Prośba o sprawdzenie logów - Neshta.Virus.FileInfector

[Jetson]

Witam,

 

Dzisiaj przy skanowaniu Malwarebytes Anti Malware wykrył Neshta.Virus.FileInfector, którego poddałem kwarantannie. Pierwszy raz spotkałem się z taką nazwą, a po wygooglowaniu dowiedziałem się, że nie jest to przyjemna infekcja. Na razie nie widzę żadnych negatywnych objawów, jednak prosiłbym o rzucenie okiem na logi. Dołączam wymagane pliki oraz screenshot z Malwarebytes, żeby pokazać gdzie siedział wirus.

 

Skaner windowsowy niczego nie wykrył.

 

Pozdrawiam.

FRST.txt Addition.txt Shortcut.txt

[jessica]

Cytat

explorer.exe ->) (ResolveDevOps Limited -> ResolveDevOps Limited) C:\Users\marci\AppData\Roaming\ProductAuthenticationService\pas.exe

Nikt w necie nie wie, co to jest. Pojawia się tylko u użytkowników STEAM'a.

Choć jest wykrywane jako ADWARE: pas.exe Usuwanie: Jak pozbyć się pas.exe6ba92c1d0fa12701beb2c35b8a0ca6e5 (threatinfo.net)

===============

 

Tylko kosmetyka:

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
CreateRestorePoint:
HKU\S-1-5-21-755384510-574266639-158900603-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-755384510-574266639-158900603-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-755384510-574266639-158900603-1002\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Grzegorz\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" [61757832 2023-07-08] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-755384510-574266639-158900603-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Grzegorz\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-755384510-574266639-158900603-1003\...\Run: [MicrosoftEdgeAutoLaunch_E9DE5AD7D492708FCC5CC76CE616FD65] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4107728 2023-08-25] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-755384510-574266639-158900603-1003\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Bogusia\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-755384510-574266639-158900603-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Bogusia\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-755384510-574266639-158900603-1003\...\RunOnce: [Uninstall 22.225.1026.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Bogusia\AppData\Local\Microsoft\OneDrive\22.225.1026.0001" [0 2022-12-12] () <==== UWAGA [zerobajtowy plik/folder]
EmptyEventLogs: 
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

jessi

[Jetson]

Dzięki. Załączam fixlog (nie wiedziałem, że ten skrypt zresetuje mi całą przeglądarkę, ale nie ma problemu 😄)

 

5 godzin temu, jessica napisał(a):

Nikt w necie nie wie, co to jest. Pojawia się tylko u użytkowników STEAM'a.

Choć jest wykrywane jako ADWARE: pas.exe Usuwanie: Jak pozbyć się pas.exe6ba92c1d0fa12701beb2c35b8a0ca6e5 (threatinfo.net)

===============

 

 

Czy ten pas.exe jest powiązany z tym wirusem Neshta czy to jest coś zupełnie innego?

Fixlog.txt

[jessica]

Cytat

Czy ten pas.exe jest powiązany z tym wirusem Neshta czy to jest coś zupełnie innego?

Nie ma związku z Neshta.

 

jessi

[Jetson]

Dzięki. Rozumiem, że po infekcji nie ma śladu? Jeśli nie ma, to temat do zamknięcia. Pozdrawiam.