MP4, które resetuje Windowsowego Discorda - podejrzenie infekcji

Cześć, dostałem wczoraj wiadomość prywatną od członka serwera discord na którym jestem. W wiadomości był jakiś gif, który spowodował, że program się zrestartował. Czytałem, że ponoć istnieją takie gify/filmy, które zawierają przynajmniej jedną klatkę w bardzo wysokiej rozdzielczości i program próbując to odtworzyć się wyłącza. Jako, że wydało mi się to dziwne to zrobiłem skany. Malwarebytes nic nie wykrył, tak samo ESET Online Scanner. AVAST natomiast wykrył coś takiego (zrzut ekranu).

Nie wiem czy to fałszywy alarm, przeniosłem ten plik do kwarantanny. Powinienem go tam zostawić? Dodam, że gdy przyszedłem zobaczyć jak wynik skanu to komputer dość dziwnie się zachowywał, tak jakby eksplorator windows się zawiesił. Po jakimś czasie jednak zaczęło działać.

Na discordzie wyłączyłem możliwość wysyłania mi wiadomości prywatnych oraz zrobiłem skan programem FRST (przed wyłączeniem komputera po dostaniu tej wiadomości jak i po) oraz bardzo proszę o ich sprawdzenie.

FRST przed wyl.txt (46,7 KB) FRST po wyl.txt (47,2 KB) Addition przed wyl.txt (50,6 KB) Addition po wyl.txt (50,2 KB) Shortcut przed wyl.txt (48,3 KB) Shortcut po wyl.txt (48,3 KB)

To nie był gif a spreparowane MP4 z manimpulacją klatki wideo do 144 Mpix (niby 12000 na 12000 pikseli).

Wideo raczej nie zawierało w sobie oprogramowania do ściągnięcia śmieci (luki w (en)kodeku/discord/playerze jak przechytrzyłeś/aś śmieszka).

Spróbuj może na zaporze sieciowej zablokować domenę:

tornadus.net

I odkręcić bug z autodtwarzaniem się wideo (np. oznaczenie wpisu jako spam).

@krystian3w

Mhm, czyli tak jak czytałem. Co natomiast z tym wykryciem w AVAST? Fałszywy alarm?

@iJuliusz Jakbyś miał czas to byłbym bardzo wdzięczny za sprawdzenie tych logów mimo wszystko.

Jeśli byłyby potrzebne/przydatne to załączam również zrobione po przeniesieniu tego pliku, który AVAST wykrył do kwarantanny.

FRST.txt (47,1 KB) Shortcut.txt (48,3 KB) Addition.txt (50,2 KB)

Logi czyste.

Jeśli tak Cię niepokoi ten plik, to wyślij go virustotal.com i jeśli tylko Avast go wykryje to będzie to fałszywy alarm
Ewentualnie udostępnij wynik skanu

Jak widać, jest to plik instalacyjny sterownika lub programu.

Możesz też przeskanować ESETem

  • Pobierz ESET Online Scanner
  • Uruchom z Uprawnieniami Administratora
  • Program pobierze Aktualizacje modułu skanowania
  • Wybierz Skanowanie komputera
  • Wybierz Pełne skanowanie
  • Wybierz “Włącz wykrywanie i przenoszenie…”
  • Rozpocznij skanowanie
  • Gdy wykryje jakiekolwiek zagrożenia zapisz raport
  • Program zapyta o Wersję próbną odznacz i wyłącz
  • Udostępnij plik raportu

Tylko mam problem gdyż AVAST pokazuje mi lokalizacje pierwotną pliku w C/Windows/Installer jednakże w folderze Windows nie mam folderu o nazwie Installer.
Powinienem przywrócić plik z kwarantanny i go poszukać czy też mogę go tam zostawić?

Nie masz katalogu Installer, gdyż jest to folder Ukryty

  1. Wybierz przycisk Start, a następnie wybierz pozycję Panel sterowania > wygląd i personalizacja .
  2. Wybierz pozycję Opcje folderów , a następnie wybierz kartę Widok .
  3. W obszarze Ustawienia zaawansowane wybierz pozycję Pokaż ukryte pliki, foldery i dyski , a następnie wybierz przycisk OK.

Możesz przywrócić plik, skopiować do Normalnie widocznego katalogu i wtedy “wysłać” na Virustotal
Avast może “ostrzegać” o tym pliku podczas kopiowania, zignoruj.

Hmm zrobiłem to ale wciąż nie widze tego folderu. Udało mi się to jednak obejść wchodząc wyszukując jakiegoś pliku i on był w tym folderze Installer. Dostałem się tam poprzez “Otwórz lokalizacje folderu”

@iJuliusz

Przywróciłem plik, skopiowałem go na pulpit i wrzuciłem do virustotal. Żaden skaner na virustotal nic nie wykrył, więc usunąłem kopię. Chwilę potem AVAST wykrył ten orginał i wrzucił do kwarantanny.

Fałszywy alarm, dla Własnego spokoju, zostaw go tam w kwarantannie.
Nie musisz się tym przejmować

Mhm, dziękuję. Nie wiem dlaczego użycie opcji Pokaż ukryte dyski, foldery nie pokazało mi tego folderu Installer. Próbowałem też wyłączyć ukryj opcję chronione pliki ale nic się nie stało. Obecnie przywróciłem wszystkie te opcję tak jak były (jest ustawione by nie pokazywało ukrytych folderów ani tych chronionych). Czy teraz powinienem zrobić coś jeszcze (jakiś skan lub logi FRST) czy też wszystko jest ok? @iJuliusz

Co do tego zacięcia po zakończeniu skanu AVASTem to jakiś błąd zwyczajny? Od tamtego momentu wszystko działa normalnie