Złapałem trojana win32.Agent.ws?

Dla specjalistów Bezpieczeństwo
#1

Witam,

Ostatnio po bardzo długiej przerwie skanowałem komputer z Spybot Search&Destroy 1.5. Ku mojemu zaskoczeniu, znalazł kilkanaście różnych “problemów”. Część usunął od razu, część dopiero znikła po ponownym restarcie systemu z uruchomionym Spybotem.

Niestety pozostały trzy nieusuwalne win32.Agent.ws ; win32.Autorun.dc3 i win.Autorun.dso. Co ciekawe niczego nie wykazywał Avast, a także skanowanie free Dr.Web CureIt i Malaware AM. Czy mozna jakoś usunąć to coś… i czy Spybot S&D jest wiarygodnym narzędziem -bo z tego co teraz czytam to różnie się o nim pisze.

Proszę o poradę

Log z OTL:

http://www.wklej.org/hash/76f7e4ffb0f/

i z Extras:

http://wklej.org/hash/713a0fc76b2/

#2

Napisz dokładnie gdzie to wykrywa.

Nazwę pliku i jego lokalizację.

#3

Lokalizacja/plik żródłowy nie wiem dokladnie jak znaleźć. Z ostatniego raportu Spybota - to te nienaprawione rejestry, już po restarcie wskazuja takie miejsca. W sumie 11 ich zostało w tym 9 razy win32.Agent.ws.

Win32.Agent.ws:

HKEY_USERS.DEFAULT\Software\Microsoft

HKEY_USERS\S-1-5-19\Software\Microsoft

HKEY_USERS\S-1-5-19\Software\Classes

HKEY_USERS\S-1-5-20\Software\Classes

HKEY_USERS\S-1-5-21-789336058-796845957-839522115-1003\Software\AVAST Software

HKEY_USERS\S-1-5-21-789336058-796845957-839522115-1003\Software\JavaSoft

HKEY_USERS\S-1-5-21-789336058-796845957-839522115-1003\Software\Microsoft

HKEY_USERS\S-1-5-21-789336058-796845957-839522115-1003\Software\Classes

HKEY_USERS\S-1-5-18\Software\Microsoft

Win32.Autorun.dc3:

HKEY_USERS\S-1-5-21-789336058-796845957-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{75048700-EF1F-11D0-9888-006097DEACF9}

Win32.Autorun.dso

HKEY_USERS\S-1-5-21-789336058-796845957-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

Skanowalem jeszcze teraz SuperAntiSpyware i nic nie pokazał. Tak sie zastanawiam czy to nie jakiś fałszywy alarm/niezgodność Spybota S&D.

Inna rzecz ze po normalnym odpaleniu systemu i uruchomieniu, SS&D pokaże prawdopodobnie więcej “zainfekowanych” miejsc.

#4

Moim zdaniem to wygląda na błąd skanera.