+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: dnsapi.dll zainfekowany? (/thread-11143.html)
dnsapi.dll zainfekowany? - hivonzooo - 24.07.2017
Witam, zwracam się do Was z małym pytaniem - podczas cotygodniowego skanu HitmanPro program wykrył infekcję w pliku dnsapi.dll w folderze System32 i SysWOW64. Sprawa jest o tyle dziwna że Windows Defender oraz Kaspersky Virus Remowal Tool nie wykrywają kompletnie nic, infekcja znajduje się w folderze, do którego uprawnienia posiada tylko administrator (pracuję na "zwykłym" koncie użytkownika, admina wykorzystuję tylko do diagnostyki) i do tego data modyfikacji pliku wskazuje na 23 czerwca, czyli ponad miesiąc temu. ProcesExplorer z włączonym Virustotal nie pokazuje niczego dziwnego pracującego w tle. Wrzuciłem plik do VT i tylko 4 skanery uznały to jako wirus. Czy możliwe że to fałszywy alarm?
Skan z folderu System32:
[Aby zobaczyć linki, zarejestruj się tutaj]
Skan z folderu SysWOW64:
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: dnsapi.dll zainfekowany? - Tajny Współpracownik - 24.07.2017
Wygląda na to, że to fałszywy alarm. Powinieneś zrobić logi by upewnić się, że środowisko jest niezainfekowane.
RE: dnsapi.dll zainfekowany? - hivonzooo - 24.07.2017
Przejrzałem trochę temat na answers.microsoft.com i podobno niektóre antywirusy w przeszłości (w tym Windows Defender) uznawały plik jako szkodliwy i jest to błąd. Logi zrobię kiedy przeskanuję system kilkoma antywirusami i dam znać jak efekty. Jeśli żaden z nich nie znajdzie nic, to uznam to za fałszywy alarm.
RE: dnsapi.dll zainfekowany? - Quassar - 24.07.2017
Jeśli nie dasz logu to na bazie czego ma być zrobiony audyt systemy ... tu nie ma wróżbitów
Przed napisaniem posta należy zapoznać się z regulaminem..
RE: dnsapi.dll zainfekowany? - hivonzooo - 24.07.2017
Przeanalizowałem plik, nie zauważyłem wcześniej że został utworzony 22 lipca o 11:24. Skany Comodo, Kaspersky oraz Mcafee Stinger nic nie wykazały. Z tego co pamiętam w tym momencie instalowałem nową aktualizację z Windows Update, był to jakiś pakiet zajmujący ponad 200 mb. Ściągałem też grę o tron z torrentów, ale zakładam że plik mkv nie może być zainfekowany, a na pewno nie zrobiłby nic bez uprawnień admina. Dziennik zdarzeń w tym czasie wysypał mnóstwo ostrzeżeń, jak zawsze podczas aktualizacji. Myślę, że problem rozwiązany, ale dla pewności wrzucę logi. System to Windows 8.1 x64.
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
ADDITION[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut[Aby zobaczyć linki, zarejestruj się tutaj]
RE: dnsapi.dll zainfekowany? - tachion - 24.07.2017
Pliki są prawidłowe podpisane przez Microsoft (infekcji brak).