TrojanDownloader.Agent.ZH

[zanik]

Witam,

 

Dzisiaj otrzymałem komputer na którym była próba otworzenia załącznika - faktura_923918_PDF.z

Komputer był bez aktywnej ochrony. Licencja na Kasperskiego wygasła parę dni temu.

Użytkownik dwa razy kliknął w załącznik. Ponieważ nic się nie wydarzyło to wyczuł, że może to być wirus i więcej nie kombinował.

 

Dzisiaj zainstalowałem ESETa ESS i przeskanowałem system. Eset nic nie znalazł.

 

Załącznik z poczty po przeskanowaniu okazał się wirusem o ścieżce: faktura_923918_PDF.z » RAR » faktura_923918\faktura 923918_PDF.bat - PowerShell/TrojanDownloader.Agent.ZH koń trojański – usunięty

 

Proszę sprawdzić czy na pewno w systemie nie zainstalował się wirus. W załączniku logi systemowe.

Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

W raportach brak oznak infekcji, wygląda na to, że coś przeszkodziło złośliwemu oprogramowaniu uruchomieniu się. 

Punkt pierwszym dotyczy kosmetyki systemowej (kasacja martwych wpisów / niepotrzebnych wyszukiwarek), zaś w drugim kompleksowy skan antywirusowy. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
SearchScopes: HKLM-x32 -> {572C8D28-EA28-4D24-8690-1945915742C5} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKU\S-1-5-21-3783304369-3441894555-728274890-1001 -> {572C8D28-EA28-4D24-8690-1945915742C5} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {15BECA27-1B89-4924-ADDD-5E74F3DC9E1F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {458CB686-5C70-4DC8-B1D6-283398D83E04} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {9AA37E06-3563-4DF9-AD9E-A7CCB315198F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {B7B6D046-08A3-41CC-8759-2F76383194E1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {DEDF8318-1E49-4767-AE49-EF4B09455B6E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {E7F9402B-59E9-4854-BDAA-D2320D3E4C1C} - \WPD\SqmUpload_S-1-5-21-3783304369-3441894555-728274890-1001 -> Brak pliku 
C:\Users\Dominik\Desktop\MF Scan Utility.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Dostarcz plik Fixlog.

[zanik]

Dziękuję za pomoc.

Wszystko wykonałem zgodnie z zaleceniami.  Malwarebytes AntiMalware nie znalazł niczego.

 

W załączniku raport z AntiMalware i Fixlog

Proszę sprawdzić czy wszytko już OKi.

Fixlog.txt

raport.txt

[Miszel03]

Akcje pomyślnie wykonane (choć część musiała zostać wykonana wcześniej).

 

System wygląda na czysty. Uznaję, że możemy kończyć.

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.