Skype - rozsyłanie zainfekowanych linków

[Burznazg]

Jedno z moich urządzeń, na których posiadam zainstalowaną aplikację Skype zostało zainfekowane czymś co powoduje rozsyłanie linków typy "goo.gl" do wszystkich moich kontaktów. Mam trzy urządzenia, z różnymi systemami operacyjnymi, na których zainstalowany jest Skype:

- Windows 7

- Windows 10

- Android 

 

Pierwsze pytanie, czy powinien założyć topic na osobne urządzenia? Drugie, czy w ogóle pomagacie rozwiązywać problemy z systemami innymi niż Windows?

 

Na chwilę obecną wygenerowałem logi na maszynie z Windowsem 10. Maszyna została również potraktowana Malwarebytes, którego log również załączam.

 

FRST.txt

Addition.txt

Shortcut.txt

 

malwarebytes.txt

[jessica]

O ile mi wiadomo, to FRST nie obsługuje Androida, więc to urządzenie od razu odpada.

 

Cytat

HKLM Group Policy restriction on software: c:\windows\infpub.dat <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\cscc.dat <==== ATTENTION

To pliki stworzone przez Ciebie, czy przez infekcję?

 

Poza tym w logach nie widzę niczego podejrzanego.

 

jessi

[Burznazg]

Nie tworzyłem ich. Natomiast te pliki nie istnieją w sytemie plików we wskazanym miejscu. Być może się mylę, ale wydaje mi się, że to co tool wskazał to polityka uprawnień dotycząca tych dwóch plików jaka obecnia jest aktywna na moim systemie. Wyczytałem, że te dwa pliki są związane z atakiem Bad Rabbit, więc być może antyvirus Semantec, który posiadam na tej maszynie jest za to odpowiedzialny. To komputer służbowy. Co o tym myślicie?

Jeśli poza tym niczego nie widać to w najbliższym czasie podrzucę logi z Windowsa 7.

[jessica]

Cytat

być może antyvirus Semantec, który posiadam na tej maszynie jest za to odpowiedzialny.

to nawet miałoby sens.

 

Kosmetyka do tych logów:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

S3 SOFTHIDUSBK; SYSTEM32\DRIVERS\SOFTHIDUSBK.SYS [X]
S3 SOFTUSBK; SYSTEM32\DRIVERS\SOFTUSBK.SYS [X]
S3 SOFTUSBTESTHUB; SYSTEM32\DRIVERS\SOFTUSBTESTHUB.SYS [X]
S3 SOFTWADP; SYSTEM32\DRIVERS\SOFTWADP.SYS [X]
S3 WSOFTUSBK; SYSTEM32\DRIVERS\WSOFTUSBK.SYS [X]
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

jessi

[Burznazg]

Dzięki.

Dorzucam logi z Windows 7 i proszę o ponowną analizę.

 

 

Shortcut.txt

FRST.txt

Addition.txt

malwarebytes.txt

[jessica]

To, co wykrył MBAM, to nie ma nic wspólnego z Twoim problemem.

 

W logach FRST jest tylko jeden drobny "śmietek", ale on też na pewno nie ma nic wspólnego ze Skype.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {102B0B36-56E2-4F7D-99CC-B5F814A776B4} - System32\Tasks\{D0304236-0A84-4238-B52D-DCDA6B94E19B} => C:\Windows\system32\pcalua.exe -a "D:\Gry\GOG Games\Fallout Tactics\ft_booster.exe" -d "D:\Gry\GOG Games\Fallout Tactics"
Task: {B9E0FFC7-4461-4D3E-B8D5-DB836BF62209} - System32\Tasks\{E060A5F9-5809-4993-A8D3-EB8295AF597C} => C:\Windows\system32\pcalua.exe -a D:\Downloads\VirtualBox-5.1.8-111374-Win.exe -d D:\Downloads
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1967922997-518548538-3456007962-1000\...\Run: [] => [X]
CHR Extension: (Sci-Hub) - D:\Downloads\Sci-Hub [2017-10-09] [UpdateUrl: hxxp://31.184.194.81/update] <==== UWAGA
S3 cpuz143; \??\C:\Users\Root\AppData\Local\Temp\cpuz143\cpuz143_x64.sys [X] <==== UWAGA
S3 GPU-Z; \??\C:\Users\Root\AppData\Local\Temp\GPU-Z.sys [X] <==== UWAGA
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
RemoveDirectory: C:\ProgramData\boost_interprocess
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

jessi