Перейти к содержимому


Фото
- - - - -

Проверьте ОС (Windows 7).


  • Закрыто Тема закрыта
37 ответов в этой теме

#1 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 29 Сентябрь 2019 - 02:10

Аналогично: есть ли в системе вирусы, и особенно кейлоггеры?

https://cloud.mail.ru/public/QUwr/3hcNLK7y7

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 29 Сентябрь 2019 - 02:10

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 29 Сентябрь 2019 - 16:59

Куча непонятных либ сомнительной репутации, скринсейверы, активаторы. Сложно сказать, есть ли тут малварь, либо это просто левые либы от чего-то.

<file path="C:\windows\system32\rtvcvfw64.dll" size="246272" links="1" ctime="28.09.2012 23:45:18.000" atime="28.09.2019 09:52:21.242" wtime="28.09.2012 23:45:18.000" buildtime="28.09.2012 23:45:17.000">
        <attrib archive="true" value="20" />
        <hash sha1="fae178bae65161fc77d9184ee487a0ca8df5298e" sha256="a126f29f665ba1b94392165cdcc6ffa0fdbfc330f5dde12dcaecd4c371b22681" />
        <arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" />
    </file>

<file path="C:\windows\system32\wuaueng2.dll" size="2651648" links="1" ctime="05.06.2019 00:57:25.515" atime="05.06.2019 00:57:25.515" wtime="05.06.2019 00:57:25.515" buildtime="14.03.2018 20:53:37.000">
        <attrib archive="true" value="20" />
        <hash sha1="d6e6132e2bb3f1abf50434df07638db05a22caa1" sha256="a109e915864c25b02eb02cc7edc57bd616b1d53d57085c6623235fac2de295a8" />
        <arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" />
        <verinfo company="Microsoft Corporation" descr="Windows Update Agent" origname="wuaueng.dll" version="7.6.7601.24085 (win7sp1_ldr.180314-0600)" product_name="Microsoft® Windows® Operating System" product_version="7.6.7601.24085" file_version_num="7.6.7601.24085" product_version_num="7.6.7601.24085" />
    </file>

<file path="C:\Windows\SysWOW64\Branded.scr" size="8174592" links="1" ctime="05.06.2019 05:03:18.692" atime="05.06.2019 05:06:24.935" wtime="10.10.2011 10:00:00.000" buildtime="19.05.2006 05:13:29.000">
        <attrib archive="true" value="20" />
        <hash sha1="86276aa730467b78d9993c6a0653b5dfee37f40d" sha256="7601401ee34b4440a5b69d660f276025327b986647c8d929b15f6009ddbb46b3" />
        <arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
        <verinfo company="Microsoft Corporation" descr="Windows Energy Screen Saver" origname="ssBranded" version="6.0.5384.4 (winmain_beta2.060518-1455)" product_name="Microsoft® Windows® Operating System" product_version="6.0.5384.4" file_version_num="6.0.5384.4" product_version_num="6.0.5384.4" />
    </file>

<file path="C:\Windows\SysWOW64\Euphoria.scr" size="513024" links="1" ctime="05.06.2019 05:03:18.879" atime="05.06.2019 05:06:25.138" wtime="10.10.2011 10:00:00.000" buildtime="24.06.2010 08:17:06.000">
        <attrib archive="true" value="20" />
        <hash sha1="c7301237b4fed80fdd6b5664a46fbf3653e0acd7" sha256="18c5363e589729830cb83e6e4f2c6d14706be74f31fac830537ad9669407ae67" />
        <arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
    </file>

<file path="C:\windows\oinstall.exe" size="10149360" links="1" ctime="28.09.2019 04:26:33.130" atime="28.09.2019 04:26:33.130" wtime="14.12.2018 12:39:08.568" buildtime="14.12.2018 12:38:35.000">
        <attrib archive="true" value="20" />
        <hash sha1="b8ffb78f56c9b35aa79bc8121c216669f99b0a75" sha256="ca991b9b7ccfb19218ec4d0b58cec38b9b373be5e4e35ad28946b54343132ca6" />
        <arkstatus file="pe32" cert="root_not_trusted" cloud="unknown" type="unknown" />
        <verinfo company="" descr="Office 2013-2016 C2R Install" origname="" version="" product_name="Office 2013-2016 C2R Install" product_version="" file_version_num="6.4.9.0" product_version_num="6.4.9.0" />
        <certinfo timestamp="14.12.2018 12:39:04.000">
            <item subject="CN=WZTeam" issuer="CN=WZTeam" thumbprint="648384a4dee53d4c1c87e10d67cc99307ccc9c98" sn="8ac1a3101349c28a4d33947cfcd07662" from="02.11.2016 22:47:06.000" to="01.01.2040 03:59:59.000" />
        </certinfo>
    </file>

Смущает детект-диагностика на подмену тела на целую кучу процессов, это в системе что-то явно нестандартное.

<detects>
        <item object="EncoderServer.exe:2540" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2540\Device\HarddiskVolume1\MSI Afterburner\RivaTuner Statistics Server\EncoderServer.exe" id="b7a1268d5335ff14e30ccf481ed041fdd27c5a63" />
        <item object="lsass.exe:652" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\652\Device\HarddiskVolume2\Windows\System32\lsass.exe" id="efd72f6cb0412c19f936e3d8c294be41b2e5c11f" />
        <item object="RAVCpl64.exe:2596" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2596\Device\HarddiskVolume2\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" id="c0e3ae8d2386f6a464c953ea8d91556c47359d47" />
        <item object="smss.exe:288" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\288\Device\HarddiskVolume2\Windows\System32\smss.exe" id="72b72ba971bcc0373817994772b9f87ce7fdbc33" />
        <item object="svchost.exe:472" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\472\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="cb36c0d33d9e2365f5605af875293ac4890208cd" />
        <item object="explorer.exe:2216" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2216\Device\HarddiskVolume2\Windows\explorer.exe" id="a36c63ef27b4b927d85353397eabbae42e98921b" />
        <item object="svchost.exe:320" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\320\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="4a9f57c7c05c70ca157a13f271fd8936147c1821" />
        <item object="wininit.exe:532" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\532\Device\HarddiskVolume2\Windows\System32\wininit.exe" id="d8c2688c2c0285a669140d4ac8585834189ec67e" />
        <item object="NVDisplay.Container.exe:1176" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1176\Device\HarddiskVolume2\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" id="775624a31612010dc2368f2c12f285b707e66fab" />
        <item object="winlogon.exe:624" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\624\Device\HarddiskVolume2\Windows\System32\winlogon.exe" id="47c61285d51acf10502be473389adf10b9fb1edb" />
        <item object="RAVCpl64.exe:2596" threat="PROC:CERT.Grey" type="unknown_malware" path="\Process\2596\Device\HarddiskVolume2\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" id="ba04ac01385c7e8ab2b99e4502ae9d8a5409c236" />
        <item object="services.exe:600" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\600\Device\HarddiskVolume2\Windows\System32\services.exe" id="133dc8db852e656f79124ca449c9b0c98b176c15" />
        <item object="svchost.exe:168" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\168\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="04b01501aa86d5c85c975671484ee29f71313078" />
        <item object="svchost.exe:1052" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1052\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="d6f8243c0569f15f4ade32ad693673d891cecaa4" />
        <item object="lsm.exe:668" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\668\Device\HarddiskVolume2\Windows\System32\lsm.exe" id="42a0096b71e0ab7312e114306b9f1ef96a602c37" />
        <item object="svchost.exe:764" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\764\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="a1a6bd50f4b2f45cddceaadbde6ab14cd29b5587" />
        <item object="NVDisplay.Container.exe:824" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\824\Device\HarddiskVolume2\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" id="71c20bc15d9d4f206b849ae748b8dcd73e2cdf8a" />
        <item object="wmpnetwk.exe:3056" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\3056\Device\HarddiskVolume2\Program Files\Windows Media Player\wmpnetwk.exe" id="4093bbe9a1d1095d920a7340f901e69f296a4e51" />
        <item object="OriginWebHelperService.exe:1776" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1776\Device\HarddiskVolume2\Program Files (x86)\Origin\OriginWebHelperService.exe" id="8463b958f8abd6943a693261c33bb35157626964" />
        <item object="svchost.exe:876" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\876\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="79db0a9677edd4e29c60c94daebbe79ac485a654" />
        <item object="svchost.exe:1144" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1144\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="a02f8f95f6f649bf4504b435353775a47ac50f18" />
        <item object="taskhost.exe:2044" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2044\Device\HarddiskVolume2\Windows\System32\taskhost.exe" id="7a20e5f569951775c763ac106b85c2ea782319fd" />
        <item object="svchost.exe:980" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\980\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="2a4c4a037995e09f33bebc92813e6d8b18988978" />
        <item object="spoolsv.exe:1448" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1448\Device\HarddiskVolume2\Windows\System32\spoolsv.exe" id="2e2c1b59c8749aae83dc03a509ac68c22b7273af" />
        <item object="RTSSHooksLoader64.exe:2572" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2572\Device\HarddiskVolume1\MSI Afterburner\RivaTuner Statistics Server\RTSSHooksLoader64.exe" id="c7649123ac1e4759dd2cf95670eb611974602528" />
        <item object="svchost.exe:1488" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1488\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="9ad0574f61c38fcb2d32697dd3f1166270dc48fc" />
        <item object="OfficeClickToRun.exe:1640" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1640\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe" id="4d205d269f79d2da01b70254fa57d4e182a2d401" />
        <item object="svchost.exe:1700" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1700\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="a6567920ca5c3a549980636d68eb1e4295413914" />
        <item object="NvTelemetryContainer.exe:1744" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1744\Device\HarddiskVolume2\Program Files (x86)\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe" id="0d8c470385c60aca1fcc2874dd1d22faaba51988" />
        <item object="RTSS.exe:1292" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1292\Device\HarddiskVolume1\MSI Afterburner\RivaTuner Statistics Server\RTSS.exe" id="ce74a04efe2bdab975a8e331326d99642d9ee766" />
        <item object="taskeng.exe:2036" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2036\Device\HarddiskVolume2\Windows\System32\taskeng.exe" id="5fbdc4e4d42f18ba4e919e2ff0f179778e6ee395" />
        <item object="dwm.exe:2200" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\2200\Device\HarddiskVolume2\Windows\System32\dwm.exe" id="c4b3b0f24bb641a4bc39f5f7498f36fd9bb48f68" />
        <item object="svchost.exe:1164" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\1164\Device\HarddiskVolume2\Windows\System32\svchost.exe" id="359d25a41b06f6dabf626d21b44665903b45054f" />
        <item object="TrustedInstaller.exe:4532" threat="PROC:HollowedProcess.EP" type="unknown_malware" path="\Process\4532\Device\HarddiskVolume2\Windows\servicing\TrustedInstaller.exe" data="C:\Users\аа\AppData\Local\Temp\dwsF3CA.exe " id="bbab2a2e09656405599182298301a7523c09bdeb" />
        <item object="CommandLineTemplate" threat="WMI:SUSPICIOUS.Data" type="unknown_malware" path="\WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate" data="cscript KernCap.vbs" id="d1a1dc314166b80a99c7b13c6a593d7499c1680b" />
    </detects>

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 29 Сентябрь 2019 - 21:31

Куча непонятных либ сомнительной репутации, скринсейверы, активаторы. Сложно сказать, есть ли тут малварь, либо это просто левые либы от чего-то.

Отправить на исследование?



#5 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 04 Октябрь 2019 - 03:37

Так как поступить?



#6 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 04 Октябрь 2019 - 09:30

Вышлите на анализ, посмотрим.



#7 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 05 Октябрь 2019 - 02:52

Branded --#8877024

OInstall --  #8877026

Euphoria -- #8877027

rtvcvfw64 -- #8877028

wuaueng2 -- #8877030

 

детект-диагностика на подмену тела на целую кучу процессов

Это тоже всё рекомендуется выслать?



#8 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 10 Октябрь 2019 - 14:48

Что с моими файлами?



#9 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 11 Октябрь 2019 - 17:43

Чисто.



#10 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 12 Октябрь 2019 - 02:49

А что делать с подменой тела?



#11 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 15 Октябрь 2019 - 20:09

Нашли зацепку. Нужен полный дамп (Full dump) памяти системы.

 

Как его сделать: https://forum.drweb.com/index.php?showtopic=327797#entry830484 (см. "Как выполнить "ручной" BSOD")

 

Дамп будет лежать в C:\Windows\MEMORY.DMP. Его пожать в архив и выложить куда-нибудь на облако, ссылку в личку.


Сообщение было изменено RomaNNN: 15 Октябрь 2019 - 20:14

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#12 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 16 Октябрь 2019 - 01:41

Обновил отчёты, т.  к. устанавливались дополнительные программы.

https://cloud.mail.ru/public/5NWG/5j3BNaoLe

Прикрепленные файлы:



#13 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 28 Октябрь 2019 - 10:24

Сколько примерно времени нужно для анализа дампа?



#14 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 28 Октябрь 2019 - 23:54

Сколько примерно времени нужно для анализа дампа?

Как только, так сразу :)

Попробуйте пока попробовать с последней сброкой сисинфо (по ссылке из ответа робота). Там были некоторые доработки, которые могли повлиять.

Сообщение было изменено RomaNNN: 28 Октябрь 2019 - 23:59

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#15 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 29 Октябрь 2019 - 01:56

Имеете в виду, собрать отчёт другой утилитой? Собрал вроде.https://cloud.mail.ru/public/H1rF/27hFA4sCc



#16 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 29 Октябрь 2019 - 04:16

Хотя зачем? Посмотрел адреса, они же ведь скачиваются из одного источника.



#17 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 29 Октябрь 2019 - 10:16

Да, но утилита по ссылке обновляется постоянно, на той неделе 6 раз обновлял. Там практически реалтайм как только что то новое придумываем, чиним или малварь какая то появляется.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#18 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 29 Октябрь 2019 - 10:40

Всё равно не понятно, как по одной и той же ссылке могут скачиваться разные версии утилит.



#19 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 29 Октябрь 2019 - 10:58

Всё равно не понятно, как по одной и той же ссылке могут скачиваться разные версии утилит.

Разные - никак. Ссылка ведет на хранилище с файлом, файл скачивался старый, его обновили, теперь скачивается новый :)
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#20 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 29 Октябрь 2019 - 11:01

А, понял!




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых