Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте,
Случайно нашел странный процесс с расширением .tmp
Стал гуглить и нашел вас
Разыскал свой файл в папке C:/Windows/Temp/
Бегло проверил его TotalVirus'om, который показал наличие заражения 5/56 (ужаснувшись происходящим) стал читать детально.
Дочитав нашел ещё одну тему и вот я тут со своими логами (вложение), прошу помощи в удалении вирусов.

P.s. Доп. инфа: запущенный в системе процесс был с названием evb6FE4.tmp. После его завершения, спустя несколько минут появился новый процесс с расширением .tmp и другим названием (скриншот во вложении)...

CollectionLog-2017.02.28-23.59.rar

Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\9e39~1\appdata\local\temp\_iu14d2n.tmp');
 QuarantineFile('C:\ProgramData\binary\virtualoclprocess.exe','');
 QuarantineFile('c:\users\9e39~1\appdata\local\temp\_iu14d2n.tmp', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SUEN" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\binary\virtualoclprocess.exe','32');
 DeleteFile('c:\users\9e39~1\appdata\local\temp\_iu14d2n.tmp', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Опубликовано

1. Скрипт выполнил

2. Файл отправил:

KLAN-5908463156:

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
virtualoclprocess.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

3. Скачал FRST и просканировал

Отчеты FRST:

 

Опубликовано

Дополнение в FF

SHA-1 deprecation staged rollout

ставили самостоятельно?
Опубликовано (изменено)

Дополнение в FF

SHA-1 deprecation staged rollout

ставили самостоятельно?

 

FireFox (насколько я правильно понял вопрос) скорее всего устанавливался с оф. сайта. Достоверно точно сказать не могу - но обычно скачиваю официальные релизы. Возможно отсюда скачивал: mozilla-russia.org

Доп. информация: Какое-то время в FF были отключены обновления (около пары месяцев). Затем включил автоматические обновления в фоновом режиме. Вручную устанавливались

 

Жду ваших дальнейших инструкций.

 

Мониторинг ситуации: Процессы .tmp визуально исчезли из "монитора ресурсов" - контролирую постоянно, проверил 5 раз визуально и вручную, открывал c:/windows/temp - просматривал не создались ли там опять *.tmp: ничего нет.

 

UPD: добавил скрин со списком обновлений.

Про дополнения: 80-90% дополнений для FF устанавливал вручную. Все они работали постоянно и только неделю назад я отключил всё, кроме flash player'a и обновил его (автоматически) и silverlight (вручную с сайта Microsoft). Остальные не обновлял - просто отключил.

post-44424-0-72812000-1488564851_thumb.jpg

 

P.S. "SHA-1 deprecation staged rollout" не знаю что такое. Нагугоилось, что это альтернативная версия FF. (если это так, может снести FF вообще?) В логах нашел, что это дополнение для FF, как вы и спрашиваете [FF Extension: (SHA-1 deprecation staged rollout)], но даже не знаю, что конкретно это за дополнение. На скриншоте (выше) список дополнений, которые отображаются в FF сейчас.

Изменено пользователем PashaIglesias
Опубликовано

Пожалуйста упакуйте папку

C:\Users\Паша\AppData\Roaming\Mozilla\Firefox\Profiles\qwm9g4vn.default\features\{0f8c0cd9-b781-4667-b393-924a9244bcfc}\

с паролем virus и пришлите архив мне в ЛС.
Опубликовано

Я пытался! Но не успел.

Открыл указанную папку ...\features\. В ней было 2 папки, я выбрал указанную вами папку и открыл её. Там лежало 4 файла с расширениями *.xpi

На зная что это я решил загулить, что лежит в папке features - выяснил, что там дополнения. Спустя 5 минут перехожу в окно для создания архива для вас, а нужной папки уже и след простыл...(!)

Я не поверил своим глазам, стал проверять корзину (естественно там ничего не оказалось, но на всякий случай). Обновил папку - ничего. Включил скрытые файлы - папки нет! Помню, что дата её изменения была 04.03.2017 в 22.35 - как раз когда я ПК включил и открыл FF!

Bezymyannyj.1488658048.jpg

Наблюдения:

  1. Как только я открыл эту папку, ПК стал резко напрягаться. Я даже открывал Диспетчер задач, чтобы посмотреть что так ест ресурсы - увидел процесс system, использовал диск со скоростью 7-8 Мб/с.
  2. На ПК стоит стандартный защитник Windows - проверил его объекты в карантине, разрешенные объекты и все обнаруженные объекты - ничего нет.
  3. Что произошло с папкой - ума не приложу. Понимаю, что если это вирус, значит у него есть защита. Но такое ощущение, что кто-то прям ждал, когда я найду вирус, чтобы тут же замести следы.

UPD: перезагрузка ничего не дала.

Что теперь?

 

Сообщение от модератора Mark D. Pearlstone
Красный цвет использует только администрация. Сообщение отредактировано.
Опубликовано

Соберите и прикрепите свежие логи FRST.

Опубликовано (изменено)

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

 

begin
 QuarantineFileF('C:\Users\Паша\AppData\Roaming\Mozilla\Firefox\Profiles\qwm9g4vn.default\features\{cbcd58ae-6fa6-4edc-a72a-0b3ea4c48fbb}\', '', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Изменено пользователем Sandor
Опубликовано

Спасибо! Похоже, что это встроенные дополнения FF, так что не трогаем.

 

Если ситуация нормализовалась, все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Опубликовано (изменено)

SecurityCheck.txt:

 

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 07.03.2017 22:04:18
Path starting: C:\Users\Паша\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Паша
VersionXML: 3.98is-04.03.2017
___________________________________________________________________________

Windows 10(6.3.14393) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 22.09.2016 21:52:12
Статус лицензии: Windows®, CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)
Системный диск: C: ФС: [NTFS] Емкость: [906.3 Гб] Занято: [431.5 Гб] Свободно: [474.8 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.576.14393.0
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6612.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
Обновил. WinRAR 5.10 (64-разрядная) v.5.10.0 Внимание! Скачать обновления
Обновлял 5 дней назад. Microsoft Silverlight v.5.1.50901.0
Обновил. FileZilla Client 3.22.2.2 v.3.22.2.2 Внимание! Скачать обновления
Обновил. VLC media player v.2.2.1 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Удалил. Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
Удалил. µTorrent v.3.4.2.38397 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 NPAPI v.24.0.0.221
------------------------------- [ Browser ] -------------------------------
Google Chrome v.56.0.2924.87
Mozilla Firefox 51.0.1 (x86 ru) v.51.0.1
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.51.0.1.6234
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.0
C:\Program Files\Windows Defender\NisSrv.exe v.4.10.14393.0
Служба Защитника Windows (WinDefend) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------

 

 

Изменено пользователем PashaIglesias
Опубликовано

Sandor, спасибо за вашу помощь.

Проблема, с которой я обращался, действительно не наблюдается.

 

Что я узнал нового:

  • Вирусы не дремлют :)
  • Не все антивирусы одинаково полезные. Мою угрозу в частности не смогли обнаружить AVK (надеюсь не сочтете некорректным упоминание антивируса на его тематическом сайте в несколько отрицательном свете?) и Dr.Web.
  • Windows 10 - ещё более дырявый, чем я думал. Дальше немного файера: Заточен под возможность использования его в качестве инструмента для злодеяний (контроль, удаленный доступ, использование железа без ведома юзера => ботнеты). Думаю, продукт Microsoft способен постоянно присылать на любой ПК задачи на обработку и забирать результаты после их выполнения. Отчасти - это догадки, но как только берешься противостоять использованию твоего ПК в чужих целях - становится многое понятно.

 

Выводы:

  • Доверие к браузеру FireFox снизилось с 90% до 20%
  • Доверие к Flash Player'у снизилось с 30% до 5%
  • Полное ощущение отсутствия контроля над собственным ПК. Ещё немного напалма: И удаление приложений, программ, смена операционной системы - тут не смогут помочь. Ключевые функции вшиты прямо в железо, а уж про драйверы для него вообще и говорить нечего. Просто посмотрите, что сегодня Викиликс опубликовал - сливают данные с мобильных устройств ещё до шифровки перед отправкой. Используют имеющиеся уязвимости и вредоносное ПО (если таковое имеется) на ПК юзеров по всему миру для глобальных атак под "чужим флагом" - типо это ваши вирусы виноваты, а не мы. Какая же отсюда мотивация бороться с вирусами? Получается государства вообще могут дать установку разработчику антивируса попросту игнорировать некоторые угрозы, намеренно созданные государствами в политических целях? Это же абсурд, господа. Чему же тогда удивляться - почти каждый ПК, подключенный к интернету должен быть потенциально заражен! Не даром даже на уровне организаций существуют сети, не имеющие доступа в глобальную сеть. Почему? Да потому что - зачем!? Сорри за бомбящий флэйм.

 

Что собираюсь делать:

  • Отказаться от использования браузера FF (не только из-за этой ситуации - есть и другие причины).
  • Полностью отказаться от привычки сохранять пароли на ПК.
  • Полностью отказаться от привычки использовать одинаковые пароли где бы то ни было.
  • Настроить Windows 10 вручную, добавить значительные ограничения для ОС в свободе действий, особенно в части использования сетевых подключений. Список большой. Цель - повысить контроль над собственным ПК.

 

Прочие наблюдения:

  • Нашел подтверждение неспортивного поведения поисковика Яндекс, прогуливаясь по файлам на своем ПК. Оказалось Яндекс сам использует уязвимости FlashPlayer'а в личных, корыстных целях. Любая страница Яндекса подсовывает на ваш ПК ID-какулину, даже если вы не используете кукисы. Норм, да? Кому интересно: погуглите (вбейте в поиск, а не открывайте) этот URL: kiks.yandex.ru. Интересно - кто-нибудь вообще удивится этому моему наблюдению? Думаю - не многие. Все привыкли к тотальному контролю.
  • SecurityCheck.exe, как и FRST.exe показываются зараженными у ряда антивирусников (уверен вы это знаете). Заюзать их мне это не помешало :)

 

Ещё раз спасибо за помощь!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Garguha
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • Nelidoff
      Автор Nelidoff
      На днях обнаружил что процессор нагревается в простое. При открытии диспетчера задач процессор остывает. Проверил ПК разными антивирусными программами, проблема сохраняется. Один антивирус начал все время показывать сообщение о блокировании исходящего трафика от файла C:\Windows\system32\dmw.exe .Через ProcessKiller увидел два процесса dmw.exe. При закрытии одного из них, того что с подробным адресом C:\Windows\system32\dmw.exe процессор остывает. Обновил windows но это ничего не дало. 
      CollectionLog-2025.07.15-16.59.zip
    • farguskz
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Alexoon
      Автор Alexoon
      Подхватил какой-то вирус с почты. Постоянно открывается powershell и браузеры, т.е. по 5 раз в секунду
       
      Антивирусы ни один его не видят
      CollectionLog-2025.08.22-16.02.zip
    • monstr878
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
×
×
  • Создать...