fsecure wykrył trojan.hacktool.sup

[slimowski]

Witam,

na moim drugim laptopie, program fsecure pokazuje komunikat o wykryciu trojan.hacktool.sup w c:\windows\temp\spp\extComObjHook.dll następnie po około 2-3 minutach następuje reset systemu. Sytuacja powtarza się po ponownym uruchomieniu. 

Z tego też względu przygotowane logi były przeprowadzone w trybie awaryjnym. 

Będę bardzo wdzięczny za pomoc 

 

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Detekcja Trojan.Hacktool.Sup jest związana z crackiem AutoKMS aktywującym lewy pakiet Microsoft Office. Widzę, że F-Secure mocno nabałaganił w Dzienniku zdarzeń, więc wyczyszczę jego całą gałąź. 
 
1. Przejdź do lokalizacji C:\Windows\AutoKMS, odnajdź w niej plik deinstalacyjny cracka (nazwa zbliżona do uninstall.exe) i uruchom go. Jeśli deinstalacja zawiedzie, skrypt FRST usunie widoczne obiekty. 
 
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
C:\Users\pszen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\920d2757409c8a7a\ASUS GIFTBOX.lnk
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
CustomCLSID: HKU\S-1-5-21-4099042752-900424334-1160265230-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\pszen\AppData\Local\Microsoft\OneDrive\17.3.7076.1026_1\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4099042752-900424334-1160265230-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\pszen\AppData\Local\Microsoft\OneDrive\17.3.7076.1026_1\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4099042752-900424334-1160265230-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\pszen\AppData\Local\Microsoft\OneDrive\17.3.7076.1026_1\amd64\FileSyncShell64.dll => Brak pliku
Task: {805450E8-3DA3-499D-A766-9CF3A247AFBF} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {E8C8C979-E369-4D3D-9D66-9E1B42325ECD} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2017-11-03] ()
C:\Windows\AutoKMS
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Dostarcz plik Fixlog oraz napisz czy problem ustąpił.

[slimowski]

Dziękuje za zajęcie się moim problem. Plik do odinstalowania autoKMS niestety nie odpalał mi się w trybie awaryjnym, więc zastosowałem czyszczenie w FRST który zaleciłeś, pytanie czy w takim razie mam ręcznie usuwać czy wszystko będzie już zrobione? Zastanawia mnie też czemu trojan uaktywnił się dopiero teraz, office faktycznie aktywowałem za jego pomocą ale to było przynajmniej dwa miesiące temu. 

W załączniku świeże logi. 

Narazie nic się nie dzieje z komputerem ale będę go obserwować. 

Fixlog.txt