Арахна 0 Опубликовано 13 марта, 2019 Share Опубликовано 13 марта, 2019 Доброго времени суток... Началось с того, что в прошедший июнь меня начал яростно одолевать один из старых вирусов *Gael.D* (заражает EXE файлы от имени системы, получая список жертв из ядра системы, ну или как то так). Эта зараза досадно сильно подпортила моё настроение, испортив тучу моих EXEшников... И примерно с того времени, как зарубила заразу, примерно каждые 0.5 - 2 месяца у меня срабатывает оповещение о найденном вирусе. Каждый раз разный тип опознавателя вируса и разные файлы.Последний раз такое срабатывание пришлось на вчерашний день, был заражен один EXE файл в директории одного из ПО (потолстел с 1.0 мб до 6 мб), причем то же самое ПО на других компьютерах имеет как и ожидалось чистый файл. Само ПО в котором обнаружена зараза, уже достаточно давно не запускалось, а функций авто-обновления или прочих внешних задач/сервисов не имеется в ПО.Выходит то, что файл был заражен Третьей стороной. От чего у меня опять нервы дрогнули от произошедшего.Особенности компьютера:* Windows 10 Pro - Лицензия * MS Office 2016 - Пиратская ( KMSAuto )* Прочее ПО для разработки и редактирования всячины... и игры, как же без них )))* Имеется расшаренные в домашней локальной сети *с полным доступом без пароля* (Раб. стол и пару жестких дисков под хранилище файлов (Системный диск не расшарен)) - Файлы на расшаренных местах от вирусов не страдали, а прочие ПК в локалке кристально чисты. * Имеется домен с выходом на этот компьютер* Все внешние соединения (все порты) перенаправляются на этот компьютер, другие ПК изолированны от инициативы из вне.* Постоянно работают в течении года: UTorrent 1.8.2; TeamViewer 13-14, Discord, Chrome, HFS 2.3m То есть, я пришла к такому выводу: В системе имеется скрытый вирус, либо дыра, через которые приходит периодически всякая нечисть.Чем только не проверялась, как только не копала, не получается найти паразита. В связи с тем что нечисть приходит редко и внезапно, отловить момент не представляется возможным, в сетевой активности подозрительностей не наблюдаю.В общем ищу советов, как можно поймать с поличным эту заразу?И в этих делах я шарю, но как можно сделать логирование (аудит) исключительно только на ЕХЕ на создание/запись/удаление кем, чем и когда так сказать?В родном аудите Windows не разбираюсь, но то что я включила, по мимо целевого, в журнал пишется много лишнего (Активные пути? PATH? на все типы доступа)(можно ли это "по умолчанию" отключить?)И еще заметила в журнале безопасности такую запись, это нормально или нет? Стоит ли беспокоится? "(Открой меня нежно)": Учетной записи не удалось выполнить вход в систему.Субъект:ИД безопасности: NULL SIDИмя учетной записи: -Домен учетной записи: -Код входа: 0x0Тип входа: 3Учетная запись, которой не удалось выполнить вход:ИД безопасности: NULL SIDИмя учетной записи: ADMINДомен учетной записи:Сведения об ошибке:Причина ошибки: Неизвестное имя пользователя или неверный пароль.Состояние: 0xC000006DПодсостояние: 0xC000006AСведения о процессе:Идентификатор процесса вызывающей стороны: 0x0Имя процесса вызывающей стороны: -Сведения о сети:Имя рабочей станции: -Сетевой адрес источника: 88.151.177.6Порт источника: 0Сведения о проверке подлинности:Процесс входа: NtLmSspПакет проверки подлинности: NTLMПромежуточные службы: -Имя пакета (только NTLM): -Длина ключа: 0Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 13 марта, 2019 Share Опубликовано 13 марта, 2019 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 14 марта, 2019 Автор Share Опубликовано 14 марта, 2019 (изменено) Приложила недостающий архив автоматических логов, надеюсь на вашу поддержку. CollectionLog-2019.03.14-08.18.zip Изменено 14 марта, 2019 пользователем Арахна Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 14 марта, 2019 Share Опубликовано 14 марта, 2019 Здравствуйте! Дополнительно: Скачайте Malwarebytes' Anti-Malware. Установите. На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию". На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 14 марта, 2019 Автор Share Опубликовано 14 марта, 2019 Прикладываю результат проверки Malwarebytes' Anti-Malware, также ссылки VirusTotal:* C:\ProgramData\KMSAutoS\KMSAuto Net.exe - https://www.virustotal.com/ru/file/3c56387a047564ab68443d8c2f9f427933d5caa09354b60ebf1879a3f3862ceb/analysis/ * C:\ProgramData\KMSAutoS\bin\KMSSS.exe - https://www.virustotal.com/ru/file/acd55c44b8b0d66d66defed85ca18082c092f048d3621da827fce593305c11fd/analysis/ * C:\ProgramData\KMSAutoS\bin\TunMirror.exe - https://www.virustotal.com/ru/file/d87e8d9d43758ce67a8052cb2334b99cc24f9b0437ee44815f360be0b22d835a/analysis/ * C:\ProgramData\KMSAutoS\bin\TunMirror2.exe - https://www.virustotal.com/ru/file/8d6432321e0c5bc3c9abefb6b0c102f30e910b0691d90194dd0115a4f4dc4d9c/analysis/ scan.txt Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 14 марта, 2019 Share Опубликовано 14 марта, 2019 Ничего вирусного нет.А по делу, если ваш антивирус пропускает вирус и замечает его появление только после того как уже заразится, то может стоит сменить антивирус? Или как минимум написать в его тех. поддержку. + MBAM деинсталируйте. Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 15 марта, 2019 Автор Share Опубликовано 15 марта, 2019 (изменено) Доброго ночного настроения...Айболит-2010, Да дело не в том. Что если даже его "нет", то от куда они лезут? Вот в чем вопрос!Я достаточно опытна чтобы годами сидеть в интернете и пользоваться компьютером так, чтобы вирусов не хватать, ведь я сама являюсь разработчиком ПО, но не особо разбираюсь в том, какими опилками внутри себя оперирует Windows.И я бы не писала бы просто так, чтобы только лишь потратить ваше время и моё в том числе. Факт в том, что антивирус не может на ровном месте относительно регулярно детектить заразу. Но он это делает, вывод -> зараза или дыра через которую они лезут, есть!Если прочитаете конец начального поста, под жирным грифом, то я в принципе то спрашиваю советов/способов отследить место/причину появления этого добра на моём компьютере.Я уже даже перестала исключать возможность наличия не детектирующегося виря, использующего еще не обнаруженную уязвимость... тьфу тьфу тьфу.....Ведь к примеру: через Аудит можно отследить какая программа/дескриптор заразил к примеру "demo\plan.exe" и дальше уже копать к источнику... но я не знаю как можно настроить аудит так, чтобы это событие не перезаписалось спустя час 99.99% пустышками. Изменено 15 марта, 2019 пользователем Арахна Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 15 марта, 2019 Автор Share Опубликовано 15 марта, 2019 (изменено) Не работает SecurityCheck Произошла ошибка при выполнении ""SecurityCheck.exe" /autodelscript"Не удаётся найти указанный файл. От имени Администратора само собой...И в том числе без кириллицы в пути, даже на "C:\SecurityCheck.exe" Изменено 15 марта, 2019 пользователем Арахна Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 Так проверьте: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 15 марта, 2019 Автор Share Опубликовано 15 марта, 2019 Результат Скрипта в AVZ: 1. Включите UAC... Конец... Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 Включите + На заметку - Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 15 марта, 2019 Автор Share Опубликовано 15 марта, 2019 (изменено) Ну если "исключительно бесящие" UAC окошки имеют какую то реальную пользу. Я совсем не против того, чтобы немножко пожертвовать условной защитой, но при этом не видеть эти раздражающие UAC окна. Из рекомендаций полезного к сожалению не подчерпнула. Врядли поможет с поисками, но это тот самый файл, что был заражен позавчера. Логики выбора цели для заражения я не могу понять, почему только один файл, и в какой то глуши "C:\Users\Public\xxxxx\" Зараженный (пароль: virus) ( [ссылка] ) (VirusTotal: https://www.virustotal.com/ru/file/c19dd10753b30e2ae11b19a59942488462708ed782412531321ba700160eedf7/analysis/ ) и оригинал во вложении Изменено 15 марта, 2019 пользователем Sandor Убрал ссылку и подозрительный файл Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 Не выкладывайте подозрительные файлы. Поясните примерно каждые 0.5 - 2 месяца у меня срабатывает оповещение о найденном вирусеКто оповещает? Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 15 марта, 2019 Автор Share Опубликовано 15 марта, 2019 (изменено) Еще такой вопрос: и в журнале Windows и сейчас Belarc Advisor говорят о том, что у меня без прерывно используется учетная запись "Гость", учитывая то, что она не активна с момента установки Windows, это нормально, или это то, за что стоит зацепиться ? (Так же я еще надеюсь на ответ о записи из журнала безопасности из низин начального поста)------------------------------------Sandor, "Защитник Windows" только еще вопрос в том, когда файл был заражен, позавчера и тут же сработал антивирус на событие записи, или несколько ранее (но не более 2.5 месяца назад, я тогда переставляла причастное ПО полностью)Скорее всего среагировал на событие записи, ибо обычно он стабильно регулярно ругается на AutoKMS - как только тот что либо сделает Изменено 15 марта, 2019 пользователем Арахна Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения