Sysmon.exe .Trojan

Question

Witam.Dzisiaj zacząłem robić porządki na komputerze i wykryłem plik w rejestrze na ścieżce HKCU\Software::PTH ,a w danych ma on C:\ProgramData\794721\sysmon.exe.Użyłem programu SpyHunter ,który uznał go za trojana a ja usuwam wszystko ręcznie bo nie mam pełnej wersji ( korzystam tylko ze skanu ).Pytanie do was mogę usunąc ten klucz z rejestru bez obaw ,że mój komputer zacznie wariować?

Answer 1

Zacznij może delikatnie od użycia MBAM https://www.malwarebytes.org/

imo jest bardziej wiarygodny od spy huntera, no i w wersji próbnej usuwa złosliwe oprogramowanie.

Answer 2

SpyHunter to program wątpliwej reputacji, to moje słowa powtarzane tu na okrągło. Program w przeszłości znany z praktyk podsuwania fałszywych wyników, by przekonać do zakupu programu, był na czarnej liście. Wątpię, by zmienili taktykę, bo na forum niedawno był i inny użytkownik, który pokazywał jakieś dziwne wyniki programu, nieprzystające do tego co w systemie. Program, który raz się skazi takim marketingiem, nigdy nie będzie budził zaufania i należy o nim zapomnieć. Odinstaluj.

Answer 3

Możesz, ale szczerze? To gdybym wykrył u siebie malware z niewiedzą jak długo już jest to bym założył, że system już nie jest bezpieczny i istnieje oprócz tego miejsca kilka innych tylnych furtek (niby paranoja, ale lepiej dmuchać na zimne), backup dysku (tylko najważniejsze dane) ale z poziomu Linuxa(!) i czysta instalacja systemu, pomijając już zmianę przynajmniej najważniejszych haseł tj. maila, banku itd.

Chyba, że się czujesz na siłach aby prześledzić działanie tego malware, btw najpierw sprawdziłbym jeszcze innym narzędziem czy to jest trojan bo te darmowe antywirusy mimo wszystko są głupie (np sprawdź w virustotal)

Comments

myślę, że mbam sobie poradzi z intruzami ;) do spyhuntera po prostu nie mam zaufania no i swego czasu poczulem sie przez nich oszukany (po skanowaniu poprosili o zakup, zaupiono. Niestety program nawet w pelnej wersji nie potrafil sobie poradzic ze zlosliwcem mimo, że udawal iż usuwa - po ponownym uruchomieniu problem pozostawal).

---

A więc tak MalwareBytes nic mi nie wykrył podejrzanego w rejestrze a twojego virustotal niestety nie użyję ponieważ ścieżka która jest zapisana w tym kluczu czyli C:\ProgramData\794721\sysmon.exe u mnie po prostu nie istnieje na moim komputerze.To też ciekawe.A ten trojan to "Trojan.Perseus" według Spyhuntera.

Edit : https://gyazo.com/9a1ac1787a1ce6cd8bc59e3a633578d2 .Dowód w postaci screena z rejestru.

 

---

Mogę się mylić, ale to być może "ogon" po jakiejś infekcji.

plik został usunięty, a wpis pozostał (że sparafrazuję reklamę pewnego banku) ;)

Inne sugestie, to to, że być może SH sam spreparował taki wpis by skłonić do zakupu.
Nie chciałbym bezpodstawnie oczerniać twórców programu, niemniej jednak u mnie mają podpadziochę na całej linii ;)

---

Tak tak zostaje przeskanowanie Hirensem :D