Opera.exe | 20.11.2007 23:37:40 | |||||||||||||||||||
Martin Dvorak | ||||||||||||||||||||
V PC se mi objevil nějaký trojan/worm, který v taskmanageru vypadá jako opera.exe umístěná stejně jako Browser, ale není to pravda. NOD32, Spybot, Ad-Aware ho nenajde, když ho shodím, spustí se znova, ProcessMonitor od sysinternals zobrazuje takovou paseku! Chová se to jako keylogger, připojuje se to na určitý server přes vysoký port, modifikuje registry, pracuje se systémovými knihovnami a zatím s tím bojuju neúspěšně. V registrech ve všech sekcích (podle autoruns od sysinternals) nevypadá, že by se něco spouštělo, ale někde něco musí při startu tento proces zavést. Nejvíc mě mate jak dobře se tváří jako skutečná opera.exe V systému (Windows Server 2003) jsem na to přišel tak, že typycky pro keylogger blbne psaní velkých písmen s diakritikou, kroužky se píšou hned dva jako do dvojstisku klávsey a čárky a háčky nejdou. Máte s tím už někdo zkušenosti? PS: Zřejmě jsem to chytl od přídavku ke cracklému souboru trillian.exe) | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: Opera.exe | 22.11.2007 18:55:01 | |||||||||||||||||||
Martin Kubečka | http://www.AntiviroveCentrum.cz | |||||||||||||||||||
Prověřte zda máte u NOD32 zapnutou detekci nechtěných aplikací v modulu AMON a rozšířenou heuristiku ve verzi 2.x popř. aktualizujte na verzi 3Eset NOD32 Antivirus 3.0. Tato aktualizace je pro všechny majitele NOD32 zdarma. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||