Zapytanie o fragment w logach OTL - rootkit ZeroAccess

bet5 · 19 Październik 2012 17:38

Witam

Po skanowaniu komputera OTL, pokazało mi raport, jeden znajomy poinformował mnie ze mam rootkita ZeroAccess, wnioskując po tym fragmencie wpisu z OTL:

========== ZeroAccess Check ========== [2012-09-20 01:18:25 | 000,000,227 | RHS- | M] () – C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] “” = %SystemRoot%\system32\shdocvw.dll – [2008-04-14 22:50:48 | 001,499,136 | ---- | M] (Microsoft Corporation) “ThreadingModel” = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] “” = C:\WINDOWS\system32\wbem\fastprox.dll – [2009-02-09 12:53:44 | 000,473,600 | ---- | M] (Microsoft Corporation) “ThreadingModel” = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] “” = C:\WINDOWS\system32\wbem\wbemess.dll – [2008-04-14 22:50:58 | 000,273,920 | ---- | M] (Microsoft Corporation) “ThreadingModel” = Both

Proszę o weryfikację, bo nie mam zielonego pojęcia, czy on mówi serio.

Acorus · 19 Październik 2012 17:46

Takie właśnie wpisy są prawidłowe(niezmodyfikowane).

bet5 · 19 Październik 2012 17:56

Jak już przy okazji odpowiedziałeś, co się zmieni w tych wpisach jeżeli złapie się rootkita ?

Atis · 19 Październik 2012 18:05

Będzie widać składniki ZeroAccess, a występują różne odmiany tego rootkita.

Poniżej masz temat TR/ATRAPS.Gen2 i przykładowo widać to: