Здравствуйте!
Небольшая предыстория: Запустился процесс обновления браузера Опера (он через брандмауэр в сеть просится), а через пару минут браузер не смог запуститься. Завис диспетчер задач, область рабочего стола так же перестала реагировать и через меню пуска было включено Завершение системы, которое, провисев минут 10, так и не выключило пк, что абсолютно для него не характерно. Пришлось ускорить процесс, зажав кнопку включения на системном блоке. После успешного запуска системы на всякий случай был запущен сканер Dr Web, который где-то в 16:10-16:20 нашел угрозу DPH: Process.Hollowing.EP, которую не смог вылечить. Через пару часов вновь был запущен сканер, который в результате полной проверки угрозы уже не нашел.
Вопрос: стоит ли ожидать возвращения этого перфоманса, или это была разовая акция? Быть может надо что-то подчистить в пк, или залатать какие-нибудь дыры, поскольку мне неизвестно, чем был занят этот процесс пока гостил в моей системе и как он сюда вообще попал без приглашения.
Надеюсь на вашу помощь, ссылку на логи (надеюсь, я правильно их сделала) прикрепляю ниже.
https://disk.yandex.by/d/Dz2btJp35uUVBA
Ошибка лечения
-
Тема закрыта
#1
-
- Posters
- 7 Сообщений:
Newbie
Отправлено 03 Июнь 2025 - 20:30
#2
-
- Helpers
- 3 364 Сообщений:
Poster
Отправлено 03 Июнь 2025 - 20:30
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
#3
-
- Posters
- 2 132 Сообщений:
Foreign Doctor
Отправлено 03 Июнь 2025 - 20:40
Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
- Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
- Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
- Нажмите кнопку Scan (Сканировать).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
Сообщение было изменено Alexander007: 03 Июнь 2025 - 20:41
Global Malware Hunting.
#5
-
- Posters
- 2 132 Сообщений:
Foreign Doctor
Отправлено 03 Июнь 2025 - 21:14
Мне интересно , залейте пожалуйста VirusTotal , пришлите три ссылки .
"C:\Program Files\AntiCheatExpert\SGuard\x64\SGuardSvc64.exe"
"C:\Users\User\AppData\Local\Temp\ActiveAnticheat\1223571\active64.sys"
"C:\Program Files (x86)\Bloody7\Bloody7\Data\Mouse\Forms\Internet_Advertisement\Internet_Advertisement_DLL.dll"
Отключите антивирус Dr.Web на время :
Global Malware Hunting.
#6
-
- Posters
- 7 Сообщений:
Newbie
Отправлено 03 Июнь 2025 - 21:22
Первые два файла(даже папок с ними) через проводник найти не получилось, отображение скрытых файлов включено, а вот ссылка на третий https://www.virustotal.com/gui/file/ef95a4d41200033d8e4b56978a30701539df26746ac95d015f60ba4eb1e55388
Сейчас займусь второй частью сообщения
#7
-
- Posters
- 7 Сообщений:
Newbie
#8
-
- Posters
- 2 132 Сообщений:
Foreign Doctor
Отправлено 03 Июнь 2025 - 21:28
Global Malware Hunting.
#9
-
- Posters
- 7 Сообщений:
Newbie
#10
-
- Posters
- 2 132 Сообщений:
Foreign Doctor
Отправлено 03 Июнь 2025 - 21:34
Что в итоги? Проблема решено?
Сообщение было изменено Alexander007: 03 Июнь 2025 - 21:36
Global Malware Hunting.
#11
-
- Posters
- 7 Сообщений:
Newbie
Отправлено 03 Июнь 2025 - 21:37
Не совсем вас поняла, что-то должно было произойти? Угроза из темы, которая сегодня вылезла в сканере, сама же там перестала появляться. Я хотела узнать, остались ли какие-нибудь возможности для ее возвращения, которые от меня скрыты
#12
-
- Posters
- 2 132 Сообщений:
Foreign Doctor
Отправлено 03 Июнь 2025 - 21:47
Не совсем вас поняла, что-то должно было произойти? Угроза из темы, которая сегодня вылезла в сканере, сама же там перестала появляться. Я хотела узнать, остались ли какие-нибудь возможности для ее возвращения, которые от меня скрыты
Это были какие-то временные Альтернативные потоки данных , она уже удалена . В, этом может причина , он пропал .
Подветем итоги , что обнаружено .
1)D:\Games\The Sims Medieval\The Sims Medieval\Game\Bin\TSM.exe - https://www.virustotal.com/gui/file/c846744a0686db2e818e790e990e84e762bcf6e2847f1edbc5e8898f9b10111c- как Hacktool , возможное крякнутое файлы - не опасное . Вы принимаете решение , оставить его файлы или удалить .
=============================================================
2) "C:\Program Files (x86)\Bloody7\Bloody7\Data\Mouse\Forms\Internet_Advertisement\Internet_Advertisement_DLL.dll". - https://www.virustotal.com/gui/file/ef95a4d41200033d8e4b56978a30701539df26746ac95d015f60ba4eb1e55388
Эта может быть программа для мышки .
Насчет DPH: Process.Hollowing.EP - больше не возникает?
Сообщение было изменено Alexander007: 03 Июнь 2025 - 21:49
Global Malware Hunting.
#13
-
- Posters
- 7 Сообщений:
Newbie
Отправлено 03 Июнь 2025 - 21:53
Это были какие-то временные Альтернативные потоки данных , она уже удалена . В, этом может причина , он пропал .
Да, я что-то такое и предполагала.
В, целом Я не вижу криминальных .
Хорошо, я тогда спокойна.
Большое спасибо вам за уделенное мне время, благодарю за помощь!
#14
-
- Posters
- 2 132 Сообщений:
Foreign Doctor
Отправлено 03 Июнь 2025 - 21:55
Желаю здоровья ! Чтобы У, Вас были все хорошо .
Тему закрываем...
Сообщение было изменено Alexander007: 03 Июнь 2025 - 21:55
Global Malware Hunting.
