logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
Drukarka UV na Twoim biurku?
Drukarka UV na Twoim biurku? Poznaj eufyMake E1 »
REKLAMA
Dostępna jest polska wersja

Czy wolisz polską wersję strony elektroda?

Nie, dziękuję Przekieruj mnie tam
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

[Rozwiązano] Jak usunąć trojany Wacatac.B!ml i Ursnif!ml z plików PDF?

aqu32 21 Lut 2024 19:34 480 3
REKLAMA
Zgłoś naruszenie prawa
| Nowy temat
  • #1 20972340
    aqu32
    Poziom 11  
    Posty: 7
    Witam,
    w pewnym momencie Defender zgłosił mi (przy okazji okresowego skanowania), iż część moich plików jest zainfekowana trojanami. Wszystkie infekcje dotyczą wyłącznie plików PDF - w różnych miejscach dysku, część to pliki Temp w Windows, ale sporą część stanowią również moje robocze PDF'y. Jeśli chodzi o typy infekcji to dotyczą one trojanów - Wacatac.B!ml oraz Ursnif!ml.
    Przygotowałem zestaw logów z FRST do przeanalizowania dla znawców w temacie.

    Zrzut ekranu z Windows Defender pokazujący historię blokowania zagrożeń.
    Historia ochrony w Zabezpieczeniach Windows z informacją o usunięciu trojana.
    Załączniki:
    • Shortcut.txt (38.83 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (43.11 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (108.86 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • Pomocny post
    #2 20972487
    ITSpec.

    Poziom 42  
    Posty: 5703
    Pomógł: 937
    Ocena: 740
    Nic

    CloseProcesses:
    CreateRestorePoint:
    EmptyTemp:
    HKU\S-1-5-21-3859797149-961546014-1558589970-1001\...\Run: [MicrosoftEdgeAutoLaunch_C46CFC0629905CC775E70B50EA8A519C] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [3788240 2024-02-15] (Microsoft Corporation -> Microsoft Corporation)
    HKU\S-1-5-18\...\Run: [ProxyProperties_IBARD] => 0001000000ffffffff01000000000000000c020000004f4d6964646c654c6179657253756273797374656d732c2056657273696f6e3d352e322e332e313630362c2043756c747572653d6e65757472616c2c205075626c69634b6579546f6b656e3d6e75 (dane wartości zawierają 316 znaków więcej). (Brak pliku)
    Task: {EE1B1F90-3142-4590-8C13-7FDD362D0BC7} - \Adobe Acrobat Update Task -> Brak pliku <==== UWAGA
    Tcpip\..\Interfaces\{a564977a-1a44-4eef-998b-aa3ac35fcc18}: [DhcpNameServer] 217.113.224.35 217.113.224.134
    ShellIconOverlayIdentifiers: [IBARDSynchronizationPending] -> {08AD9864-E486-4cdb-8781-D507026CF5D6} => -> Brak pliku
    ShellIconOverlayIdentifiers: [IBARDSynchronized] -> {08AD9864-E486-4cdb-8781-D507026CF5D7} => -> Brak pliku
    C:\Users\User\AppData\Roaming\Microsoft\Word\Ewidencja%20sprzedaży%20bezrachunkowej%20-%20wzór%310096331783941132\Ewidencja%20sprzedaży%20bezrachunkowej%20-%20wzór%20.doc.lnk
    C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Firefox — tryb prywatny.lnk
    C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Tombstones\Firefox.lnk
    Konto firmowe:
    Sprawny Komputer Tomasz Kokoszewski
    Patriotów 50, Warszawa, 04-912 | Strona WWW: https://sprawnykomputer.com.pl
  • REKLAMA
  • Pomocny post
    #3 20973014
    Notmyfault
    Poziom 8  
    Posty: 17
    Pomógł: 2
    Ocena: 4
    aqu32 napisał:
    Jeśli chodzi o typy infekcji to dotyczą one trojanów - Wacatac.B!ml oraz Ursnif!ml.


    Zdarza się, że Wacatac i Ursnif zostają wykrywane nieprawidłowo w wielu plikach, nawet tych wiarygodnych...
  • #4 21032450
    aqu32
    Poziom 11  
    Posty: 7
    Tak jak napisali koledzy wyżej - po gruntownej weryfikacji okazało się, że infekcja była fałszywie wykrywana w systemie.
| Nowy temat
Zgłoś naruszenie prawa
REKLAMA