Infekcja swiss.bner oraz sality.gen - trojany

[anagram1928]

Cześć,

Witam serdecznie forumowiczów w niedzielne popołudnie, od dłuższego czasu zmagam się z paskudnymi infekcjami, które co jakiś czas regularnie mi zjadają pliki .exe na moich dyskach przenośnych / pendrivach. 

Moja praca często polega na tym, że podłączam się pod inne laptopy dyskiem czy pendrivem i nagle bum, pojawia się infekcja (wiem to stąd, że na główny komputerze mam kasperskiego) 

Malwerebytes w wersji PRO nie wykrywa nawet tych infekcji, nie wiem gdzie jest źródło, mój główny komputer jest  w sumie dobrze zabezpieczony i jedynie "nie wpuszcza" tego co jest na tych przenośnych urządzeniach.

Nie wiem co mam zrobić, wszystko skanowałem ale to wraca i wraca i wraca.

Mam dużo kopii zapasowych w postaci obrazów wykonanych programami AOMEI + server NAS z kopiami i boję się to podłączać bo nie wiem czy ta infekcja dotyka także obrazy systemów.

Jeżeli przeczytałeś / ałaś długi wstęp to pozdrawiam i życzę miłej niedzieli.

FRST.txt Addition.txt Shortcut.txt

[jessica]

W logach nic nie wskazuje na rzeczywiste istnienie wirusa SALITY.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-05-14] <==== UWAGA (Linkuje do pliku *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-05-14] <==== UWAGA
HKU\S-1-5-21-879377070-2935715841-2104153360-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06132019190547131\...\Run: [5711EEA2D67F0B7B839A1BB43EF53F163B6B3778._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1723888 2019-05-21] (Google LLC -> Google Inc.)
HKU\S-1-5-21-879377070-2935715841-2104153360-1001\...\Run: [5711EEA2D67F0B7B839A1BB43EF53F163B6B3778._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1723888 2019-05-21] (Google LLC -> Google Inc.)
HKU\S-1-5-21-879377070-2935715841-2104153360-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06132019190733629\...\Run: [5711EEA2D67F0B7B839A1BB43EF53F163B6B3778._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1723888 2019-05-21] (Google LLC -> Google Inc.)
S3 dcdbas; \SystemRoot\System32\drivers\dcdbas64.sys [X]
FirewallRules: [UDP Query User{1C6A8D03-6634-4732-A2D0-5788951336BD}C:\program files (x86)\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe] => (Allow) C:\program files (x86)\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe Brak pliku
FirewallRules: [TCP Query User{7C137837-51F1-4EC1-B948-F9A980691D9C}C:\program files (x86)\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe] => (Allow) C:\program files (x86)\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe Brak pliku
FirewallRules: [UDP Query User{6516458E-A925-412D-97FC-99F455628056}C:\program files (x86)\epic games\launcher\portal\binaries\win32\epicgameslauncher.exe] => (Allow) C:\program files (x86)\epic games\launcher\portal\binaries\win32\epicgameslauncher.exe Brak pliku
FirewallRules: [TCP Query User{F89AB9E7-59C1-4AEE-B0D4-439D2705B458}C:\program files (x86)\epic games\launcher\portal\binaries\win32\epicgameslauncher.exe] => (Allow) C:\program files (x86)\epic games\launcher\portal\binaries\win32\epicgameslauncher.exe Brak pliku
FirewallRules: [{97173AFE-6486-4A5D-9A46-2BAAC9D387E5}] => (Allow) D:\SteamLibrary\steamapps\common\Total War WARHAMMER II\launcher\launcher.exe Brak pliku
FirewallRules: [{C4B48810-7D1C-46BE-A622-52BE67D493B6}] => (Allow) D:\SteamLibrary\steamapps\common\Total War WARHAMMER II\launcher\launcher.exe Brak pliku
FirewallRules: [{D0CDCBE1-F886-4114-A204-120BFEEED81C}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient.exe Brak pliku
FirewallRules: [{E2B83729-B1B3-4384-B147-E6D9BC32D82A}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient_x64.exe Brak pliku
FirewallRules: [{3C3BFE48-DF04-4939-91D7-45C2C57311D7}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr.exe Brak pliku
FirewallRules: [{52332482-6B1F-4314-B818-17382B3CCE08}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr_x64.exe Brak pliku
FirewallRules: [{0AC68ABD-4ED3-43D2-A5C8-41E55F319A77}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd.exe Brak pliku
FirewallRules: [{563DA5E9-4268-4DA6-9DC9-20560BFC1D44}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd_x64.exe Brak pliku
FirewallRules: [TCP Query User{D79A388D-92A6-4086-82F2-37403E0B978F}E:\narzedzia\adberdr11000_pl_pl.exe] => (Allow) E:\narzedzia\adberdr11000_pl_pl.exe Brak pliku
FirewallRules: [UDP Query User{13AA9B0B-2556-4F94-9D91-88BBB8C92FF0}E:\narzedzia\adberdr11000_pl_pl.exe] => (Allow) E:\narzedzia\adberdr11000_pl_pl.exe Brak pliku
FirewallRules: [TCP Query User{EBD082BE-D8C2-42B4-AB13-064CEBE9C18C}C:\program files (x86)\dropbox\client\qtwebengineprocess.exe] => (Allow) C:\program files (x86)\dropbox\client\qtwebengineprocess.exe Brak pliku
FirewallRules: [UDP Query User{2A091D97-6C9D-424E-884D-6273EFA14A25}C:\program files (x86)\dropbox\client\qtwebengineprocess.exe] => (Allow) C:\program files (x86)\dropbox\client\qtwebengineprocess.exe Brak pliku
FirewallRules: [{CE8506EE-3D80-4FA7-BB69-625DFBC3F667}] => (Allow) D:\SteamLibrary\steamapps\common\Sid Meier's Civilization VI\LaunchPad\LaunchPad.exe Brak pliku
FirewallRules: [{4E51CA59-3F48-46D9-95F5-D095925E56D2}] => (Allow) D:\SteamLibrary\steamapps\common\Sid Meier's Civilization VI\LaunchPad\LaunchPad.exe Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi