19.11.2009, 12:27
Cytat: Czullo, infekcja mogla juz byc w systemie przed instalacja DW, lub zainfekowany plik zostal oznaczony przez uzytkownika jako zaufany i uruchomiony w tymze trybie...
Link do tematu z ktorego wklejone zostaly w/w logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widac w logach HJT, DW nie byl uruchomiony, zadna usluga DW nie byla uruchomiona podczas skanu, ten watek jest z 8 lutego 2009, DW moglbyc juz dawno odinstalowany (np w styczniu ''09). Mozliwosc jest wiele, lepiej je dokladnie przeanalizowac zanim zacznie sie rozprzestrzeniac plotki.
Po pierwsze.
Logi z HJT sa z okresu po infekcji Tdss.
Ten rootkit potrafi kasowac usługi.
Wpisy 023 nie pokazuja usunietych a to zaden problem dla tdss-a.
Drugi log z HJT juz nie pokazuje usług aviry
Po drugie.
Deinstalacja DW powoduje usuniecie głównego pliku defensewall_serv.exe z c:windowssystem32
A skoro jest,to nikt DW nie deinstalował.
Po trzecie.
[Aby zobaczyć linki, zarejestruj się tutaj]
Po czwarte.Infekcja jest prawie o miesiac pózniej niz instalacja DW.
Po piąte.
Nie jest wazne czy infekcja nastapiła w trybie zaufanym.
Ważne jest to ze po niej DW przestał pełnic swoją rolę.
P.S.
logi trzeba czytac ze zrozumieniem