Wirus EXP/CVE-2012-1723.A.110 - prośba o pomoc


(Lucyinthesky) #1

Witam,

od razu przejdę do rzeczy. Avira wykryła mi EXP/CVE-2012-1723.A.110, a od kilku dni mam problemy, bo co rusz coś wykrywa. Na szczęście udaje jej się również to usuwać, ale coś musi być nie tak skoro problem wraca. Wydaje mi się, że może to mieć jakiś związek z aktualizacją java, bo od tego mniej więcej czasu zaczęły się problemy. Jestem zupełnym laikiem, więc bardzo proszę o pomoc. Poniżej wklejam linki do raportów OTL. Pozdrawiam i z góry dzięki.

Extras: http://wklej.org/id/818151/

OTL: http://wklej.org/id/818153/

Dodam, że przy starcie systemu nie widzę, żeby uruchamiała sie zapora COMODO. Muszę odpalać ją manualnie. Poza tym nie blokuje żadnych połączeń, a wcześniej zawsze coś jednak wyłapywała. To tyle jeśli o obserwacje :wink:


(arapo) #2

Masz słuszne przypuszczenia odnośnie javy to w niej istnieje luka o której możesz poczytać pod tym linkiem: http://blogs.technet.com/b/mmpc/archive … -1723.aspx

oraz tutaj: http://web.nvd.nist.gov/view/vuln/detai … -2012-1723

Zanim otrzymasz fachową podpowiedź na raport z OTL-a przeskanuj system tym: http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.” Gdyby Malwarebytes nie poradził sobie, przeskanuj programem Dr.WEB CureIt http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html


(Lucyinthesky) #3

a więc jednak java. odinstalowałem właśnie wszystkie komponenty tego oprogramowania. comodo firewall włączony, a pomimo to w powiadomieniach windows jest komunikat, że żadna zapora nie jest włączona. poniżej wrzucam raport z szybkiego skanowania, z pełnego będzie jak tylko skończy. dzięki.

http://wklej.org/id/818268/


(arapo) #4

Co się tyczy zapory Comodo to usuń zapisy z javą w ustawieniach zapory, bo jeżeli coś pozostało z infekcji po javie w rejestrze to być może, że będzie wysyłać “zapytania” o pozwolenie łączenia z netem > zablokować i poczekaj na analizę fachowca raportu z OTL-a


(Lucyinthesky) #5

nie wiem jak i co zablokować :frowning:

a zapora zachowuje się jakoś dziwnie spokojnie - “zablokowano 0 połączeń”. natomiast defense + informuje o 6 próbach ingerencji w system. tutaj wrzucam wypis zdarzeń -> http://wklej.org/id/818314/

niepokoi mnie zwłaszcza ten C:\Windows\Installer\MSI34F3.tmp


(arapo) #6

Aby zablokować żądanie połączenia javy najpierw musisz usunąć zapisy w regułach w Zaporze i Defense+ ponieważ w regułach ma zapisane na pozwolenie o łączenia - jak to zrobić: (klik) ZAPORA > Reguły zabezpieczeń sieci > Reguły aplikacji > wyszukaj ikony z opisem java odznacz i (klik) zakładka > usuń - to co znajdziesz, później zakładka > Oczyść to co pokaże sie w oknie do usunięcie - potwierdzić

DEFENSE+ > Zasady bezpieczeństwa komputera > potwierdź- Tak > na zakładce Reguły Defense+ (tak samo jak w zaporze - wyszukaj i usuń wszystkie zapisy z javą > zakladka- Usuń następnie zakładka - Oczyść

Dodane 25.08.2012 (So) 22:36

Co zaś się tyczy C:\Windows\Installer\MSI34F3.tmp to przypuszczam, że są to pliki z -NET Framework, jeżeli masz ten program zainstalowany u siebie bo być może związane są z aktualizacjami, a pliki temp. z rejestru możesz czyścić przy użyciu CCleaner-a

Dodane 25.08.2012 (So) 22:55

Nie napisałeś czy po pełnym skanie Malwarebytes komputer jest “czysty”.


(Lucyinthesky) #7

sprawdziłem zgodnie z Twoją instrukcją - nie ma tam żadnych procesów javy. wcześniej natomiast zablokowałem proces o nazwie “system”. nie mogłem wyświetlić jego ścieżki dostępu, więc go zablokowałem, bo przeczytałem gdzieś, że wszystkie procesy systemowe muszą mieć ścieżkę windows\system32.

średnio się na tym znam, więc działam po omacku niestety.

net framework mam, więc to pewnie to.

właśnie przeszedł pełny scan Malwarebytes i Avirą i żadnych wirusów. Avira znajduje natomiast cztery zagrożenia:

C:$Recycle.Bin\S-1-5-21-609087694-830395777-3769225692-1000$R8N3LT3.bin

[WARNING] Error multiple volume

C:$Recycle.Bin\S-1-5-21-609087694-830395777-3769225692-1000$RWZE3M5.bin

[WARNING] Error multiple volume

C:\Windows\SoftwareDistribution\Download\54ed24998b5fcaefb96bdc38fc57a61c\BIT9721.tmp

[WARNING] Invalid compressed data

C:\Windows\SoftwareDistribution\Download\7f874374329e79396681c203eec8a3a8\BITADD5.tmp

[WARNING] No further files can be extracted from this archive. The archive will be closed

a tu pełny raport po scanie aviry: http://wklej.org/id/818452/

no i wciąż nie wiem czy mogę spać spokojnie, bo wczoraj wieczorem też było czysto, a dziś znowu się badziew pojawił :frowning:

dzięki za pomoc. rozumiem, że mam czekać na analizę OTL?


(arapo) #8

To, że zapora wykazuje 0 zablokowanych połączeń > wynika z tego, że nie zaptaszkowałeś w regułach, aby zapisywała w dzienniku takie połaczenia lub nie było takich zdarzeń w trakcie połaczeń. Pliki temp. przeczyść CCleanerem

Dodane 25.08.2012 (So) 23:10

Tak czekaj na analizę bo ja sie na tym nie znam. Dodatkowo dla pewności przeskanuj tym: http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html to co znajdzie usuń. Po zakończeniu Wyłącz i włącz przywracanie systemu.


(Lucyinthesky) #9

szybki scan dr.Webem nic nie wykazał, ale szczegółowy znalazł trojana ( Trojan.Siggen4.17669 ) w pliku OTL i jakiegoś powiązanego z napiprojektem:

OTL.exe C:\Documents and Settings\user\Desktop Trojan.Siggen4.17669 Niewyleczalny.Przeniesiony.

OTL.exe C:\Documents and Settings\user\DoctorWeb\Quarantine Trojan.Siggen4.17669 Niewyleczalny.Przeniesiony.

OTL.exe C:\Documents and Settings\user\Downloads\A Trojan.Siggen4.17669 Niewyleczalny.Przeniesiony.

NapiProjektGameDownloader.exe C:\Program Files (x86)\NAPI-PROJEKT Trojan.SMSSend.3149 Usunięty.

byłbym wdzięczny za analizę raportów z OTL-a - są w pierszym poście.

no i czy mogę zainstalować z powrotem jave czy tam cały czas czai się jakaś luka??? będę wdzięczny za pomoc.


(Atis) #10

W logach nie widać nic szkodliwego.

Wykrycie OTL to jest błąd skanera Dr. Web.

W przypadku procesu System normalnie nie widać ścieżki dostępu.

Jeżeli będziesz blokował ważne procesy systemowe to w końcu nie uruchomisz Windows.

Odinstaluj wszystkie stare wersje Java:

Java 7 Update 5 (64-bit)

Java 6 Update 22

Java 6 Update 33

Java dobierasz zgodną z wersją używanej przeglądarki.

Do 32-bitowej wersji przeglądarki zainstaluj 32-bitową wersję Java.


(Lucyinthesky) #11

dzięki za wyjaśnienia. java odinstalowana. system mam x64, ale używam firefoxa, więc rozumiem, że java ma być x32. proces “System” przywróciłem, ale pojawił się kolejny problem - NIE MOGĘ URUCHOMIĆ SKANOWANIA AVIRĄ JAKO ADMINISTRATOR, a wcześniej nie było z tym problemu (chyba, że to pytanie na nowy wątek?)

Pojawia się następujący komunikat:

System Widnows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu.


(Atis) #12

Ja wiem o tym, że masz system x64, bo taką informację widać w logu.

Tak jak napisałem w przypadku wyboru wersji Java nie ma znaczenia system x64.

Do 32-bitowej wersji Firefoxa zainstaluj 32-bitową wersję Java.

http://www.java.com/pl/download/faq/java_win64bit.xml

Jeżeli czegoś nie możesz uruchomić to pewnie blokuje Comodo.


(Lucyinthesky) #13

nie mogłem nigdzie sprawdzić jaką mam wersje przeglądarki, ale firefox 14.0.1 to chyba x32

co do aviry, to pojawia się następujący komunikat:

System Widnows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu.

dodam, że normalne skanowanie się uruchamia, nie chce się włączyć tylko z opcją “uruchom jako administrator”


(Atis) #14

To jest 32-bitowa wersja Firefoxa.

Moim zdaniem Comodo jest przyczyną problemu z Avirą.


(Lucyinthesky) #15

dodałem w comodo plik (avscan) do zaufanych aplikacji a problem nie znika. może ccleaner, ktorego odpoaliłem wcześniej coś nabroił??? do tej pory te programy działały ze sobą dość zgodnie

Dodane 26.08.2012 (N) 19:10

w właściwościach pliku, w zakładce zabezpieczenia/ nazwy grup lub użytkowników mam: SYSTEM [zaznaczone zezwalaj na wszystko oprócz uprawnień specjalnych], Administratorzy (user-komputer/Administratorzy) [zaznaczone zezwalaj na wszystko oprócz uprawnień specjalnych] i użytkownicy (user-Komputer/użytkownicy) [zaznaczone Odczyt i wykonanie i Odczyt]. mam na kompie tylko jedno konto - żadnych innych użytkowników i z niego zawsze uruchamiałem jako administrator bez żadnego problemu.

nie wiem czy panikuje już po tych weekendowych przygodach czy jednak mam realne powody do obaw. odpale normalnie i malwerbytes i zobacze…


(arapo) #16

Nie wiem jaką regułę wprowadziłeś do blokowania systemu i może to jest przyczyną komunikatu:

Dla ułatwienia podam ci link do konfiguracji Defense+ : http://comodo.andgird.webd.pl/?id=comodo6

Z tego co wiem (info. od innych użytkowników) to Comodo nie ma konfliktu z Avirą, przyczyna leży w ustawieniu reguł. Sprawdź jaką masz regułę którą dałeś dla systemu…


(Lucyinthesky) #17

problem ze skanowaniem jako administrator rozwiązany. odnzaczyłem w ustawieniach aviry “advanced process protection” i poszło. dziś zaznaczyłem to z powrotem i też działa. skonfiguruję zapore zgodnie z podesłanym linkiem.

Atis, arapo - dzięki za pomoc!