Перейти к содержимому


Фотография
- - - - -

В поисках Тихаря

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 18

#1 OFF   Арахна

Арахна

    Новичок

  • Новички
  • Cообщений: 16

Отправлено 13 Март 2019 - 22:20

Доброго времени суток...

 

Началось с того, что в прошедший июнь меня начал яростно одолевать один из старых вирусов *Gael.D* (заражает EXE файлы от имени системы, получая список жертв из ядра системы, ну или как то так). Эта зараза досадно сильно подпортила моё настроение, испортив тучу моих EXEшников...

И примерно с того времени, как зарубила заразу, примерно каждые 0.5 - 2 месяца у меня срабатывает оповещение о найденном вирусе. Каждый раз разный тип опознавателя вируса и разные файлы.
Последний раз такое срабатывание пришлось на вчерашний день, был заражен один EXE файл в директории одного из ПО (потолстел с 1.0 мб до 6 мб), причем то же самое ПО на других компьютерах имеет как и ожидалось чистый файл. Само ПО в котором обнаружена зараза, уже достаточно давно не запускалось, а функций авто-обновления или прочих внешних задач/сервисов не имеется в ПО.
Выходит то, что файл был заражен Третьей стороной. От чего у меня опять нервы дрогнули от произошедшего.

Особенности компьютера:
* Windows 10 Pro - Лицензия

* MS Office 2016  - Пиратская ( KMSAuto )
* Прочее ПО для разработки и редактирования всячины... и игры, как же без них )))
* Имеется расшаренные в домашней локальной сети *с полным доступом без пароля* (Раб. стол и пару жестких дисков под хранилище файлов (Системный диск не расшарен)) 

      - Файлы на расшаренных местах от вирусов не страдали, а прочие ПК в локалке кристально чисты.

* Имеется домен с выходом на этот компьютер
* Все внешние соединения (все порты) перенаправляются на этот компьютер, другие ПК изолированны от инициативы из вне.
* Постоянно работают в течении года: UTorrent 1.8.2; TeamViewer 13-14, Discord, Chrome, HFS 2.3m
 

То есть, я пришла к такому выводу: 

В системе имеется скрытый вирус, либо дыра, через которые приходит периодически всякая нечисть.
Чем только не проверялась, как только не копала, не получается найти паразита. В связи с тем что нечисть приходит редко и внезапно, отловить момент не представляется возможным, в сетевой активности подозрительностей не наблюдаю.

В общем ищу советов, как можно поймать с поличным эту заразу?
И в этих делах я шарю, но как можно сделать логирование (аудит) исключительно только на ЕХЕ на создание/запись/удаление кем, чем и когда так сказать?
В родном аудите Windows не разбираюсь, но то что я включила, по мимо целевого, в журнал пишется много лишнего (Активные пути? PATH? на все типы доступа)(можно ли это "по умолчанию" отключить?)

И еще заметила в журнале безопасности такую запись, это нормально или нет? Стоит ли беспокоится?

(Открой меня нежно)


  • 0

#2 ON   kmscom

kmscom

    Консультант по продуктам ЛК

  • Модераторы
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 413

Отправлено 13 Март 2019 - 22:45

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • 0
MSI-Neo

#3 OFF   Арахна

Арахна

    Новичок

  • Новички
  • Cообщений: 16

Отправлено 14 Март 2019 - 08:50

Приложила недостающий архив автоматических логов, надеюсь на вашу поддержку.

Прикрепленные файлы


Сообщение отредактировал Арахна: 14 Март 2019 - 08:51

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 14 Март 2019 - 09:51

Здравствуйте!

Дополнительно:
Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
  • 0
Изображение

#5 OFF   Арахна

Арахна

    Новичок

  • Новички
  • Cообщений: 16

Отправлено 14 Март 2019 - 20:13

Прикладываю результат проверки Malwarebytes' Anti-Malware, также ссылки VirusTotal:
* C:\ProgramData\KMSAutoS\KMSAuto Net.exe

https://www.virustot...62ceb/analysis/

* C:\ProgramData\KMSAutoS\bin\KMSSS.exe

https://www.virustot...c11fd/analysis/

* C:\ProgramData\KMSAutoS\bin\TunMirror.exe

https://www.virustot...d835a/analysis/

* C:\ProgramData\KMSAutoS\bin\TunMirror2.exe

https://www.virustot...c4d9c/analysis/

Прикрепленные файлы

  • Прикрепленный файл  scan.txt   4,59К   скачиваний 2

  • 0

#6 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 161

Отправлено 14 Март 2019 - 23:47

Ничего вирусного нет.
А по делу, если ваш антивирус пропускает вирус и замечает его появление только после того как уже заразится, то может стоит сменить антивирус? Или как минимум написать в его тех. поддержку.


+ MBAM деинсталируйте.


  • 0

#7 OFF   Арахна

Арахна

    Новичок

  • Новички
  • Cообщений: 16

Отправлено 15 Март 2019 - 04:51

Доброго ночного настроения...

Айболит-2010Да дело не в том. Что если даже его "нет", то от куда они лезут? Вот в чем вопрос!
Я достаточно опытна чтобы годами сидеть в интернете и пользоваться компьютером так, чтобы вирусов не хватать, ведь я сама являюсь разработчиком ПО, но не особо разбираюсь в том, какими опилками внутри себя оперирует Windows.
И я бы не писала бы просто так, чтобы только лишь потратить ваше время и моё в том числе.

Факт в том, что антивирус не может на ровном месте относительно регулярно детектить заразу. Но он это делает, вывод -> зараза или дыра через которую они лезут, есть!

Если прочитаете конец начального поста, под жирным грифом, то я в принципе то спрашиваю советов/способов отследить место/причину появления этого добра на моём компьютере.
Я уже даже перестала исключать возможность наличия не детектирующегося виря, использующего еще не обнаруженную уязвимость... тьфу тьфу тьфу.....

Ведь к примеру: через Аудит можно отследить какая программа/дескриптор заразил к примеру "demo\plan.exe" и дальше уже копать к источнику... но я не знаю как можно настроить аудит так, чтобы это событие не перезаписалось спустя час 99.99% пустышками.


Сообщение отредактировал Арахна: 15 Март 2019 - 04:53

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 15 Март 2019 - 09:06

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#9 OFF   Арахна

Арахна

    Новичок

  • Новички
  • Cообщений: 16

Отправлено 15 Март 2019 - 09:53

Не работает SecurityCheck

 

Произошла ошибка при выполнении ""SecurityCheck.exe" /autodelscript"
Не удаётся найти указанный файл.

 

От имени Администратора само собой...
И в том числе без кириллицы в пути, даже на "C:\SecurityCheck.exe"


Сообщение отредактировал Арахна: 15 Март 2019 - 09:55

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 15 Март 2019 - 09:59

Так проверьте:
Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
  • 0
Изображение

#11 OFF   Арахна

Арахна

    Новичок

  • Новички
  • Cообщений: 16

Отправлено 15 Март 2019 - 10:36

Результат Скрипта в AVZ:
 

1. Включите UAC...

Конец...


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 15 Март 2019 - 10:38

Включите :)
+
На заметку - Рекомендации после удаления вредоносного ПО
  • 0
Изображение

#13 OFF   Арахна

Арахна

    Новичок

  • Новички
  • Cообщений: 16

Отправлено 15 Март 2019 - 11:05

Ну если "исключительно бесящие" UAC окошки имеют какую то реальную пользу. Я совсем не против того, чтобы немножко пожертвовать условной защитой, но при этом не видеть эти раздражающие UAC окна.

Из рекомендаций полезного к сожалению не подчерпнула.

Врядли поможет с поисками, но это тот самый файл, что был заражен позавчера. Логики выбора цели для заражения я не могу понять, почему только один файл, и в какой то глуши "C:\Users\Public\xxxxx\"

Зараженный (пароль: virus) ( [ссылка] ) (VirusTotal: https://www.virustot...eedf7/analysis/ )
и оригинал во вложении

Сообщение отредактировал Sandor: 15 Март 2019 - 11:08
Убрал ссылку и подозрительный файл

  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 15 Март 2019 - 11:17

Не выкладывайте подозрительные файлы.

Поясните

примерно каждые 0.5 - 2 месяца у меня срабатывает оповещение о найденном вирусе

Кто оповещает?
  • 0
Изображение

#15 OFF   Арахна

Арахна

    Новичок

  • Новички
  • Cообщений: 16

Отправлено 15 Март 2019 - 11:29

Еще такой вопрос: и в журнале Windows и сейчас Belarc Advisor говорят о том, что у меня без прерывно используется учетная запись "Гость", учитывая то, что она не активна с момента установки Windows, это нормально, или это то, за что стоит зацепиться ? (Так же я еще надеюсь на ответ о записи из журнала безопасности из низин начального поста)

------------------------------------

Sandor, "Защитник Windows" только еще вопрос в том, когда файл был заражен, позавчера и тут же сработал антивирус на событие записи, или несколько ранее (но не более 2.5 месяца назад, я тогда переставляла причастное ПО полностью)

Скорее всего среагировал на событие записи, ибо обычно он стабильно регулярно ругается на AutoKMS - как только тот что либо сделает


Сообщение отредактировал Арахна: 15 Март 2019 - 11:35

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных