Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Plik: mprapiq.dll - Koń Trojański, czy fałszywy alarm?

29 Dec 2010 19:53 2526 4
  • Level 43  
    Witam,
    jak w temacie. W trakcie rutynowego skanowania za pomocą darmowego programu antywirusowego od AVG został wykryty w folderze Windows/System32 plik: mprapiq.dll - System; XP-32.
    Przegląd w Rejestrze odnośnie w/w pliku prowadzi do paska narzędziowego przeglądarki internetowej IE-8 oraz stron związanych z jednym z portali zawierających DataSheet układów scalonych.
    Co ciekawe, to wujek Google nic w tej sprawie nie wie ... :!: :cry:

    Założyłem ten temat, by zapytać czy ktoś z Kolegów zetknął się może z w/w plikiem, lub jest komuś coś wiadomo na powyższy temat.

    Pozdrawiam

    P.S. Zainteresowanym mogę przesłać via PW w/w plik.
  • Helpful post
    Level 22  
    Witaj!
    Przeskanuj ten plik na http://virusscan.jotti.org/pl
    Zaprezentuj wyniki.

    Możesz również wykonać skan skanerem na żądanie:
    Malwarebytes Anti-Malware http://www.malwarebytes.org/mbam-download.php

    Pomocne w interpretacji zagrożenia mogą okazać się logi z OTL
    http://oldtimer.geekstogo.com/OTL.exe
    Zanim zrobisz logi w OTL ustaw opcje na:
    # Wszystkie sekcje ustaw na Użyj filtrowania (Use SafeList).
    # Należy zaznaczyć Wszyscy użytkownicy (Scan All Users)
    # Dodatkowo postawić ptaszki przy pozycjach Infekcja LOP (LOP Check) + Infekcja Purity (Purity Check)
    Po czym naciśnij opcję skanuj. Zapisz dwa logi OTL.txt i EXTRAS.txt

    Pozdrawiam!
  • Level 43  
    Witam,
    dziękuję za podpowiedzi.
    Adzi31 wrote:
    Witaj!
    Przeskanuj ten plik na http://virusscan.jotti.org/pl
    Zaprezentuj wyniki.
    Tu kompletne niepowodzenie, ponieważ przedmiotowego pliku (rozmiar 126 464 bajty) - mimo przeniesienia go za pomocą Systemu uruchomionego "z boku" do tymczasowego folderu TMP, oraz posprzątania (zdalnie) w Rejestrze wpisów dotyczących tego pliku i wyłączenia spod kontroli programu AVG tego folderu - nie dało się wysłać go do przeskanowania.
    Oto dowodowa fotka:
    Plik: mprapiq.dll - Koń Trojański, czy fałszywy alarm?

    Adzi31 wrote:
    Możesz również wykonać skan skanerem na żądanie:
    Malwarebytes Anti-Malware http://www.malwarebytes.org/mbam-download.php
    Program ściągnąłem, zainstalowałem, przeskanowałem nim partycję systemową i nic więcej podejrzanego - poza przedmiotowym plikiem w folderze TMP - mi nie wykrył.
    Wcześniejsze przeskanowanie za pomocą programu SUPERAntiSpyware Free Edition również nie dało nic podejrzanego.

    Adzi31 wrote:
    Pomocne w interpretacji zagrożenia mogą okazać się logi z OTL
    http://oldtimer.geekstogo.com/OTL.exe
    Zanim zrobisz logi w OTL ustaw opcje na:
    # Wszystkie sekcje ustaw na Użyj filtrowania (Use SafeList).
    # Należy zaznaczyć Wszyscy użytkownicy (Scan All Users)
    # Dodatkowo postawić ptaszki przy pozycjach Infekcja LOP (LOP Check) + Infekcja Purity (Purity Check)
    Po czym naciśnij opcję skanuj. Zapisz dwa logi OTL.txt i EXTRAS.txt
    Ten program znam, używam go, umiem interpretować otrzymane z niego wyniki, a ponieważ po przeskanowaniu nim nic podejrzanego w/w plikach nie znalazłem, więc nie widzę potrzeby publicznego "obnażania się" ... :idea: :D

    Adzi31 wrote:
    Pozdrawiam!
    Również pozdrawiam
  • Helpful post
    Level 22  
    Witam!
    Uważam, że ten plik to jakiś szpieg, ponieważ ma nazwię zbliżoną do systemowego pliku mprapi.dll( http://dll.paretologic.com/detail.php/mprapi ).

    Często oprogramowanie szkodliwe podszywa się za biblioteki systemowe, mając podobną nazwę. Jako, że nigdzie nie ma info o tym pliku, to możesz zneutralizować szkodnika dopisując mu rozszerzenie .vir i odstawić gdzieś do kwarantanny, lub usunąć z systemu omijając kosz.

    Pozdrawiam!
  • Level 43  
    Witam,
    Adzi31 wrote:
    Witam!
    Uważam, że ten plik to jakiś szpieg, ponieważ ma nazwę zbliżoną do systemowego pliku mprapi.dll ( http://dll.paretologic.com/detail.php/mprapi ).
    dokładnie chyba tak jest, ponieważ od samego początku miał ten plik nałożone atrybuty: rahs (Tylko do odczytu, Archiwizowany, Ukryty, Systemowy), ale - co okazało się przy próbie zmiany mu atrybutów przy użyciu Systemu "z boku" - ma on również jakiś specjalny atrybut (?!) i również tam próba zmiany mu atrybutów (już po zmianie rozszerzenia na VIR i przeniesieniu go do innego folderu) zakończyła się niepowodzeniem.
    Co by również tłumaczyło niemożliwość wysłania tego pliku do zdalnego skanowania, ponieważ również próba otworzenia go w Notatniku kończy się niepowodzeniem - żądane jest podanie uprawnień Administratora oraz hasła ...

    Adzi31 wrote:
    Często oprogramowanie szkodliwe podszywa się za biblioteki systemowe, mając podobną nazwę. Jako, że nigdzie nie ma info o tym pliku, to możesz zneutralizować szkodnika dopisując mu rozszerzenie .vir i odstawić gdzieś do kwarantanny, lub usunąć z systemu omijając kosz.
    Tak też uczyniłem - zobacz wyżej.
    Ponowny przegląd (zdalny) Rejestru nie znalazł nic związanego z plikiem: mprapiq.dll, również ponowne skanowanie partycji systemowej programem AVG nic nie wykryło - poza znanymi mi wcześniej fałszywymi alarmami - ale tu:
    Code:
    C:\Documents and Settings\Admin\Dane aplikacji\Sun\Java\Deployment\ache\6.0\53\2ce770f5-7333a9c5\bpac\b.class 
    oraz tu:
    Code:
    C:\Documents and Settings\Admin\Dane aplikacji\Sun\Java\Deployment\ache\6.0\53\2ce770f5-7333a9c5
    mam ostrzeżenie: Koń trojański Java/Downloader.AW
    a czego przy poprzednim skanowaniu (wczoraj) nie było, choć pliki (oraz folder 53) noszą taka samą datę: 2010.12.09 21:12 - ale tu bez problemu przeniosłem cały folder 53 do kwarantanny ...

    Pozdrawiam i wszystkiego dobrego w Nowym Roku

    P.S. - ok. 14:32 - Nie napisałem tego na początku, ale impulsem do wczorajszego przeskanowania mojego komputera za pomocą programu AVG była odmowa uruchomienia - wcześniej już używanej - gry OnLine w komunikatorze ICQ.
    Dzisiaj ta gra działa .... :!: :D ... i dostęp do komputra mam ograniczony, ponieważ 'okupuje' go moja wnuczka, grająca ze swą kuzynką a będącą bardzo daleko ... 8-)