Аналогично: есть ли в системе вирусы, и особенно кейлоггеры?
https://cloud.mail.ru/public/QUwr/3hcNLK7y7
Posted 29 September 2019 - 02:10
Аналогично: есть ли в системе вирусы, и особенно кейлоггеры?
https://cloud.mail.ru/public/QUwr/3hcNLK7y7
Posted 29 September 2019 - 02:10
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
Posted 29 September 2019 - 16:59
Куча непонятных либ сомнительной репутации, скринсейверы, активаторы. Сложно сказать, есть ли тут малварь, либо это просто левые либы от чего-то.
<file path="C:\windows\system32\rtvcvfw64.dll" size="246272" links="1" ctime="28.09.2012 23:45:18.000" atime="28.09.2019 09:52:21.242" wtime="28.09.2012 23:45:18.000" buildtime="28.09.2012 23:45:17.000"> <attrib archive="true" value="20" /> <hash sha1="fae178bae65161fc77d9184ee487a0ca8df5298e" sha256="a126f29f665ba1b94392165cdcc6ffa0fdbfc330f5dde12dcaecd4c371b22681" /> <arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" /> </file> <file path="C:\windows\system32\wuaueng2.dll" size="2651648" links="1" ctime="05.06.2019 00:57:25.515" atime="05.06.2019 00:57:25.515" wtime="05.06.2019 00:57:25.515" buildtime="14.03.2018 20:53:37.000"> <attrib archive="true" value="20" /> <hash sha1="d6e6132e2bb3f1abf50434df07638db05a22caa1" sha256="a109e915864c25b02eb02cc7edc57bd616b1d53d57085c6623235fac2de295a8" /> <arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" /> <verinfo company="Microsoft Corporation" descr="Windows Update Agent" origname="wuaueng.dll" version="7.6.7601.24085 (win7sp1_ldr.180314-0600)" product_name="Microsoft® Windows® Operating System" product_version="7.6.7601.24085" file_version_num="7.6.7601.24085" product_version_num="7.6.7601.24085" /> </file> <file path="C:\Windows\SysWOW64\Branded.scr" size="8174592" links="1" ctime="05.06.2019 05:03:18.692" atime="05.06.2019 05:06:24.935" wtime="10.10.2011 10:00:00.000" buildtime="19.05.2006 05:13:29.000"> <attrib archive="true" value="20" /> <hash sha1="86276aa730467b78d9993c6a0653b5dfee37f40d" sha256="7601401ee34b4440a5b69d660f276025327b986647c8d929b15f6009ddbb46b3" /> <arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" /> <verinfo company="Microsoft Corporation" descr="Windows Energy Screen Saver" origname="ssBranded" version="6.0.5384.4 (winmain_beta2.060518-1455)" product_name="Microsoft® Windows® Operating System" product_version="6.0.5384.4" file_version_num="6.0.5384.4" product_version_num="6.0.5384.4" /> </file> <file path="C:\Windows\SysWOW64\Euphoria.scr" size="513024" links="1" ctime="05.06.2019 05:03:18.879" atime="05.06.2019 05:06:25.138" wtime="10.10.2011 10:00:00.000" buildtime="24.06.2010 08:17:06.000"> <attrib archive="true" value="20" /> <hash sha1="c7301237b4fed80fdd6b5664a46fbf3653e0acd7" sha256="18c5363e589729830cb83e6e4f2c6d14706be74f31fac830537ad9669407ae67" /> <arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" /> </file> <file path="C:\windows\oinstall.exe" size="10149360" links="1" ctime="28.09.2019 04:26:33.130" atime="28.09.2019 04:26:33.130" wtime="14.12.2018 12:39:08.568" buildtime="14.12.2018 12:38:35.000"> <attrib archive="true" value="20" /> <hash sha1="b8ffb78f56c9b35aa79bc8121c216669f99b0a75" sha256="ca991b9b7ccfb19218ec4d0b58cec38b9b373be5e4e35ad28946b54343132ca6" /> <arkstatus file="pe32" cert="root_not_trusted" cloud="unknown" type="unknown" /> <verinfo company="" descr="Office 2013-2016 C2R Install" origname="" version="" product_name="Office 2013-2016 C2R Install" product_version="" file_version_num="6.4.9.0" product_version_num="6.4.9.0" /> <certinfo timestamp="14.12.2018 12:39:04.000"> <item subject="CN=WZTeam" issuer="CN=WZTeam" thumbprint="648384a4dee53d4c1c87e10d67cc99307ccc9c98" sn="8ac1a3101349c28a4d33947cfcd07662" from="02.11.2016 22:47:06.000" to="01.01.2040 03:59:59.000" /> </certinfo> </file>
Смущает детект-диагностика на подмену тела на целую кучу процессов, это в системе что-то явно нестандартное.
<detects> <item object="EncoderServer.exe:2540" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2540\Device\HarddiskVolume1\MSI Afterburner\RivaTuner Statistics Server\EncoderServer.exe" id="b7a1268d5335ff14e30ccf481ed041fdd27c5a63" /> <item object="lsass.exe:652" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\652\Device\HarddiskVolume2\Windows\System32\lsass.exe" id="efd72f6cb0412c19f936e3d8c294be41b2e5c11f" /> <item object="RAVCpl64.exe:2596" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2596\Device\HarddiskVolume2\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" id="c0e3ae8d2386f6a464c953ea8d91556c47359d47" /> <item object="smss.exe:288" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\288\Device\HarddiskVolume2\Windows\System32\smss.exe" id="72b72ba971bcc0373817994772b9f87ce7fdbc33" /> <item object="svchost.exe:472" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\472\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="cb36c0d33d9e2365f5605af875293ac4890208cd" /> <item object="explorer.exe:2216" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2216\Device\HarddiskVolume2\Windows\explorer.exe" id="a36c63ef27b4b927d85353397eabbae42e98921b" /> <item object="svchost.exe:320" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\320\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="4a9f57c7c05c70ca157a13f271fd8936147c1821" /> <item object="wininit.exe:532" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\532\Device\HarddiskVolume2\Windows\System32\wininit.exe" id="d8c2688c2c0285a669140d4ac8585834189ec67e" /> <item object="NVDisplay.Container.exe:1176" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1176\Device\HarddiskVolume2\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" id="775624a31612010dc2368f2c12f285b707e66fab" /> <item object="winlogon.exe:624" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\624\Device\HarddiskVolume2\Windows\System32\winlogon.exe" id="47c61285d51acf10502be473389adf10b9fb1edb" /> <item object="RAVCpl64.exe:2596" threat="PROC:CERT.Grey" type="unknown_malware" path="\Process\2596\Device\HarddiskVolume2\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" id="ba04ac01385c7e8ab2b99e4502ae9d8a5409c236" /> <item object="services.exe:600" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\600\Device\HarddiskVolume2\Windows\System32\services.exe" id="133dc8db852e656f79124ca449c9b0c98b176c15" /> <item object="svchost.exe:168" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\168\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="04b01501aa86d5c85c975671484ee29f71313078" /> <item object="svchost.exe:1052" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1052\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="d6f8243c0569f15f4ade32ad693673d891cecaa4" /> <item object="lsm.exe:668" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\668\Device\HarddiskVolume2\Windows\System32\lsm.exe" id="42a0096b71e0ab7312e114306b9f1ef96a602c37" /> <item object="svchost.exe:764" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\764\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="a1a6bd50f4b2f45cddceaadbde6ab14cd29b5587" /> <item object="NVDisplay.Container.exe:824" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\824\Device\HarddiskVolume2\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" id="71c20bc15d9d4f206b849ae748b8dcd73e2cdf8a" /> <item object="wmpnetwk.exe:3056" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\3056\Device\HarddiskVolume2\Program Files\Windows Media Player\wmpnetwk.exe" id="4093bbe9a1d1095d920a7340f901e69f296a4e51" /> <item object="OriginWebHelperService.exe:1776" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1776\Device\HarddiskVolume2\Program Files (x86)\Origin\OriginWebHelperService.exe" id="8463b958f8abd6943a693261c33bb35157626964" /> <item object="svchost.exe:876" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\876\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="79db0a9677edd4e29c60c94daebbe79ac485a654" /> <item object="svchost.exe:1144" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1144\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="a02f8f95f6f649bf4504b435353775a47ac50f18" /> <item object="taskhost.exe:2044" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2044\Device\HarddiskVolume2\Windows\System32\taskhost.exe" id="7a20e5f569951775c763ac106b85c2ea782319fd" /> <item object="svchost.exe:980" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\980\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="2a4c4a037995e09f33bebc92813e6d8b18988978" /> <item object="spoolsv.exe:1448" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1448\Device\HarddiskVolume2\Windows\System32\spoolsv.exe" id="2e2c1b59c8749aae83dc03a509ac68c22b7273af" /> <item object="RTSSHooksLoader64.exe:2572" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2572\Device\HarddiskVolume1\MSI Afterburner\RivaTuner Statistics Server\RTSSHooksLoader64.exe" id="c7649123ac1e4759dd2cf95670eb611974602528" /> <item object="svchost.exe:1488" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1488\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="9ad0574f61c38fcb2d32697dd3f1166270dc48fc" /> <item object="OfficeClickToRun.exe:1640" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1640\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe" id="4d205d269f79d2da01b70254fa57d4e182a2d401" /> <item object="svchost.exe:1700" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1700\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="a6567920ca5c3a549980636d68eb1e4295413914" /> <item object="NvTelemetryContainer.exe:1744" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1744\Device\HarddiskVolume2\Program Files (x86)\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe" id="0d8c470385c60aca1fcc2874dd1d22faaba51988" /> <item object="RTSS.exe:1292" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1292\Device\HarddiskVolume1\MSI Afterburner\RivaTuner Statistics Server\RTSS.exe" id="ce74a04efe2bdab975a8e331326d99642d9ee766" /> <item object="taskeng.exe:2036" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2036\Device\HarddiskVolume2\Windows\System32\taskeng.exe" id="5fbdc4e4d42f18ba4e919e2ff0f179778e6ee395" /> <item object="dwm.exe:2200" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2200\Device\HarddiskVolume2\Windows\System32\dwm.exe" id="c4b3b0f24bb641a4bc39f5f7498f36fd9bb48f68" /> <item object="svchost.exe:1164" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1164\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="359d25a41b06f6dabf626d21b44665903b45054f" /> <item object="TrustedInstaller.exe:4532" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\4532\Device\HarddiskVolume2\Windows\servicing\TrustedInstaller.exe" data="C:\Users\аа\AppData\Local\Temp\dwsF3CA.exe " id="bbab2a2e09656405599182298301a7523c09bdeb" /> <item object="CommandLineTemplate" threat="WMI:SUSPICIOUS.Data" type="unknown_malware" path="\WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate" data="cscript KernCap.vbs" id="d1a1dc314166b80a99c7b13c6a593d7499c1680b" /> </detects>
Posted 29 September 2019 - 21:31
Куча непонятных либ сомнительной репутации, скринсейверы, активаторы. Сложно сказать, есть ли тут малварь, либо это просто левые либы от чего-то.
Отправить на исследование?
Posted 04 October 2019 - 03:37
Так как поступить?
Posted 04 October 2019 - 09:30
Вышлите на анализ, посмотрим.
Posted 05 October 2019 - 02:52
Branded --#8877024
OInstall -- #8877026
Euphoria -- #8877027
rtvcvfw64 -- #8877028
wuaueng2 -- #8877030
детект-диагностика на подмену тела на целую кучу процессов
Это тоже всё рекомендуется выслать?
Posted 10 October 2019 - 14:48
Что с моими файлами?
Posted 11 October 2019 - 17:43
Чисто.
Posted 12 October 2019 - 02:49
А что делать с подменой тела?
Posted 15 October 2019 - 20:09
Нашли зацепку. Нужен полный дамп (Full dump) памяти системы.
Как его сделать: https://forum.drweb.com/index.php?showtopic=327797#entry830484 (см. "Как выполнить "ручной" BSOD")
Дамп будет лежать в C:\Windows\MEMORY.DMP. Его пожать в архив и выложить куда-нибудь на облако, ссылку в личку.
Edited by RomaNNN, 15 October 2019 - 20:14.
Posted 16 October 2019 - 01:41
Обновил отчёты, т. к. устанавливались дополнительные программы.
https://cloud.mail.ru/public/5NWG/5j3BNaoLe
Posted 28 October 2019 - 10:24
Сколько примерно времени нужно для анализа дампа?
Posted 28 October 2019 - 23:54
Как только, так сразуСколько примерно времени нужно для анализа дампа?
Edited by RomaNNN, 28 October 2019 - 23:59.
Posted 29 October 2019 - 01:56
Имеете в виду, собрать отчёт другой утилитой? Собрал вроде.https://cloud.mail.ru/public/H1rF/27hFA4sCc
Posted 29 October 2019 - 04:16
Хотя зачем? Посмотрел адреса, они же ведь скачиваются из одного источника.
Posted 29 October 2019 - 10:16
Posted 29 October 2019 - 10:40
Всё равно не понятно, как по одной и той же ссылке могут скачиваться разные версии утилит.
Posted 29 October 2019 - 10:58
Разные - никак. Ссылка ведет на хранилище с файлом, файл скачивался старый, его обновили, теперь скачивается новыйВсё равно не понятно, как по одной и той же ссылке могут скачиваться разные версии утилит.
Posted 29 October 2019 - 11:01
А, понял!
0 members, 1 guests, 0 anonymous users