MEM:Trojan.Script.AngryPower.gen

[kos12]

Witam

Program Kaspersky Virus Removal Tool wskazuje na istnienie MEM:Trojan.Script.AngryPower.gen

Inne programy takie jak Malwarebytes czy też Norton Security nie wskazują na istnienie takiego problemu.

Prosiłbym o sprawdzenie logów.
Pozdrawiam

Addition.txt FRST.txt Shortcut.txt

[jessica]

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\288C017F.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\40935572.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\46482386.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\288C017F.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\40935572.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\46482386.sys => ""="Driver"
HKLM-x32\...\RunOnce: [{CFCFC2D5-83CC-4976-8117-0544B6894001}] => cmd.exe /C start /D "C:\Users\user\AppData\Local\Temp" /B {CFCFC2D5-83CC-4976-8117-0544B6894001}.cmd
GroupPolicy: Ograniczenia ? <==== UWAGA
Task: {97C93125-D7CB-4637-8026-89ABC5AF8FEB} - System32\Tasks\{48CB974F-E6AF-4E8F-8203-9260808A2F28} => C:\Windows\system32\pcalua.exe -a C:\Users\user\AppData\Local\Temp\jre-8u221-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== UWAGA
FF Plugin-x32: @videolan.org/vlc,version=2.2.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [Brak pliku]
FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [Brak pliku]
FF Plugin-x32: @videolan.org/vlc,version=2.2.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [Brak pliku]
S3 cpuz136; \??\i:\portableapps\programy przenosne\wizard\pcwiz_x64.sys [X]
S1 MpKslDrv; \??\C:\Windows\Temp\MpKslDrv.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.0.0.110\Definitions\SDSDefs\20170202.009\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.0.0.110\Definitions\SDSDefs\20170202.009\EX64.SYS [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S4 nvvhci; system32\DRIVERS\nvvhci.sys [X]
C:\Windows\Minidump\*.dmp
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[kos12]

Skrypt wykonany

Załączam logFixlog.txt

[jessica]

OK, wykonane.

 

jessi

[kos12]

Witam

 

Włączyłem skanowanie KVRT i znowu wykrył MEM:Trojan.Script.AngryPower.gen

Malwarebytes i Norton Security dalej nie wykrywają tego zagrożenia.

Tym razem od razu wykonałem logi bez naprawy z poziomu KVRT.

Pozdrawiam

Shortcut.txt FRST.txt Addition.txt

[jessica]

W nowych logach nic podejrzanego.

 

Najwyraźniej KVRT wykrywa coś, co w rzeczywistości nie istnieje.

Określenie "gen" w nazwie wykrycia oznacza, że infekcja (np. SALITY) zaraża inne pliki (np. wszystkie "*.exe), a przecież KVRT nie wykrył żadnego pliku zarażonego.

 

jessi

[kos12]

Dziękuje za pomoc i poświęcony czas.

Pozdrawiam