Witam Panowie;
cała zabawa zaczęła się wczoraj wieczorem, gdy nagle BitDefender bez ostrzeżenia zrestartował system. Po restarcie, pojawił się komunikat BD, że moduł ochrony antywirusowej wykrył i usunął zainfekowany plik wtw.exe
Zidentyfikował nazwę szkodnika jako Ransom.BrainCrypt.104BDA8B
Chwilę po ponownym uruchomieniu systemu, alert podniósł HitmaPro meldując o podejrzanym zachowaniu svchost.
Zgodnie z sugestią tego programu, pozwoliłem mu zrestartować system i dokonać naprawy.
Następnie wykonałem skanowanie wszystkich dysków, zarówno przez BD jak i HitmaPro. Skany nie wykryły nic.
Niemniej - dziś co jakiś czas BitDefender melduje o wykryciu zainfekowanego pliku, i o jego blokadzie i usunięciu.
Jest to na tyle niecodzienne zachowanie, że dodatkowo użyłem Emsisoft Anti Malware Emergency Kit i przeskanowałem dyski w trybie offline. Program nie znalazł żadnych zagrożeń.
Poza tym, że BitDefender co jakiś czas zgłasza alert o odnalezieniu zainfekowanego pliku w katalogu Windows\Temp nie ma żadnych innych niepokojących objawów. System pracuje normalnie.
Niemniej prosiłbym o sprawdzenie raportów FRST
Nie widać aktywnej infekcji.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
CHR HKLM-x32\...\Chrome\Extension: [gannpgaobkkhmpomoijebaigcapoeebl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hdokiejnpimakedhajhdlcegeplioahd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hdokiejnpimakedhajhdlcegeplioahd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3229343049-3197110221-861475593-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
R3 QDrive; C:\Users\veers\AppData\Local\Temp\QDrive.sys [127120 2017-04-09] (QNAP Systems, Inc.) <==== UWAGA
S3 dbx; system32\DRIVERS\dbx.sys [X]
2017-04-01 20:35 - 2017-04-01 20:35 - 00000000 ____D C:\Users\veers\AppData\Roaming\19254
2017-04-01 20:31 - 2017-04-01 20:31 - 00000000 ____D C:\Users\veers\AppData\Roaming\18421
2017-03-30 20:47 - 2017-03-30 20:47 - 00000000 ____D C:\Users\veers\AppData\Roaming\14268
2017-04-03 07:38 - 2017-04-03 07:38 - 0000000 _____ () C:\Users\veers\AppData\Local\{04E364C9-4794-403E-BC2F-989D29106EB7}
2006-08-26 00:18 - 2006-08-26 00:18 - 0000000 ____H () C:\ProgramData\sdpsenv.dat
CustomCLSID: HKU\S-1-5-21-3229343049-3197110221-861475593-1001_Classes\CLSID\{004B49B7-11B9-5058-AA22-08DD0A3ADC4B}\InprocServer32 -> {1F6E33C8-9468-D082-9EA3-1FEE85889A47} => Brak pliku
CustomCLSID: HKU\S-1-5-21-3229343049-3197110221-861475593-1001_Classes\CLSID\{DD0822AA-3A0A-4BDC-B749-4B00B9115850}\InprocServer32 -> {544D3184-9468-D082-D2A1-3CA585889A47} => Brak pliku
Task: {50E029A0-F43A-4E3B-9D1E-9878598175D6} - System32\Tasks\{759653CD-E307-40F5-988C-A67752A15836} => pcalua.exe -a "G:\Ubisoft Game\Far Cry\Bin32\FarCry.exe" -d "G:\Ubisoft Game\Far Cry\"
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Dzięki Atis.
Dla porządku wklejam fixlog.txt
Takie jeszcze pytanko:
w frst.txt znalazła się pozycja "Plik do usunięcia lub przeniesienia: sdpsenv.dat
Zapodałem go do googlarki - ale nic ciekawego się nie dowiedziałem.
Natomiast w addition znalazłem informację, że może on być zamieszany w ADS. Czy mógłbyś mnie nakierować na jakieś informacje odnośnie ADS ?
Możliwe, że ten plik jest związany z aplikacją Directory Opus, więc chyba nie był szkodliwy.
Skasowany został plik, więc również strumień ADS.