[РЕШЕНО] Подозрение на Malware/Bot

[Snak3EyeS92]

Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.

Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.

Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?

CollectionLog-2025.03.15-19.18.zip

[Sandor]

Здравствуйте!

 

В этих логах также явных признаков заражения ожидаемо не обнаружено.

Почистим некоторые мусорные записи.

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = hxxp://127.0.0.1:12334 (disabled)
O4 - MountPoints2: HKCU\..\{115b4974-dc8a-11ef-867f-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{115b498b-dc8a-11ef-867f-000fea02b828}\shell\AutoRun\command: (default) = V:\RunGame.exe (file missing)
O4 - MountPoints2: HKCU\..\{5b7b255b-3b90-11e6-832a-000fea02b828}\shell\AutoRun\command: (default) = F:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{6db7b8b8-9ccc-11ea-8472-000fea02b828}\shell\AutoRun\command: (default) = F:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{7a385744-d56c-11ef-8678-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{7a38576b-d56c-11ef-8678-000fea02b828}\shell\AutoRun\command: (default) = V:\RunGame.exe (file missing)
O4 - MountPoints2: HKCU\..\{882f66aa-cf41-11ef-8670-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{8b786520-d82c-11eb-84df-000fea02b828}\shell\AutoRun\command: (default) = F:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{9851b36b-68b7-11e7-838f-000fea02b828}\shell\AutoRun\command: (default) = F:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{9851b407-68b7-11e7-838f-000fea02b828}\shell\AutoRun\command: (default) = F:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{a1b207d0-6453-11ea-845b-000fea02b828}\shell\AutoRun\command: (default) = F:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{bc9314bf-dfbd-11ef-8682-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{bc9314e9-dfbd-11ef-8682-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{bc931500-dfbd-11ef-8682-000fea02b828}\shell\AutoRun\command: (default) = V:\RunGame.exe (file missing)
O4 - MountPoints2: HKCU\..\{ec5a0f2a-5ec0-11e5-8264-d05349031890}\shell\AutoRun\command: (default) = F:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{ee29f5f7-e5ed-11ef-868a-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{ee29f610-e5ed-11ef-868a-000fea02b828}\shell\AutoRun\command: (default) = V:\RunGame.exe (file missing)
O4 - MountPoints2: HKCU\..\{f384aae5-5f47-11eb-84ba-000fea02b828}\shell\AutoRun\command: (default) = G:\RunGame.exe (file missing)
O5 - Applet: C:\WINDOWS\SysWOW64\FlashPlayerCPLApp.cpl (sign: 'Adobe Inc.')
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать все ссылки с помощью IDM: (default) = C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать с помощью IDM: (default) = C:\Program Files (x86)\Internet Download Manager\IEExt.htm (file missing)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O22 - Tasks: PDVDServ Task - C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.EXE (file missing)
O23 - Driver S0: McAfee Inc. mfeelamk - (mfeelamk) - C:\WINDOWS\system32\drivers\mfeelamk.sys (sign: 'Microsoft' - McAfee, Inc.)
O23 - Driver S3: DAEMON Tools Lite Virtual SCSI Bus - (dtlitescsibus) - C:\WINDOWS\System32\drivers\dtlitescsibus.sys (sign: 'Disc Soft Ltd')
O23 - Driver S3: DAEMON Tools Lite Virtual USB Bus - (dtliteusbbus) - C:\WINDOWS\System32\drivers\dtliteusbbus.sys (sign: 'Disc Soft Ltd')

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[Snak3EyeS92]

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {BFB9B14E-31FC-4FDF-9170-D9BF0807A6B9} - \FreedomeHelper -> Нет файла <==== ВНИМАНИЕ
  Task: {C64C3591-9842-41A6-A4D5-EBF728910797} - \FreedomeTrialReset -> Нет файла <==== ВНИМАНИЕ
  Task: {DB28933F-29A5-40F1-8490-A781112950B4} - \User_Feed_Synchronization-{53CC7CA0-70EC-42EE-B9FF-4A6ADED79D41} -> Нет файла <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\Temp:07BF512B [156]
  AlternateDataStreams: C:\ProgramData\Temp:55B41E6A [140]
  AlternateDataStreams: C:\ProgramData\Temp:B755D674 [134]
  AlternateDataStreams: C:\ProgramData\Temp:D8999815 [200]
  AlternateDataStreams: C:\Users\Oleg\Desktop\KVRT.exe:MBAM.Zone.Identifier [182]
  FirewallRules: [{ED19F155-4FD4-4EBC-ADD6-57011521AAF2}] => (Allow) LPort=55100
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Snak3EyeS92]

Fixlog.txt

[Sandor]

Хорошо. По сути, мы только почистили мусорные записи.

Если проблема (как вы её видите) сохраняется, создайте ещё одну тему в этом разделе и посоветуйтесь со специалистами. Дайте там ссылку на эту тему.

[Snak3EyeS92]

Спасибо за помощь, но это непонятное подключение так и висит после перезагрузки в сетевом мониторе. Так то я все равно хочу форматировать диск и обновиться до Windows 10, но мне бы понять, что это, и можно ли подключить перед этим внешние носители для сохранения данных без риска повторения данной ситуации.

[Sandor]

Понять что это - вам и подскажут в указанном выше разделе.

Внешние носители можете смело подключать. Сохраняйте только данные, не программы и другие исполняемые файлы.

[Snak3EyeS92]

Хорошо, спасибо.

[Sandor]

Проделайте, пожалуйста, завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".