Infekcja z załącznika

Dla specjalistów Bezpieczeństwo
#1

Kilka dni temu na koncie użytkownika z ograniczonymi uprawnieniami został otwarty załącznik mailowy od nieznanego nadawcy. Plik o rozszerzeniu .TIF zażądał dostępu do konta administratora, ale mu nie udzielono. Mimo to po zalogowaniu na te same konto z ograniczonymi uprawnieniami wciąż kilkukrotnie pojawia się monit z żądaniem dostępu i zostają uruchomione nieznane procesy. Na pozostałych kontach jest ok, tylko na tym jednym występuje ten problem. Skan z programu Farbar Recovery Scan Tool uruchomiłem po przełączeniu się z zainfekowanego profilu na konto administratora, więc zainfekowane konto było załadowane.

#2

Odinstaluj Mysearchdial.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-4054493095-2104731081-3794231981-1109\...\Run: [pricefountainw.exe] => C:\Users\Maria\AppData\Local\PriceFountain\pricefountainw.exe HKEY_CURRENT_USER Software\PriceFountain
HKU\S-1-5-21-4054493095-2104731081-3794231981-1109\...\Run: [ntdll] => "c:\users\maria\appdata\roaming\ntdll\ntdll.exe"
HKU\S-1-5-21-4054493095-2104731081-3794231981-1109\...\Run: [windows service] => "c:\users\maria\appdata\roaming\windows service\windows service.exe"
HKU\S-1-5-21-4054493095-2104731081-3794231981-1109\...\Run: [windows process] => "c:\users\maria\appdata\roaming\windows process\windows process.exe"
HKU\S-1-5-21-4054493095-2104731081-3794231981-1109\...\Run: [kernel module] => "c:\users\maria\appdata\roaming\kernel module\kernel module.exe"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.0.2015.0811] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.0.2015.0811"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.0.4029.0217] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.0.4029.0217"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.0.4035.0328] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.0.4035.0328"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.0.4041.0512] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.0.4041.0512"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.3.1171.0714] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\SkyDrive\17.3.1171.0714"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.4724.0224] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.4724.0224"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.4726.0226] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.4726.0226"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.5860.0512] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.5860.0512"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.5907.0716] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.5907.0716"
HKU\S-1-5-21-4054493095-2104731081-3794231981-500\...\RunOnce: [Uninstall C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.5930.0814] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\17.3.5930.0814"
HKU\S-1-5-21-4054493095-2104731081-3794231981-1109\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150313
SearchScopes: HKU\S-1-5-21-4054493095-2104731081-3794231981-1109 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd1202&cd=2XzuyEtN2Y1L1QzutDtDtCtA0EzzyB0F0F0Azzzy0Azy0C0DtN0D0Tzu0SyBtCyDtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=63229087&ir=
SearchScopes: HKU\S-1-5-21-4054493095-2104731081-3794231981-1109 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd1202&cd=2XzuyEtN2Y1L1QzutDtDtCtA0EzzyB0F0F0Azzzy0Azy0C0DtN0D0Tzu0SyBtCyDtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=63229087&ir=
Toolbar: HKU\S-1-5-21-4054493095-2104731081-3794231981-1109 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
C:\Users\Administrator\AppData\Roaming\Opusbext.dat
C:\Users\Maria\AppData\Local\PriceFountain
c:\users\maria\appdata\roaming\ntdll
c:\users\maria\appdata\roaming\windows service
c:\users\maria\appdata\roaming\windows process
c:\users\maria\appdata\roaming\kernel module
C:\ProgramData\*.exe
Task: {D35D7F69-E0D3-4A9A-B04F-E726953A6B6A} - System32\Tasks\Price Fountain => C:\Users\Maria\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Maria\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

Wygląda jakby było wszystko OK. Dzięki

 

Fixlog.txt - http://www.wklej.org/hash/c0819cd3ab9/

#4

Skasuj folder C:\FRST