[РЕШЕНО] Помощь в лечении нового вируса "Письмо ФСС"

[Hendehog]

Здравствуйте.
Еще один компьютер, более приоритетный, чем в прошлой теме.
Суть - получили сегодня письмо с exe файлом, явно подстава какая-то.

Файл был запущен.
У dr.web - ноль реакции.
Затем после отправки файла им, детект появился через часов 7.

После запуска файла, компьютер в ближайшее время был просканирован KVRT - угроза не была обнаружена. Все в порядке
Просканирован Dr.web (до отсылки им файла)  - не обнаружена.

Проходит часов 6 наверное, др.веб обновил базы и антивирус вылавливает на ПК сперва js а затем через какое-то время втихую архив с вирусом.
Я решаю просканировать KVRT повторно, и что я получаю - вирус находится в памяти - напоминаю после запуска часов 6 назад сканирование проводилось и не было ничего!

Сканирую, лечу, несколько перезагрузок.

Теперь и нет понимаю, что он успел натворить?
Почему его KVRT сразу не обнаружил?? Где он сидел все это время?

Что успел скомпрометировать?

Утащить?

Затаится?
Удалось ли его вылечить или он потом снова появится из ниоткуда?
Не оставил ли своих копий в других местах и так далее?

Помогите пожалуйста, найти, убить, найти его следы и понять что он успел сделать
Логи за весь день от KVRT прилагаю - всю папку не получается, слишком велика.
Если можно куда-то залить - скажите куда.

 

Ссылка на вирустотал

https://www.virustotal.com/gui/file/c96ecdc1d1b001ca7113557e9a6c3fba9a085f755b7a8cf15ae2e8bdd293d68b

 

 

 

Reports.rar CollectionLog-2022.07.27-22.09.zip

[Hendehog]

Может спешу, но тем не менее.

Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

Три программы удалённого управления:

Цитата

 

AnyDesk

Remote Manipulator System

UltraVnc

 

Все ваши? Всеми пользуетесь?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteRepair(20);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Hendehog]

Софт удаленного доступа - мой, использовался и раньше.

Скрипт выполнил.

Логи - вот.

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус (сеть при этом не отключайте).
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ВНИМАНИЕ (Ограничение - Zones)
  C:\Users\valov.aa\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  AV: COMODO Antivirus (Enabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
  AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
  FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
  AlternateDataStreams: C:\Windows:AstInfo [0]
  AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
  AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\valov.aa\Application Data:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\valov.aa\AppData\Roaming:iSpring Solutions [128]
  FirewallRules: [{F836FDAB-90BB-426A-B4E2-8ADFB98F7050}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{C322EBAC-5AB0-4811-8B1D-6DFE80A93354}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{A8CBDB8C-6076-458D-8FEC-537FACA1BF0F}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
  FirewallRules: [{DC698649-78BE-4899-AE55-9FF10436C100}] => (Allow) D:\Nox\bin\Nox.exe => Нет файла
  FirewallRules: [{F191DE94-0D8C-43D0-9B0E-C6F6AEE29A00}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
  FirewallRules: [{2540ABA5-BC35-45E2-949C-C33243F279AD}] => (Allow) C:\Users\sharmanov.vv\AppData\Local\Programs\Opera\77.0.4054.203\opera.exe => Нет файла
  FirewallRules: [{3FD82455-2165-4614-9D0B-6A75CF2BB8A9}] => (Allow) LPort=21159
  FirewallRules: [{AC53AEF0-89EE-4BB0-8241-43404FEB1FCE}] => (Allow) LPort=21159
  FirewallRules: [{AB5EC4DE-DAD3-452E-8715-C092204716C0}] => (Allow) LPort=5900
  FirewallRules: [{A8C441FB-2FF0-4D03-BD74-5321AFB6DA48}] => (Allow) LPort=5800
  FirewallRules: [{B4B14FBD-D9A0-4DA9-A555-7329680DBAA9}] => (Allow) LPort=9422
  FirewallRules: [{C8BDB59E-8D8B-43F9-BBDB-D4FCBD0CD74D}] => (Allow) LPort=9245
  FirewallRules: [{BBFC233B-5B06-4E8B-B29F-956E8E9D76C5}] => (Allow) LPort=9246
  FirewallRules: [{A8C4D583-D38D-4D71-A6FA-2A912973C7CD}] => (Allow) LPort=9247
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Hendehog]

Лог

Fixlog.txt

[Sandor]

Хорошо. Мы очистили некоторый мусор и

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

По поводу вопросов из первого сообщения - затрудняюсь что-либо сказать.

Исследование (или т.н. форензика) - это немного другая область, другие инструменты, знания, затраты и т.д. и т.п.

 

Мы можем помочь избавиться от существующего заражения и дать рекомендации на будущее.

 

Для этого дополнительно:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Hendehog]

Вопрос для меня сейчас важный в другом, были ли мои данные слиты или нет, никак не узнать это?

И что он мог слить конкретно?

SecurityCheck.txt

[Sandor]

Явных вредоносов, ворующих пароли, не замечено. Но лишний раз сменить важные пароли не помешает.

 

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.2 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.17.4565 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2212.8 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Remote Manipulator System - Viewer v.7.1.2.0 Внимание! Программа удаленного доступа!
Remote Manipulator System - Host v.7.1.2.0 Внимание! Программа удаленного доступа!
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.20.006.20042 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

На перечисленное обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

 

В остальных ваших темах тоже дайте ответ, пожалуйста.

[Hendehog]

Спасибо за помощь, тему можно закрывать

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".