Ranking

Prawdę powiedziawszy sam nie wiem co te pliki kombinowały. Mi to wyglądało na próbę wstrzyknięcia kodu do systemu, z tym że chyba mało skutecznie. Możliwe też że ten trojan dopiero po jakimś czasie miał wykonać jakąś dodatkową czynność (nie zwróciłem uwagi na to, co się stanie jak dłużej się on w procesach przetrzyma), o wiele gorszą. Jeśli chodzi o ten pozostały folder, możemy na początek spróbować po bożemu. Wejdź jeszcze raz w Uruchom (Windows + R, albo z Menu Start), a następnie wpisz cmd, i w nowo otwartej konsoli wpisz: chkdsk c: /fDalej powinien ci się pojawić komunikat w stylu Program CHKDSK nie może działać, ponieważ wolumin jest używany przez inny proces. Czy wolumin ten ma być sprawdzany przy następnym uruchomieniu komputera? (T/N)Wybierasz oczywiście T, i restartujesz komputer. Przy ponownym uruchomieniu daj systemowi na spokojnie sprawdzić dysk, a potem znów skasować folder.Jeśli i to nie pomoże, możesz spróbować wykorzystać program Unlocker - tutaj link jakby nie chciało ci się szukać. W ostateczności można też iść na zawodowo nieprofesjonalnego i spróbować to wywalić z trybu awaryjnego .

Z samego linku już ewidentnie widać że to jakaś podpucha. Nie mniej, po ściągnięciu tego pliku mój Symantec również nic nie krzyczy. Do końca analizy tego pliku zostało mi jeszcze ~5 minut. Jak wygląda sytuacja z możliwością dokonania tych logów z programów które podałem? EDIT: ComboFix odpada, i na przyszłość ogólnie odradzam jego używanie - łatwo sobie narobić bigosu. EDIT 2: Dobra, analiza pliku od ciebie ukończona. Okazuje się że pomimo iż nasze antywirusy nic nie wykrywają, tak na prawdę siedzi w tym pewno bydle, a mianowicie Trojan-Downloader.Win32.FraudLoad. Co ciekawe trojan ten nie dokonuje żadnych modyfikacji jeśli chodzi o rozmiar folderu, nie mniej należy je również wyrzucić. Trojan o którym mowa ściąga również z internetu swoich "kumpli" soft.exe, 11.exe i 22.exe. Ściąga także plik "4.JPG", ale nie ma w nim nic groźnego (ot obrazek prezentu). Dodam jeszcze tylko że w pliku 22.exe wykryto Gen.Variant.FakeAV. Nie chciałem tego pisać na końcu, dlatego w tym momencie powiem że jeśli masz taką możliwość - użyj przywracania systemu. Radzę ci to ze względu na to że wirus zmodyfikował 3 pliki: MountPointManager PIPE\lsarpc PIPE\wkssvcI szczerze nie mam pojęcia co on w nich zmodyfikował.Wracając do możliwego rozwiązania problemu - wejdź do rejestru, a mianowicie do: (HKU jest skrótem od HKEY_USERS.) HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Microsoft\​Windows\​ShellNoRoam\​MUICache\​A następnie usuń klucze o wartościach 11, 22, i soft.Następnie musisz sprawdzić swoją pamięć tymczasowej, i wyrzucić 4 ściągnięte tam pliki, w wypadku mojej analizy są to ścieżki: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\11.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\22.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\4.JPG C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\soft.exe Podpowiedz: Jak będziesz miał problemy z wejściem do pamięci tymczasowej, zrób to w ten sposób: Wciśnij przycisk WINDOWS + R, a następnie wpisz %temp% i zatwierdź enterem.Następnie uruchom ponownie komputer. W tym momencie przydałby się również te logi o które prosiłem, aby stwierdzić czy wirus został wyeliminowany. Nie mniej, nie powinno to nic wnieść w temacie dziwnego rozmiaru folderu, i ponawiam tu moje pytanie: