PashaIglesias 0 Опубликовано 1 марта, 2017 Share Опубликовано 1 марта, 2017 Здравствуйте,Случайно нашел странный процесс с расширением .tmpСтал гуглить и нашел васРазыскал свой файл в папке C:/Windows/Temp/Бегло проверил его TotalVirus'om, который показал наличие заражения 5/56 (ужаснувшись происходящим) стал читать детально.Дочитав нашел ещё одну тему и вот я тут со своими логами (вложение), прошу помощи в удалении вирусов.P.s. Доп. инфа: запущенный в системе процесс был с названием evb6FE4.tmp. После его завершения, спустя несколько минут появился новый процесс с расширением .tmp и другим названием (скриншот во вложении)... CollectionLog-2017.02.28-23.59.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 2 марта, 2017 Share Опубликовано 2 марта, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\9e39~1\appdata\local\temp\_iu14d2n.tmp'); QuarantineFile('C:\ProgramData\binary\virtualoclprocess.exe',''); QuarantineFile('c:\users\9e39~1\appdata\local\temp\_iu14d2n.tmp', ''); ExecuteFile('schtasks.exe', '/delete /TN "SUEN" /F', 0, 15000, true); DeleteFile('C:\ProgramData\binary\virtualoclprocess.exe','32'); DeleteFile('c:\users\9e39~1\appdata\local\temp\_iu14d2n.tmp', '32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
PashaIglesias 0 Опубликовано 2 марта, 2017 Автор Share Опубликовано 2 марта, 2017 1. Скрипт выполнил 2. Файл отправил: KLAN-5908463156: Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:virtualoclprocess.exeМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ 3. Скачал FRST и просканировал Отчеты FRST: frst.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 3 марта, 2017 Share Опубликовано 3 марта, 2017 Дополнение в FF SHA-1 deprecation staged rolloutставили самостоятельно? Цитата Ссылка на сообщение Поделиться на другие сайты
PashaIglesias 0 Опубликовано 3 марта, 2017 Автор Share Опубликовано 3 марта, 2017 (изменено) Дополнение в FF SHA-1 deprecation staged rolloutставили самостоятельно? FireFox (насколько я правильно понял вопрос) скорее всего устанавливался с оф. сайта. Достоверно точно сказать не могу - но обычно скачиваю официальные релизы. Возможно отсюда скачивал: mozilla-russia.org Доп. информация: Какое-то время в FF были отключены обновления (около пары месяцев). Затем включил автоматические обновления в фоновом режиме. Вручную устанавливались Жду ваших дальнейших инструкций. Мониторинг ситуации: Процессы .tmp визуально исчезли из "монитора ресурсов" - контролирую постоянно, проверил 5 раз визуально и вручную, открывал c:/windows/temp - просматривал не создались ли там опять *.tmp: ничего нет. UPD: добавил скрин со списком обновлений. Про дополнения: 80-90% дополнений для FF устанавливал вручную. Все они работали постоянно и только неделю назад я отключил всё, кроме flash player'a и обновил его (автоматически) и silverlight (вручную с сайта Microsoft). Остальные не обновлял - просто отключил. P.S. "SHA-1 deprecation staged rollout" не знаю что такое. Нагугоилось, что это альтернативная версия FF. (если это так, может снести FF вообще?) В логах нашел, что это дополнение для FF, как вы и спрашиваете [FF Extension: (SHA-1 deprecation staged rollout)], но даже не знаю, что конкретно это за дополнение. На скриншоте (выше) список дополнений, которые отображаются в FF сейчас. Изменено 3 марта, 2017 пользователем PashaIglesias Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 марта, 2017 Share Опубликовано 4 марта, 2017 Пожалуйста упакуйте папку C:\Users\Паша\AppData\Roaming\Mozilla\Firefox\Profiles\qwm9g4vn.default\features\{0f8c0cd9-b781-4667-b393-924a9244bcfc}\с паролем virus и пришлите архив мне в ЛС. Цитата Ссылка на сообщение Поделиться на другие сайты
PashaIglesias 0 Опубликовано 4 марта, 2017 Автор Share Опубликовано 4 марта, 2017 Я пытался! Но не успел. Открыл указанную папку ...\features\. В ней было 2 папки, я выбрал указанную вами папку и открыл её. Там лежало 4 файла с расширениями *.xpi На зная что это я решил загулить, что лежит в папке features - выяснил, что там дополнения. Спустя 5 минут перехожу в окно для создания архива для вас, а нужной папки уже и след простыл...(!) Я не поверил своим глазам, стал проверять корзину (естественно там ничего не оказалось, но на всякий случай). Обновил папку - ничего. Включил скрытые файлы - папки нет! Помню, что дата её изменения была 04.03.2017 в 22.35 - как раз когда я ПК включил и открыл FF! Наблюдения: Как только я открыл эту папку, ПК стал резко напрягаться. Я даже открывал Диспетчер задач, чтобы посмотреть что так ест ресурсы - увидел процесс system, использовал диск со скоростью 7-8 Мб/с. На ПК стоит стандартный защитник Windows - проверил его объекты в карантине, разрешенные объекты и все обнаруженные объекты - ничего нет. Что произошло с папкой - ума не приложу. Понимаю, что если это вирус, значит у него есть защита. Но такое ощущение, что кто-то прям ждал, когда я найду вирус, чтобы тут же замести следы. UPD: перезагрузка ничего не дала. Что теперь? Сообщение от модератора Mark D. Pearlstone Красный цвет использует только администрация. Сообщение отредактировано. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 марта, 2017 Share Опубликовано 5 марта, 2017 Соберите и прикрепите свежие логи FRST. Цитата Ссылка на сообщение Поделиться на другие сайты
PashaIglesias 0 Опубликовано 5 марта, 2017 Автор Share Опубликовано 5 марта, 2017 Логи FRST frst2.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 марта, 2017 Share Опубликовано 6 марта, 2017 (изменено) Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin QuarantineFileF('C:\Users\Паша\AppData\Roaming\Mozilla\Firefox\Profiles\qwm9g4vn.default\features\{cbcd58ae-6fa6-4edc-a72a-0b3ea4c48fbb}\', '', true, '', 0, 0); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Изменено 6 марта, 2017 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
PashaIglesias 0 Опубликовано 7 марта, 2017 Автор Share Опубликовано 7 марта, 2017 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 7 марта, 2017 Share Опубликовано 7 марта, 2017 Спасибо! Похоже, что это встроенные дополнения FF, так что не трогаем. Если ситуация нормализовалась, все утилиты лечения и папки, включая C:\FRST, можно просто удалить. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
PashaIglesias 0 Опубликовано 7 марта, 2017 Автор Share Опубликовано 7 марта, 2017 (изменено) SecurityCheck.txt: SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]WebSite: www.safezone.ccDateLog: 07.03.2017 22:04:18Path starting: C:\Users\Паша\AppData\Local\Temp\SecurityCheck\SecurityCheck.exeLog directory: C:\SecurityCheck\IsAdmin: TrueUser: ПашаVersionXML: 3.98is-04.03.2017___________________________________________________________________________Windows 10(6.3.14393) (x64) CoreSingleLanguage Lang: Russian(0419)Дата установки ОС: 22.09.2016 21:52:12Статус лицензии: Windows®, CoreSingleLanguage edition Постоянная активация прошла успешно.Режим загрузки: NormalБраузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)Системный диск: C: ФС: [NTFS] Емкость: [906.3 Гб] Занято: [431.5 Гб] Свободно: [474.8 Гб]------------------------------- [ Windows ] -------------------------------Internet Explorer 11.576.14393.0Контроль учётных записей пользователя включенЗагружать автоматически обновления и устанавливать по заданному расписаниюЦентр обновления Windows (wuauserv) - Служба остановленаЦентр обеспечения безопасности (wscsvc) - Служба работаетУдаленный реестр (RemoteRegistry) - Служба остановленаОбнаружение SSDP (SSDPSRV) - Служба работаетСлужбы удаленных рабочих столов (TermService) - Служба работаетСлужба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена------------------------------ [ MS Office ] ------------------------------Microsoft Office 2007 v.12.0.6612.1000---------------------------- [ Antivirus_WMI ] ----------------------------Windows Defender (включен и обновлен)--------------------------- [ FirewallWindows ] ---------------------------Брандмауэр Windows (MpsSvc) - Служба работает--------------------------- [ AntiSpyware_WMI ] ---------------------------Windows Defender (включен и обновлен)--------------------------- [ OtherUtilities ] ----------------------------Обновил. WinRAR 5.10 (64-разрядная) v.5.10.0 Внимание! Скачать обновленияОбновлял 5 дней назад. Microsoft Silverlight v.5.1.50901.0Обновил. FileZilla Client 3.22.2.2 v.3.22.2.2 Внимание! Скачать обновленияОбновил. VLC media player v.2.2.1 Внимание! Скачать обновления--------------------------------- [ IM ] ----------------------------------Удалил. Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления^Необязательное обновление.^--------------------------------- [ P2P ] ---------------------------------Удалил. µTorrent v.3.4.2.38397 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.--------------------------- [ AdobeProduction ] ---------------------------Adobe Flash Player 24 NPAPI v.24.0.0.221------------------------------- [ Browser ] -------------------------------Google Chrome v.56.0.2924.87Mozilla Firefox 51.0.1 (x86 ru) v.51.0.1--------------------------- [ RunningProcess ] ----------------------------C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.51.0.1.6234------------------ [ AntivirusFirewallProcessServices ] -------------------C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.0C:\Program Files\Windows Defender\NisSrv.exe v.4.10.14393.0Служба Защитника Windows (WinDefend) - Служба работаетСлужба проверки сети Защитника Windows (WdNisSvc) - Служба работает----------------------------- [ End of Log ] ------------------------------ Изменено 7 марта, 2017 пользователем PashaIglesias Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 7 марта, 2017 Share Опубликовано 7 марта, 2017 Обновите указанное. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1 Цитата Ссылка на сообщение Поделиться на другие сайты
PashaIglesias 0 Опубликовано 7 марта, 2017 Автор Share Опубликовано 7 марта, 2017 Sandor, спасибо за вашу помощь. Проблема, с которой я обращался, действительно не наблюдается. Что я узнал нового: Вирусы не дремлют Не все антивирусы одинаково полезные. Мою угрозу в частности не смогли обнаружить AVK (надеюсь не сочтете некорректным упоминание антивируса на его тематическом сайте в несколько отрицательном свете?) и Dr.Web. Windows 10 - ещё более дырявый, чем я думал. Дальше немного файера: Заточен под возможность использования его в качестве инструмента для злодеяний (контроль, удаленный доступ, использование железа без ведома юзера => ботнеты). Думаю, продукт Microsoft способен постоянно присылать на любой ПК задачи на обработку и забирать результаты после их выполнения. Отчасти - это догадки, но как только берешься противостоять использованию твоего ПК в чужих целях - становится многое понятно. Выводы: Доверие к браузеру FireFox снизилось с 90% до 20% Доверие к Flash Player'у снизилось с 30% до 5% Полное ощущение отсутствия контроля над собственным ПК. Ещё немного напалма: И удаление приложений, программ, смена операционной системы - тут не смогут помочь. Ключевые функции вшиты прямо в железо, а уж про драйверы для него вообще и говорить нечего. Просто посмотрите, что сегодня Викиликс опубликовал - сливают данные с мобильных устройств ещё до шифровки перед отправкой. Используют имеющиеся уязвимости и вредоносное ПО (если таковое имеется) на ПК юзеров по всему миру для глобальных атак под "чужим флагом" - типо это ваши вирусы виноваты, а не мы. Какая же отсюда мотивация бороться с вирусами? Получается государства вообще могут дать установку разработчику антивируса попросту игнорировать некоторые угрозы, намеренно созданные государствами в политических целях? Это же абсурд, господа. Чему же тогда удивляться - почти каждый ПК, подключенный к интернету должен быть потенциально заражен! Не даром даже на уровне организаций существуют сети, не имеющие доступа в глобальную сеть. Почему? Да потому что - зачем!? Сорри за бомбящий флэйм. Что собираюсь делать: Отказаться от использования браузера FF (не только из-за этой ситуации - есть и другие причины). Полностью отказаться от привычки сохранять пароли на ПК. Полностью отказаться от привычки использовать одинаковые пароли где бы то ни было. Настроить Windows 10 вручную, добавить значительные ограничения для ОС в свободе действий, особенно в части использования сетевых подключений. Список большой. Цель - повысить контроль над собственным ПК. Прочие наблюдения: Нашел подтверждение неспортивного поведения поисковика Яндекс, прогуливаясь по файлам на своем ПК. Оказалось Яндекс сам использует уязвимости FlashPlayer'а в личных, корыстных целях. Любая страница Яндекса подсовывает на ваш ПК ID-какулину, даже если вы не используете кукисы. Норм, да? Кому интересно: погуглите (вбейте в поиск, а не открывайте) этот URL: kiks.yandex.ru. Интересно - кто-нибудь вообще удивится этому моему наблюдению? Думаю - не многие. Все привыкли к тотальному контролю. SecurityCheck.exe, как и FRST.exe показываются зараженными у ряда антивирусников (уверен вы это знаете). Заюзать их мне это не помешало Ещё раз спасибо за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.