Skocz do zawartości

Prawdopodobnie Trojan przenoszony przez pendrive lub exploit przeglądarkowy


Rekomendowane odpowiedzi

Cześć

Mój komputer jakiś czas temu zachowywał się nieco podejrzliwie.
Pierwszym dziwnym symptomem, który zauważyłem były aplikacje, które system musiał wymuszać zamknięcie. Przeglądając podgląd zdarzeń sprawdziłem jakie to aplikacje. np. FVSDK, igfxCUIService2.0.0.0.

Drugą niepokojącą rzecz którą znalazłem w C:\ProgramData był plik Ament.ini
Znalazłem na temat tego pliku informację, że może być to część składowa wirusa:
https://answers.microsoft.com/en-us/windows/forum/all/amentini/cf78f72f-1643-4f95-bf86-200e4aebe169

 

Otworzyłem go za pomocą notatnika: jedynie co w nim zauważyłem to skrypt? Processing do jakieś sygnatury. 

Plik usunąłem.

Kolejną podejrzaną rzeczą którą znalazłem były logi błędów z karty graficznej.
image.png.804b0fa32c8127a93435b660a4215f69.png


Robię czasem zdjęcia, używam karty SD, czasami korzystam z Pendrive, żeby rzeczy wydrukować w jakimś np. punkcie ksero. Prawdopodobnie syf który mogłem złapać musiał być na komputerze w jakimś punkcie ksero. Jeżeli tak, to tak samo mógł się przedostać także na karty SD lub nawet na przenośny dysk twardy, który sporadycznie używam.

Mając podejrzenia standardowo zacząłem odinstalowywać wszystkie rzeczy na komputerze, żeby zagęścić poszukiwania anomalii na komputerze.
Prawdopodobnie pousuwałem składowe jakieś systemowych plików przez przypadek, kiedy czyściłem Appdate, programsfiles oraz inne foldery.

Przeglądałem także zaporę ogniową w poszukiwaniu jakiś podejrzanych reguł (na tym za bardzo się niestety nie znam i pewnie usunąłem systemowe reguły jakiś aplikacji)


za chwilę dodam logi  ( przypadkiem zatwierdziłem temat)





 

Odnośnik do komentarza
  • Penicylina zmienił(a) tytuł na Prawdopodobnie Trojan przenoszony przez pendrive
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie widzę tu infekcji.

 

Kosmetyka:

Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w Schowku Systemowym.

Spoiler

START::
HKLM-x32\...\Run: [StereoLinksInstall] => "C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvstlink.exe" /install1 (Brak pliku)
Task: {39D50EB2-DB26-413E-A690-80A8E5783194} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate (Brak pliku)
AV: Kaspersky Anti-Virus (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
EmptyEventLogs:
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

W rejestrze jeszcze znalazłem coś takiego

Czy to normalne?

W logu FRST jest:

S3 MDA_NTDRV; C:\Windows\system32\MDA_NTDRV.sys [21208 2019-12-20] (北京铠信神州科技有限责任公司 -> )

czyli

https://www.systemlookup.com/Drivers/11651-MDA_NTDRV_sys.html

to program do odzyskiwania danych lub tworzenia kopii zapasowych.

Wprawdzie na liście Twoich programów nie widzę takiego, ale w każdym bądź razie to legalne,

 

=============

Cytat

FRST stworzył dodatkowe pliki w systemie i utworzył kwarantanne

FRST tworzy dodatkowe obiekty po usuwaniu.

 

Otworzeniu kwarantanny słyszę pierwszy raz, ale nie wykluczam, że to normalne dla FRST.

 

jessi

 

Odnośnik do komentarza

Przejrzałem wszystkie nośniki w żadnym nie znalazłem podejrzanego pliku.
Wirusy komputerowe są jak pasożyty w ludzkim ciele.
Nie wiem skąd to się wzięło. Może z jakiegoś programu. Ciężko cokolwiek znaleźć na temat tego pliku ament.ini.
Jedynie że to trojan.generic czy coś ile w tym prawdy nie wiem szczątkowe informacje z przeszło 5 lat.
Dziwi mnie fakt, że nie ma żadnych szczątków po wirusie
A zazwyczaj jakieś szczątki po wirusach są w rejestrze
Po tym moim czyszczeniu i tak mam wątpliwości co do sprawności systemu. 

Przejrzałem nośniki i nic na nich nie znalazłem. Jeszcze w sumie został tylko telefon.


Najlepsze w tym wszystkim jest to, że jestem BARDZO ostrożny podczas korzystania z komputera, Przeważnie omijam łukiem miejsca, gdzie jest duże prawdopodobieństwo infekcji komputera.
A mimo to i tak jakimś cudem ten plik Ament.ini się pojawił. A to raczej część składowa wirusa. Nie znam się tworzeniu wirusów nie wiem dokładnie jak funkcjonują. Ale podejrzewam, że ten Amint.ini to nie był tylko jeden plik.

Albo złapałem go przez stronę internetową...
Jeszcze zastanawia mnie czy instalacja gier z platformy takiej jak Steam może też zainfekować komputer.
Jeżeli tak to będę omijał z daleka darmowe gry.

Po agresywnym usuwaniu plików.
Ciekawostką jest fakt że jak chciałem usuwać pliki ze śmietnika system prosił o ponowne zatwierdzenie usunięcia plików z dostępem administratora co się wcześniej z tym nie spotkałem.
Dając anuluj i tak śmietnik zostawał opróżniony. (albo tylko ikona śmietnika zmieniała wygląd na opróżniony)

 

25 minut temu, jessica napisał:

to program do odzyskiwania danych lub tworzenia kopii zapasowych.

Wprawdzie na liście Twoich programów nie widzę takiego, ale w każdym bądź razie to legalne,

Faktycznie kiedyś używałem programu do odzyskiwania danych, kiedy to przez przypadek usunęła mi się cała zawartość dysków. Program i tak nie pomógł bo wyczyszczone dane były do cna.



Chyba mnie czeka znowu format i ustawienia programów od nowa, zmiana wszystkich haseł,

Super sprawa.😫








 

Odnośnik do komentarza

Raz na jakiś czas trzeba, rejestr się zapycha, śmietnik się robi. Zmiana haseł też ważna sprawa co jakiś czas trzeba zmieniać. Co chwilę są wycieki danych. Więc to dobra motywacja do totalnych porządków. Człowiek wtedy może poczuć ulgę że już wszystko zrobił co w jego mocy.

 

Spokoju mi nie da fakt, że nie wiem skąd ten syf się wziął.

 

Dzięki za pomoc przynajmniej wiem, że to nie było aż tak bardzo niebezpieczne (ale ręki sobie za to nie dam uciąć nie mam pewności dlatego formacik rozwieje moje wątpliwości [pewnie gdybym wiedział co to jest i jak działa to bym się aż tak nie przejmował])

 

image.png.47f13cc526ec3900ae55776c3d2f517c.png

Odnośnik do komentarza
  • Penicylina zmienił(a) tytuł na Prawdopodobnie Trojan przenoszony przez pendrive lub exploit przeglądarkowy

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...