Аналогично: есть ли в системе вирусы, и особенно кейлоггеры?
https://cloud.mail.ru/public/QUwr/3hcNLK7y7
Отправлено 29 Сентябрь 2019 - 02:10
Аналогично: есть ли в системе вирусы, и особенно кейлоггеры?
https://cloud.mail.ru/public/QUwr/3hcNLK7y7
Отправлено 29 Сентябрь 2019 - 02:10
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
Отправлено 29 Сентябрь 2019 - 16:59
Куча непонятных либ сомнительной репутации, скринсейверы, активаторы. Сложно сказать, есть ли тут малварь, либо это просто левые либы от чего-то.
<file path="C:\windows\system32\rtvcvfw64.dll" size="246272" links="1" ctime="28.09.2012 23:45:18.000" atime="28.09.2019 09:52:21.242" wtime="28.09.2012 23:45:18.000" buildtime="28.09.2012 23:45:17.000"> <attrib archive="true" value="20" /> <hash sha1="fae178bae65161fc77d9184ee487a0ca8df5298e" sha256="a126f29f665ba1b94392165cdcc6ffa0fdbfc330f5dde12dcaecd4c371b22681" /> <arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" /> </file> <file path="C:\windows\system32\wuaueng2.dll" size="2651648" links="1" ctime="05.06.2019 00:57:25.515" atime="05.06.2019 00:57:25.515" wtime="05.06.2019 00:57:25.515" buildtime="14.03.2018 20:53:37.000"> <attrib archive="true" value="20" /> <hash sha1="d6e6132e2bb3f1abf50434df07638db05a22caa1" sha256="a109e915864c25b02eb02cc7edc57bd616b1d53d57085c6623235fac2de295a8" /> <arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" /> <verinfo company="Microsoft Corporation" descr="Windows Update Agent" origname="wuaueng.dll" version="7.6.7601.24085 (win7sp1_ldr.180314-0600)" product_name="Microsoft® Windows® Operating System" product_version="7.6.7601.24085" file_version_num="7.6.7601.24085" product_version_num="7.6.7601.24085" /> </file> <file path="C:\Windows\SysWOW64\Branded.scr" size="8174592" links="1" ctime="05.06.2019 05:03:18.692" atime="05.06.2019 05:06:24.935" wtime="10.10.2011 10:00:00.000" buildtime="19.05.2006 05:13:29.000"> <attrib archive="true" value="20" /> <hash sha1="86276aa730467b78d9993c6a0653b5dfee37f40d" sha256="7601401ee34b4440a5b69d660f276025327b986647c8d929b15f6009ddbb46b3" /> <arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" /> <verinfo company="Microsoft Corporation" descr="Windows Energy Screen Saver" origname="ssBranded" version="6.0.5384.4 (winmain_beta2.060518-1455)" product_name="Microsoft® Windows® Operating System" product_version="6.0.5384.4" file_version_num="6.0.5384.4" product_version_num="6.0.5384.4" /> </file> <file path="C:\Windows\SysWOW64\Euphoria.scr" size="513024" links="1" ctime="05.06.2019 05:03:18.879" atime="05.06.2019 05:06:25.138" wtime="10.10.2011 10:00:00.000" buildtime="24.06.2010 08:17:06.000"> <attrib archive="true" value="20" /> <hash sha1="c7301237b4fed80fdd6b5664a46fbf3653e0acd7" sha256="18c5363e589729830cb83e6e4f2c6d14706be74f31fac830537ad9669407ae67" /> <arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" /> </file> <file path="C:\windows\oinstall.exe" size="10149360" links="1" ctime="28.09.2019 04:26:33.130" atime="28.09.2019 04:26:33.130" wtime="14.12.2018 12:39:08.568" buildtime="14.12.2018 12:38:35.000"> <attrib archive="true" value="20" /> <hash sha1="b8ffb78f56c9b35aa79bc8121c216669f99b0a75" sha256="ca991b9b7ccfb19218ec4d0b58cec38b9b373be5e4e35ad28946b54343132ca6" /> <arkstatus file="pe32" cert="root_not_trusted" cloud="unknown" type="unknown" /> <verinfo company="" descr="Office 2013-2016 C2R Install" origname="" version="" product_name="Office 2013-2016 C2R Install" product_version="" file_version_num="6.4.9.0" product_version_num="6.4.9.0" /> <certinfo timestamp="14.12.2018 12:39:04.000"> <item subject="CN=WZTeam" issuer="CN=WZTeam" thumbprint="648384a4dee53d4c1c87e10d67cc99307ccc9c98" sn="8ac1a3101349c28a4d33947cfcd07662" from="02.11.2016 22:47:06.000" to="01.01.2040 03:59:59.000" /> </certinfo> </file>
Смущает детект-диагностика на подмену тела на целую кучу процессов, это в системе что-то явно нестандартное.
<detects> <item object="EncoderServer.exe:2540" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2540\Device\HarddiskVolume1\MSI Afterburner\RivaTuner Statistics Server\EncoderServer.exe" id="b7a1268d5335ff14e30ccf481ed041fdd27c5a63" /> <item object="lsass.exe:652" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\652\Device\HarddiskVolume2\Windows\System32\lsass.exe" id="efd72f6cb0412c19f936e3d8c294be41b2e5c11f" /> <item object="RAVCpl64.exe:2596" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2596\Device\HarddiskVolume2\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" id="c0e3ae8d2386f6a464c953ea8d91556c47359d47" /> <item object="smss.exe:288" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\288\Device\HarddiskVolume2\Windows\System32\smss.exe" id="72b72ba971bcc0373817994772b9f87ce7fdbc33" /> <item object="svchost.exe:472" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\472\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="cb36c0d33d9e2365f5605af875293ac4890208cd" /> <item object="explorer.exe:2216" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2216\Device\HarddiskVolume2\Windows\explorer.exe" id="a36c63ef27b4b927d85353397eabbae42e98921b" /> <item object="svchost.exe:320" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\320\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="4a9f57c7c05c70ca157a13f271fd8936147c1821" /> <item object="wininit.exe:532" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\532\Device\HarddiskVolume2\Windows\System32\wininit.exe" id="d8c2688c2c0285a669140d4ac8585834189ec67e" /> <item object="NVDisplay.Container.exe:1176" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1176\Device\HarddiskVolume2\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" id="775624a31612010dc2368f2c12f285b707e66fab" /> <item object="winlogon.exe:624" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\624\Device\HarddiskVolume2\Windows\System32\winlogon.exe" id="47c61285d51acf10502be473389adf10b9fb1edb" /> <item object="RAVCpl64.exe:2596" threat="PROC:CERT.Grey" type="unknown_malware" path="\Process\2596\Device\HarddiskVolume2\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" id="ba04ac01385c7e8ab2b99e4502ae9d8a5409c236" /> <item object="services.exe:600" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\600\Device\HarddiskVolume2\Windows\System32\services.exe" id="133dc8db852e656f79124ca449c9b0c98b176c15" /> <item object="svchost.exe:168" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\168\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="04b01501aa86d5c85c975671484ee29f71313078" /> <item object="svchost.exe:1052" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1052\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="d6f8243c0569f15f4ade32ad693673d891cecaa4" /> <item object="lsm.exe:668" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\668\Device\HarddiskVolume2\Windows\System32\lsm.exe" id="42a0096b71e0ab7312e114306b9f1ef96a602c37" /> <item object="svchost.exe:764" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\764\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="a1a6bd50f4b2f45cddceaadbde6ab14cd29b5587" /> <item object="NVDisplay.Container.exe:824" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\824\Device\HarddiskVolume2\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" id="71c20bc15d9d4f206b849ae748b8dcd73e2cdf8a" /> <item object="wmpnetwk.exe:3056" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\3056\Device\HarddiskVolume2\Program Files\Windows Media Player\wmpnetwk.exe" id="4093bbe9a1d1095d920a7340f901e69f296a4e51" /> <item object="OriginWebHelperService.exe:1776" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1776\Device\HarddiskVolume2\Program Files (x86)\Origin\OriginWebHelperService.exe" id="8463b958f8abd6943a693261c33bb35157626964" /> <item object="svchost.exe:876" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\876\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="79db0a9677edd4e29c60c94daebbe79ac485a654" /> <item object="svchost.exe:1144" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1144\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="a02f8f95f6f649bf4504b435353775a47ac50f18" /> <item object="taskhost.exe:2044" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2044\Device\HarddiskVolume2\Windows\System32\taskhost.exe" id="7a20e5f569951775c763ac106b85c2ea782319fd" /> <item object="svchost.exe:980" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\980\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="2a4c4a037995e09f33bebc92813e6d8b18988978" /> <item object="spoolsv.exe:1448" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1448\Device\HarddiskVolume2\Windows\System32\spoolsv.exe" id="2e2c1b59c8749aae83dc03a509ac68c22b7273af" /> <item object="RTSSHooksLoader64.exe:2572" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2572\Device\HarddiskVolume1\MSI Afterburner\RivaTuner Statistics Server\RTSSHooksLoader64.exe" id="c7649123ac1e4759dd2cf95670eb611974602528" /> <item object="svchost.exe:1488" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1488\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="9ad0574f61c38fcb2d32697dd3f1166270dc48fc" /> <item object="OfficeClickToRun.exe:1640" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1640\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe" id="4d205d269f79d2da01b70254fa57d4e182a2d401" /> <item object="svchost.exe:1700" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1700\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="a6567920ca5c3a549980636d68eb1e4295413914" /> <item object="NvTelemetryContainer.exe:1744" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1744\Device\HarddiskVolume2\Program Files (x86)\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe" id="0d8c470385c60aca1fcc2874dd1d22faaba51988" /> <item object="RTSS.exe:1292" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1292\Device\HarddiskVolume1\MSI Afterburner\RivaTuner Statistics Server\RTSS.exe" id="ce74a04efe2bdab975a8e331326d99642d9ee766" /> <item object="taskeng.exe:2036" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2036\Device\HarddiskVolume2\Windows\System32\taskeng.exe" id="5fbdc4e4d42f18ba4e919e2ff0f179778e6ee395" /> <item object="dwm.exe:2200" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2200\Device\HarddiskVolume2\Windows\System32\dwm.exe" id="c4b3b0f24bb641a4bc39f5f7498f36fd9bb48f68" /> <item object="svchost.exe:1164" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1164\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="359d25a41b06f6dabf626d21b44665903b45054f" /> <item object="TrustedInstaller.exe:4532" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\4532\Device\HarddiskVolume2\Windows\servicing\TrustedInstaller.exe" data="C:\Users\аа\AppData\Local\Temp\dwsF3CA.exe " id="bbab2a2e09656405599182298301a7523c09bdeb" /> <item object="CommandLineTemplate" threat="WMI:SUSPICIOUS.Data" type="unknown_malware" path="\WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate" data="cscript KernCap.vbs" id="d1a1dc314166b80a99c7b13c6a593d7499c1680b" /> </detects>
Отправлено 29 Сентябрь 2019 - 21:31
Куча непонятных либ сомнительной репутации, скринсейверы, активаторы. Сложно сказать, есть ли тут малварь, либо это просто левые либы от чего-то.
Отправить на исследование?
Отправлено 04 Октябрь 2019 - 03:37
Так как поступить?
Отправлено 04 Октябрь 2019 - 09:30
Вышлите на анализ, посмотрим.
Отправлено 05 Октябрь 2019 - 02:52
Branded --#8877024
OInstall -- #8877026
Euphoria -- #8877027
rtvcvfw64 -- #8877028
wuaueng2 -- #8877030
детект-диагностика на подмену тела на целую кучу процессов
Это тоже всё рекомендуется выслать?
Отправлено 10 Октябрь 2019 - 14:48
Что с моими файлами?
Отправлено 11 Октябрь 2019 - 17:43
Чисто.
Отправлено 12 Октябрь 2019 - 02:49
А что делать с подменой тела?
Отправлено 15 Октябрь 2019 - 20:09
Нашли зацепку. Нужен полный дамп (Full dump) памяти системы.
Как его сделать: https://forum.drweb.com/index.php?showtopic=327797#entry830484 (см. "Как выполнить "ручной" BSOD")
Дамп будет лежать в C:\Windows\MEMORY.DMP. Его пожать в архив и выложить куда-нибудь на облако, ссылку в личку.
Сообщение было изменено RomaNNN: 15 Октябрь 2019 - 20:14
Отправлено 16 Октябрь 2019 - 01:41
Обновил отчёты, т. к. устанавливались дополнительные программы.
https://cloud.mail.ru/public/5NWG/5j3BNaoLe
Отправлено 28 Октябрь 2019 - 10:24
Сколько примерно времени нужно для анализа дампа?
Отправлено 28 Октябрь 2019 - 23:54
Как только, так сразуСколько примерно времени нужно для анализа дампа?
Сообщение было изменено RomaNNN: 28 Октябрь 2019 - 23:59
Отправлено 29 Октябрь 2019 - 01:56
Имеете в виду, собрать отчёт другой утилитой? Собрал вроде.https://cloud.mail.ru/public/H1rF/27hFA4sCc
Отправлено 29 Октябрь 2019 - 04:16
Хотя зачем? Посмотрел адреса, они же ведь скачиваются из одного источника.
Отправлено 29 Октябрь 2019 - 10:16
Отправлено 29 Октябрь 2019 - 10:40
Всё равно не понятно, как по одной и той же ссылке могут скачиваться разные версии утилит.
Отправлено 29 Октябрь 2019 - 10:58
Разные - никак. Ссылка ведет на хранилище с файлом, файл скачивался старый, его обновили, теперь скачивается новыйВсё равно не понятно, как по одной и той же ссылке могут скачиваться разные версии утилит.
Отправлено 29 Октябрь 2019 - 11:01
А, понял!
0 пользователей, 0 гостей, 0 скрытых