłam hasło na meilu… a i tak, jak widać, dzisiaj nad ranem poszedł kolejny. (A kto wie ile ich w ogóle zostało wysłanych).

Przy ponownym zeskanowaniu ComodoAntivirusem oraz Malwarebytes wyniki były negatywne - zero wykrytych zagrożeń.

Dodatkowo dzisiaj po odpaleniu komputera koło południa na pulpicie pokazały się pliki ‘ukryte’ m.in. .sha (tu jak to wygląda: http://desmond.imageshack.us/Himg543/scaled.php?server=543&filename=shag.jpg&res=medium pełne nazwy:

  • desktop.ini,
#2

Sprawdź komputer z poziomu CCE.

Możesz skorzystać z trybu czyszczenia i naprawy dysku z wykorzystaniem Killswitch i Quick Repair

  1. Pobierz skaner CCE, w twoim przypadku wersja 64 z http://forums.comodo.com/polski-polish/ … #msg573032

  2. Wypakuj pobrany skaner do np. D:\CCE

  3. Odszukaj na liście programów - KillSwitch.exe

  4. Wyłącz, gdy jest taka możliwość, zainstalowanego antywirusa

  5. Uruchom KillSiwch.exe. Jak będą problemy to w trybie agresywnym - Shift + KillSwitch.exe

  6. Poczekaj na wykonanie analizy

  7. Procesy nieprawidłowe zostaną wskazane kolorem czerwonym.

  8. Mogą się też pokazać procesy wskazane kolorem szarym, te nie mają znaczenia.

  9. Sposób postępowania z KillSwitch - http://forums.comodo.com/polski-polish/ … #msg572843

  10. wykonaj czynności wg tego zalecenia

  • Pomocną funkcją jest również ukrycie bezpiecznych wpisów, aby łatwiej operować tymi niebezpiecznymi “View> Hide Safe Processes”.
  1. Po zakończeniu procedury przez Killswitch uruchom Quick Repair i wykonaj zaleconą naprawę
#3

Dzięki :slight_smile:

Nie wyświetliło żadnych na czerwono, za to kilka na szaro.

Naprawa wykonana.

A na dysku D też są ukryte-widoczne pliki, tym razem foldery: $RECYCLE.BIN, System Volume Information (z kłódką zamkniętą), msdownld.tmp .

Zrobić jakiś skan i go tu zamieścić?

I co dalej zrobić z tymi plikami?

#4

Wykonaj ponownie raporty OTL. W tym poprzednim widać kilka pozycji wymagających usunięcia. Po skanowaniu KilSwitch mogło się nieco zmienić. Poczekaj na weryfikację raportów OTL i zalecenia.

Odinstaluj COMODO GeekBuddy, nie działa na darmowym zestawie Comodo. Wprawdzie piszę w warunkach umowy, że można korzystać 60 dni, tylko że przy próbie kontaktu pojawia się sugestia zakupu…

#5

OTL

http://wklej.org/id/725080/

Extras

http://wklej.org/id/725084/

Odinstalowane, dzięki za radę!

#6

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.