dnsapi.dll zainfekowany?
#1
Witam, zwracam się do Was z małym pytaniem - podczas cotygodniowego skanu HitmanPro program wykrył infekcję w pliku dnsapi.dll w folderze System32 i SysWOW64. Sprawa jest o tyle dziwna że Windows Defender oraz Kaspersky Virus Remowal Tool nie wykrywają kompletnie nic, infekcja znajduje się w folderze, do którego uprawnienia posiada tylko administrator (pracuję na "zwykłym" koncie użytkownika, admina wykorzystuję tylko do diagnostyki) i do tego data modyfikacji pliku wskazuje na 23 czerwca, czyli ponad miesiąc temu. ProcesExplorer z włączonym Virustotal nie pokazuje niczego dziwnego pracującego w tle. Wrzuciłem plik do VT i tylko 4 skanery uznały to jako wirus. Czy możliwe że to fałszywy alarm?

Skan z folderu System32:

[Aby zobaczyć linki, zarejestruj się tutaj]


Skan z folderu SysWOW64:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
Wygląda na to, że to fałszywy alarm. Powinieneś zrobić logi by upewnić się, że środowisko jest niezainfekowane.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#3
Przejrzałem trochę temat na answers.microsoft.com i podobno niektóre antywirusy w przeszłości (w tym Windows Defender) uznawały plik jako szkodliwy i jest to błąd. Logi zrobię kiedy przeskanuję system kilkoma antywirusami i dam znać jak efekty. Jeśli żaden z nich nie znajdzie nic, to uznam to za fałszywy alarm.
Odpowiedz
#4
Jeśli nie dasz logu to na bazie czego ma być zrobiony audyt systemy ... tu nie ma wróżbitów
Przed napisaniem posta należy zapoznać się z regulaminem..
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#5
Przeanalizowałem plik, nie zauważyłem wcześniej że został utworzony 22 lipca o 11:24. Skany Comodo, Kaspersky oraz Mcafee Stinger nic nie wykazały. Z tego co pamiętam w tym momencie instalowałem nową aktualizację z Windows Update, był to jakiś pakiet zajmujący ponad 200 mb. Ściągałem też grę o tron z torrentów, ale zakładam że plik mkv nie może być zainfekowany, a na pewno nie zrobiłby nic bez uprawnień admina. Dziennik zdarzeń w tym czasie wysypał mnóstwo ostrzeżeń, jak zawsze podczas aktualizacji. Myślę, że problem rozwiązany, ale dla pewności wrzucę logi. System to Windows 8.1 x64.

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITION

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
Pliki są prawidłowe podpisane przez Microsoft (infekcji brak).
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości