Prawdopodobna infekcja


(quantumrush) #1

Pobrałem plik ze strony z kodami do gier i zapomniałem sprawdzić w VirusTotal. A plik był zawirusowany. Poniżej wklejam raporty z Farbar Recovery Scan Tool. System jaki mam to Windows 10.

Addition.txt (79,7 KB)
FRST.txt (102,8 KB)
Shortcut.txt (113,2 KB)


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKLM-x32\...\RunOnceEx\@Regrun2: [] => RegRun II Secure Start
HKLM-x32\...\RunOnceEx\@Regrun2: [1] => C:\PROGRA~2\Greatis\REGRUN~1\regrun2.exe /w
HKLM\...\Policies\Explorer: [NoDriveAutoRun-] 0
HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun-] 0
HKU\S-1-5-21-640513101-436904564-1006537050-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-640513101-436904564-1006537050-1001\...\Policies\Explorer: [NoDriveAutoRun-] 0
HKU\S-1-5-21-640513101-436904564-1006537050-1001\...\Policies\Explorer: [NoDriveTypeAutoRun-] 0
BootExecute: autocheck autochk * ?Partizan
GroupPolicy: Ograniczenia <==== UWAGA
S2 amdacpksd; \??\C:\WINDOWS\system32\drivers\amdacpksd.sys [X]
S3 cpuz138; \??\C:\Users\Admin\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] <==== UWAGA
S3 GPU-Z; \??\C:\Users\Admin\AppData\Local\Temp\GPU-Z.sys [X] <==== UWAGA
2017-05-04 17:51 - 2017-05-04 17:51 - 000049420 _____ () C:\ProgramData\agent.1493913107.bdinstall.bin
2017-05-18 09:58 - 2017-05-18 09:58 - 000046689 _____ () C:\ProgramData\agent.1495094280.bdinstall.bin
2017-05-18 10:11 - 2017-05-18 10:11 - 000028750 _____ () C:\ProgramData\agent.1495095080.bdinstall.bin
2017-08-10 15:21 - 2017-08-10 15:21 - 000046786 _____ () C:\ProgramData\agent.1502371307.bdinstall.bin
2017-09-06 17:42 - 2017-09-06 17:42 - 000030371 _____ () C:\ProgramData\agent.uninstall.1504712573.bdinstall.bin
2017-08-10 16:21 - 2017-08-10 16:21 - 000030964 _____ () C:\ProgramData\agent.update.1502374865.bdinstall.bin
2017-08-10 15:53 - 2017-08-10 15:53 - 000446322 _____ () C:\ProgramData\cl.1502372767.bdinstall.bin
2017-08-10 16:30 - 2017-08-10 16:30 - 000216140 _____ () C:\ProgramData\cl.uninstall.1502375310.bdinstall.bin
2017-08-10 16:23 - 2017-08-10 16:23 - 000057156 _____ () C:\ProgramData\dm.1502375018.bdinstall.bin
2017-08-10 16:28 - 2017-08-10 16:28 - 000036678 _____ () C:\ProgramData\dm.uninstall.1502375287.bdinstall.bin
2016-07-01 13:35 - 2016-07-01 13:35 - 000004999 _____ () C:\ProgramData\lbogtyso.zat
2016-07-01 13:35 - 2016-07-01 13:35 - 000000016 _____ () C:\ProgramData\mntemp
2017-04-23 14:35 - 2017-04-23 14:35 - 000005091 _____ () C:\ProgramData\nakuvtjg.ewu
2017-05-01 09:45 - 2017-05-01 09:45 - 000005043 _____ () C:\ProgramData\rfyearrd.gkz
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Brak pliku
ContextMenuHandlers2: [AlcoholShellEx] -> {32020A01-506E-484D-A2A8-BE3CF17601C3} =>  -> Brak pliku
ContextMenuHandlers2: [AlcoholShellEx64] -> {AF67B665-D752-424E-9A03-C7C218F2844F} =>  -> Brak pliku
ContextMenuHandlers4: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Brak pliku
ContextMenuHandlers4: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Brak pliku
ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Brak pliku
ContextMenuHandlers6: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Brak pliku
Task: {32DC8067-03A0-4452-8FFB-41FB53CD4166} - \WPD\SqmUpload_S-1-5-21-640513101-436904564-1006537050-1001 -> Brak pliku <==== UWAGA
Task: {74167441-C7E4-4EDC-A147-620EEAC2C4CA} - System32\Tasks\{31DDBD37-5DB7-4030-8064-10B0CAA806C3} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST


(quantumrush) #3

Czy ten plik naprawczy usunie mi program RegRun z autostartu?


(quantumrush) #4

I jeszcze jedno pytanie Czy plik naprawczy usunie mi program Partizan - bo to jest wykrywacz rootkitów i on startuje przed uruchomieniem systemu. Jest częścią programu RegRun.

//Edit
Czy któryś z Ekspertów może odpowiedzieć na moje pytania, bo chciałbym wiedzieć co usuwam, tym bardziej, że są to newralgiczne programy.


(quantumrush) #5

Podaje wynik usuwania
Fixlog.txt (9,3 KB)


(Atis) #6

W logach nie widać żadnej infekcji.
RunOnce system uruchamia tylko raz i następnie usuwa wpisy, więc to nie ma żadnego znaczenia, bo powinno zostać automatycznie usunięte przez system.
Wątpię w to, że Partizan potrafi wykryć rootkita, więc moim zdaniem to jest zbędny program, ale możesz zostawić ten program.


(quantumrush) #7

Już po ptokach. Wykasowałem cały log, jutro przeinstaluje program, bo z tego co zauważyłem Partizan nie uruchamia się, muszę ręcznie skanować.


(quantumrush) #8

Program przeinstalowałem i na próbę wysłalem log skanu do producenta oprogramowania. I co? Ha, znaleźli jednego PUPa - niewiele, ale jednak coś.

//Edit
A tak ostrzegałem przed niepobieraniem plików z podejrzanych stron.