Перейти к содержанию
Правила раздела

[РЕШЕНО] Подозрение на Malware/Bot

Snak3EyeS92

Автор Snak3EyeS92
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Snak3EyeS92

Snak3EyeS92

Опубликовано
Опубликовано

Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.

Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.

Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?

explorer 1.jpg

explorer 2.jpg

CollectionLog-2025.03.15-19.18.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

В этих логах также явных признаков заражения ожидаемо не обнаружено.

Почистим некоторые мусорные записи.

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = hxxp://127.0.0.1:12334 (disabled)
O4 - MountPoints2: HKCU\..\{115b4974-dc8a-11ef-867f-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{115b498b-dc8a-11ef-867f-000fea02b828}\shell\AutoRun\command: (default) = V:\RunGame.exe (file missing)
O4 - MountPoints2: HKCU\..\{5b7b255b-3b90-11e6-832a-000fea02b828}\shell\AutoRun\command: (default) = F:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{6db7b8b8-9ccc-11ea-8472-000fea02b828}\shell\AutoRun\command: (default) = F:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{7a385744-d56c-11ef-8678-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{7a38576b-d56c-11ef-8678-000fea02b828}\shell\AutoRun\command: (default) = V:\RunGame.exe (file missing)
O4 - MountPoints2: HKCU\..\{882f66aa-cf41-11ef-8670-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{8b786520-d82c-11eb-84df-000fea02b828}\shell\AutoRun\command: (default) = F:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{9851b36b-68b7-11e7-838f-000fea02b828}\shell\AutoRun\command: (default) = F:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{9851b407-68b7-11e7-838f-000fea02b828}\shell\AutoRun\command: (default) = F:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{a1b207d0-6453-11ea-845b-000fea02b828}\shell\AutoRun\command: (default) = F:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{bc9314bf-dfbd-11ef-8682-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{bc9314e9-dfbd-11ef-8682-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{bc931500-dfbd-11ef-8682-000fea02b828}\shell\AutoRun\command: (default) = V:\RunGame.exe (file missing)
O4 - MountPoints2: HKCU\..\{ec5a0f2a-5ec0-11e5-8264-d05349031890}\shell\AutoRun\command: (default) = F:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{ee29f5f7-e5ed-11ef-868a-000fea02b828}\shell\AutoRun\command: (default) = V:\Setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{ee29f610-e5ed-11ef-868a-000fea02b828}\shell\AutoRun\command: (default) = V:\RunGame.exe (file missing)
O4 - MountPoints2: HKCU\..\{f384aae5-5f47-11eb-84ba-000fea02b828}\shell\AutoRun\command: (default) = G:\RunGame.exe (file missing)
O5 - Applet: C:\WINDOWS\SysWOW64\FlashPlayerCPLApp.cpl (sign: 'Adobe Inc.')
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать все ссылки с помощью IDM: (default) = C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать с помощью IDM: (default) = C:\Program Files (x86)\Internet Download Manager\IEExt.htm (file missing)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O22 - Tasks: PDVDServ Task - C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.EXE (file missing)
O23 - Driver S0: McAfee Inc. mfeelamk - (mfeelamk) - C:\WINDOWS\system32\drivers\mfeelamk.sys (sign: 'Microsoft' - McAfee, Inc.)
O23 - Driver S3: DAEMON Tools Lite Virtual SCSI Bus - (dtlitescsibus) - C:\WINDOWS\System32\drivers\dtlitescsibus.sys (sign: 'Disc Soft Ltd')
O23 - Driver S3: DAEMON Tools Lite Virtual USB Bus - (dtliteusbbus) - C:\WINDOWS\System32\drivers\dtliteusbbus.sys (sign: 'Disc Soft Ltd')

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {BFB9B14E-31FC-4FDF-9170-D9BF0807A6B9} - \FreedomeHelper -> Нет файла <==== ВНИМАНИЕ
Task: {C64C3591-9842-41A6-A4D5-EBF728910797} - \FreedomeTrialReset -> Нет файла <==== ВНИМАНИЕ
Task: {DB28933F-29A5-40F1-8490-A781112950B4} - \User_Feed_Synchronization-{53CC7CA0-70EC-42EE-B9FF-4A6ADED79D41} -> Нет файла <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\Temp:07BF512B [156]
AlternateDataStreams: C:\ProgramData\Temp:55B41E6A [140]
AlternateDataStreams: C:\ProgramData\Temp:B755D674 [134]
AlternateDataStreams: C:\ProgramData\Temp:D8999815 [200]
AlternateDataStreams: C:\Users\Oleg\Desktop\KVRT.exe:MBAM.Zone.Identifier [182]
FirewallRules: [{ED19F155-4FD4-4EBC-ADD6-57011521AAF2}] => (Allow) LPort=55100
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. По сути, мы только почистили мусорные записи.

Если проблема (как вы её видите) сохраняется, создайте ещё одну тему в этом разделе и посоветуйтесь со специалистами. Дайте там ссылку на эту тему.

Snak3EyeS92

Snak3EyeS92

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь, но это непонятное подключение так и висит после перезагрузки в сетевом мониторе. Так то я все равно хочу форматировать диск и обновиться до Windows 10, но мне бы понять, что это, и можно ли подключить перед этим внешние носители для сохранения данных без риска повторения данной ситуации.

Sandor

Sandor

Опубликовано
Опубликовано

Понять что это - вам и подскажут в указанном выше разделе.

Внешние носители можете смело подключать. Сохраняйте только данные, не программы и другие исполняемые файлы.

  • 2 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано

Проделайте, пожалуйста, завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...