Перейти к содержимому


Фото
- - - - -

50 угроз при закрытии Firefox

Автор ЛСергей , дек 11 2024 00:07

  • Please log in to reply
11 ответов в этой теме

#1 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 093 Сообщений:

Отправлено 11 Декабрь 2024 - 00:07

При попытке зарыть FF выскочило сообщение: обнаружено 50 угроз в FF.

Файл details-20241210_225214.csv содержит 50 одинаковых строк.

Открыл повторно FF и закрыл Др.ВЕБ молчит.

Виндоус 10, FF 133.0.3, Др.ВЕБ обновляется регулярно.

Виндоус сегодня обновился

December 10, 2024—KB5048652 (OS Builds 19044.5247 and 19045.5247)

Сканер ничего не нашел.

Ложное срабатывание?

Прикрепленные файлы:


Сообщение было изменено ЛСергей: 11 Декабрь 2024 - 00:10

#2 Alexander007

Alexander007

    Foreign Doctor

  • Posters
  • 2 060 Сообщений:

Отправлено 11 Декабрь 2024 - 00:17

Вам стоит в раздел лечение .

Global Malware Hunting.

#3 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 093 Сообщений:

Отправлено 11 Декабрь 2024 - 00:22

Вам стоит в раздел лечение .

Зачем? Что лечить?

Я же указал, что сканер не нашел ничего. В карантине ничего нет.

FF работает.


#4 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 093 Сообщений:

Отправлено 11 Декабрь 2024 - 11:05

Многократно открывал и закрывал FF. Сообщение об угрозах не повторяется. Полное сканирование прошло с 0. В карантине 0.


#5 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 431 Сообщений:

Отправлено 11 Декабрь 2024 - 15:34

Многократно открывал и закрывал FF. Сообщение об угрозах не повторяется. Полное сканирование прошло с 0. В карантине 0.

 

Это все понятно и ожидаемо.

 

Найдите (через Event Viewer) в журнале Doctor Web сообщения о детекте и процитируйте сюда.


#6 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 093 Сообщений:

Отправлено 11 Декабрь 2024 - 23:53

 

Многократно открывал и закрывал FF. Сообщение об угрозах не повторяется. Полное сканирование прошло с 0. В карантине 0.

 

Это все понятно и ожидаемо.

 

Найдите (через Event Viewer) в журнале Doctor Web сообщения о детекте и процитируйте сюда.

 

 

Preventive Protection event: Start service

id: 23911, timestamp: 10.12.2024 22:51:19.0646, type: ServiceStart (58), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 684/14680:\Device\HarddiskVolume5\Windows\System32\services.exe
unique id: 8432-133783374744748929-140695523229696
request by: \Device\HarddiskVolume5\Program Files\Mozilla Firefox\updater.exe:8432, ilevel: medium
fileinfo: size: 465472, easize: 160, attr: 0x20, buildtime: 21.11.2024 17:18:58.0000, ctime: 26.11.2024 18:30:06.0769, atime: 10.12.2024 21:43:05.0396, mtime: 26.11.2024 18:30:10.0515, descr: Firefox Software Updater, ver: 133.0, company: Mozilla Foundation, oname: updater.exe
signer: C=US|ST=California|L=San Francisco|O=Mozilla Corporation|OU=Firefox Engineering Operations|CN=Mozilla Corporation, issuer: C=US|O=DigiCert, Inc.|CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, timestamp: 21.11.2024 18:29:24.0000, thumbprint: 40890f2fe1acae18072fa7f3c0ae456aacc8570d, eku: unknown [20], flags: 0x3a, hash alg: Sha256
creator url: https://mozilla.org
file sha1: dfa4106aefca88572421fafd01757a9cca2fccc7
file sha256: 78598264d5898e9b0cde15beca67d1469198a5f5457591352279fa3982680823
status: db_cert_white_list, signed, pe64, db_cert_protected, dfc / signed / unknown / unknown / white / unknown
svc name: MozillaMaintenance, wow64: 0
hips: type: 16, action: allow [2]
svc command: "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe"
cmd: MozillaMaintenance
object: <command line> ==> OK [0x0, 0x0, sha1: , time: 983 us]
object: <command line> ==> OK [0x0, 0x0, sha1: , time: 775 us]
object: <command line> ==> DPC:MALWARE.URL
id: 23911 ==> denied [5], time: 5.407500 ms

 

50 строчек, разница  только в command line

object: <command line> ==> OK [0x0, 0x0, sha1: , time: 729 us]
object: <command line> ==> OK [0x0, 0x0, sha1: , time: 781 us]
object: <command line> ==> DPC:MALWARE.URL
id: 23897 ==> denied [5], time: 5.396800 ms

 

Обычно я не заглядываю Event Viewer, по случаю увидел сообщение от Dr.Web Engine за час до этих 50(эти 50 были от DrWebAVService)

Disinfection was suppressed for file "\Device\HarddiskVolume5\Windows\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_9425e4c3b1ac1c47\Display.NvContainer\plugins\LocalSystem\NvXDCore.dll", infected with Trojan.Siggen30.16468

 

Но спайдер ничего не сообщал и в карантине нет ничего. Кроме того, я сделал полное сканирование и 0.
 


Сообщение было изменено ЛСергей: 11 Декабрь 2024 - 23:57

#7 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 431 Сообщений:

Отправлено 13 Декабрь 2024 - 10:09

что-то ясгее не стало, давайте отчет для тех.поддержки


#8 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 093 Сообщений:

Отправлено 13 Декабрь 2024 - 11:45

что-то ясгее не стало, давайте отчет для тех.поддержки

Почти 500метров, в саппорт не выслать. На яндекс диск подойдёт?


#9 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 431 Сообщений:

Отправлено 13 Декабрь 2024 - 12:03

да


#10 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 093 Сообщений:

Отправлено 13 Декабрь 2024 - 12:31

да

Отправил линк на архив в ЛС.


#11 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 431 Сообщений:

Отправлено 16 Декабрь 2024 - 14:01

Вы там ходили на малварный трекер Rutor. Крайне не рекомендую с него ничего качать.

 

DPC детект был из-за того, что FF этот юрл по цепочке дочерним процессам передавал.


#12 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 093 Сообщений:

Отправлено 16 Декабрь 2024 - 17:22

Ivan Korolev, Спасибо! Как раз вчера услышал от Андрея Масаловича, что Rutor украинский шпионский трекер. Добавлю в hosts.


 
Назад к Общие вопросы
  1. Dr.Web forum
  2. Русские форумы
  3. Общие вопросы
  4. Privacy Policy
  5. Terms & Rules ·