SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > dnsapi.dll zainfekowany?
Pełna wersja: dnsapi.dll zainfekowany?
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

hivonzooo

24.07.2017, 10:37
Witam, zwracam się do Was z małym pytaniem - podczas cotygodniowego skanu HitmanPro program wykrył infekcję w pliku dnsapi.dll w folderze System32 i SysWOW64. Sprawa jest o tyle dziwna że Windows Defender oraz Kaspersky Virus Remowal Tool nie wykrywają kompletnie nic, infekcja znajduje się w folderze, do którego uprawnienia posiada tylko administrator (pracuję na "zwykłym" koncie użytkownika, admina wykorzystuję tylko do diagnostyki) i do tego data modyfikacji pliku wskazuje na 23 czerwca, czyli ponad miesiąc temu. ProcesExplorer z włączonym Virustotal nie pokazuje niczego dziwnego pracującego w tle. Wrzuciłem plik do VT i tylko 4 skanery uznały to jako wirus. Czy możliwe że to fałszywy alarm?

Skan z folderu System32:

[Aby zobaczyć linki, zarejestruj się tutaj]


Skan z folderu SysWOW64:

[Aby zobaczyć linki, zarejestruj się tutaj]

Tajny Współpracownik

24.07.2017, 10:44
Wygląda na to, że to fałszywy alarm. Powinieneś zrobić logi by upewnić się, że środowisko jest niezainfekowane.

hivonzooo

24.07.2017, 12:44
Przejrzałem trochę temat na answers.microsoft.com i podobno niektóre antywirusy w przeszłości (w tym Windows Defender) uznawały plik jako szkodliwy i jest to błąd. Logi zrobię kiedy przeskanuję system kilkoma antywirusami i dam znać jak efekty. Jeśli żaden z nich nie znajdzie nic, to uznam to za fałszywy alarm.

Quassar

24.07.2017, 17:18
Jeśli nie dasz logu to na bazie czego ma być zrobiony audyt systemy ... tu nie ma wróżbitów
Przed napisaniem posta należy zapoznać się z regulaminem..

hivonzooo

24.07.2017, 19:53
Przeanalizowałem plik, nie zauważyłem wcześniej że został utworzony 22 lipca o 11:24. Skany Comodo, Kaspersky oraz Mcafee Stinger nic nie wykazały. Z tego co pamiętam w tym momencie instalowałem nową aktualizację z Windows Update, był to jakiś pakiet zajmujący ponad 200 mb. Ściągałem też grę o tron z torrentów, ale zakładam że plik mkv nie może być zainfekowany, a na pewno nie zrobiłby nic bez uprawnień admina. Dziennik zdarzeń w tym czasie wysypał mnóstwo ostrzeżeń, jak zawsze podczas aktualizacji. Myślę, że problem rozwiązany, ale dla pewności wrzucę logi. System to Windows 8.1 x64.

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITION

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

24.07.2017, 21:25
Pliki są prawidłowe podpisane przez Microsoft (infekcji brak).
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > dnsapi.dll zainfekowany?