Вирус создает процессы .tmp

[PashaIglesias]

Здравствуйте,
Случайно нашел странный процесс с расширением .tmp
Стал гуглить и нашел вас
Разыскал свой файл в папке C:/Windows/Temp/
Бегло проверил его TotalVirus'om, который показал наличие заражения 5/56 (ужаснувшись происходящим) стал читать детально.
Дочитав нашел ещё одну тему и вот я тут со своими логами (вложение), прошу помощи в удалении вирусов.

P.s. Доп. инфа: запущенный в системе процесс был с названием evb6FE4.tmp. После его завершения, спустя несколько минут появился новый процесс с расширением .tmp и другим названием (скриншот во вложении)...

CollectionLog-2017.02.28-23.59.rar

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\9e39~1\appdata\local\temp\_iu14d2n.tmp');
 QuarantineFile('C:\ProgramData\binary\virtualoclprocess.exe','');
 QuarantineFile('c:\users\9e39~1\appdata\local\temp\_iu14d2n.tmp', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SUEN" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\binary\virtualoclprocess.exe','32');
 DeleteFile('c:\users\9e39~1\appdata\local\temp\_iu14d2n.tmp', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[PashaIglesias]

1. Скрипт выполнил

2. Файл отправил:

KLAN-5908463156:

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
virtualoclprocess.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

3. Скачал FRST и просканировал

Отчеты FRST:

frst.rar

 

[Sandor]

Дополнение в FF

SHA-1 deprecation staged rollout

ставили самостоятельно?

[PashaIglesias]

Дополнение в FF

SHA-1 deprecation staged rollout

ставили самостоятельно?

 

FireFox (насколько я правильно понял вопрос) скорее всего устанавливался с оф. сайта. Достоверно точно сказать не могу - но обычно скачиваю официальные релизы. Возможно отсюда скачивал: mozilla-russia.org

Доп. информация: Какое-то время в FF были отключены обновления (около пары месяцев). Затем включил автоматические обновления в фоновом режиме. Вручную устанавливались

 

Жду ваших дальнейших инструкций.

 

Мониторинг ситуации: Процессы .tmp визуально исчезли из "монитора ресурсов" - контролирую постоянно, проверил 5 раз визуально и вручную, открывал c:/windows/temp - просматривал не создались ли там опять *.tmp: ничего нет.

 

UPD: добавил скрин со списком обновлений.

Про дополнения: 80-90% дополнений для FF устанавливал вручную. Все они работали постоянно и только неделю назад я отключил всё, кроме flash player'a и обновил его (автоматически) и silverlight (вручную с сайта Microsoft). Остальные не обновлял - просто отключил.

 

P.S. "SHA-1 deprecation staged rollout" не знаю что такое. Нагугоилось, что это альтернативная версия FF. (если это так, может снести FF вообще?) В логах нашел, что это дополнение для FF, как вы и спрашиваете [FF Extension: (SHA-1 deprecation staged rollout)], но даже не знаю, что конкретно это за дополнение. На скриншоте (выше) список дополнений, которые отображаются в FF сейчас.

Изменено 3 марта, 2017 пользователем PashaIglesias

[Sandor]

Пожалуйста упакуйте папку

C:\Users\Паша\AppData\Roaming\Mozilla\Firefox\Profiles\qwm9g4vn.default\features\{0f8c0cd9-b781-4667-b393-924a9244bcfc}\

с паролем virus и пришлите архив мне в ЛС.

[PashaIglesias]

Я пытался! Но не успел.

Открыл указанную папку ...\features\. В ней было 2 папки, я выбрал указанную вами папку и открыл её. Там лежало 4 файла с расширениями *.xpi

На зная что это я решил загулить, что лежит в папке features - выяснил, что там дополнения. Спустя 5 минут перехожу в окно для создания архива для вас, а нужной папки уже и след простыл...(!)

Я не поверил своим глазам, стал проверять корзину (естественно там ничего не оказалось, но на всякий случай). Обновил папку - ничего. Включил скрытые файлы - папки нет! Помню, что дата её изменения была 04.03.2017 в 22.35 - как раз когда я ПК включил и открыл FF!

Наблюдения:

1. Как только я открыл эту папку, ПК стал резко напрягаться. Я даже открывал Диспетчер задач, чтобы посмотреть что так ест ресурсы - увидел процесс system, использовал диск со скоростью 7-8 Мб/с.
2. На ПК стоит стандартный защитник Windows - проверил его объекты в карантине, разрешенные объекты и все обнаруженные объекты - ничего нет.
3. Что произошло с папкой - ума не приложу. Понимаю, что если это вирус, значит у него есть защита. Но такое ощущение, что кто-то прям ждал, когда я найду вирус, чтобы тут же замести следы.

UPD: перезагрузка ничего не дала.

Что теперь?

 

Сообщение от модератора Mark D. Pearlstone

Красный цвет использует только администрация. Сообщение отредактировано.

[Sandor]

Соберите и прикрепите свежие логи FRST.

[PashaIglesias]

Логи FRST

frst2.rar

[Sandor]

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

 

begin
 QuarantineFileF('C:\Users\Паша\AppData\Roaming\Mozilla\Firefox\Profiles\qwm9g4vn.default\features\{cbcd58ae-6fa6-4edc-a72a-0b3ea4c48fbb}\', '', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Изменено 6 марта, 2017 пользователем Sandor

[PashaIglesias]

[Sandor]

Спасибо! Похоже, что это встроенные дополнения FF, так что не трогаем.

 

Если ситуация нормализовалась, все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[PashaIglesias]

SecurityCheck.txt:

 

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 07.03.2017 22:04:18
Path starting: C:\Users\Паша\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Паша
VersionXML: 3.98is-04.03.2017
___________________________________________________________________________

Windows 10(6.3.14393) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 22.09.2016 21:52:12
Статус лицензии: Windows®, CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)
Системный диск: C: ФС: [NTFS] Емкость: [906.3 Гб] Занято: [431.5 Гб] Свободно: [474.8 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.576.14393.0
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6612.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
Обновил. WinRAR 5.10 (64-разрядная) v.5.10.0 Внимание! Скачать обновления
Обновлял 5 дней назад. Microsoft Silverlight v.5.1.50901.0
Обновил. FileZilla Client 3.22.2.2 v.3.22.2.2 Внимание! Скачать обновления
Обновил. VLC media player v.2.2.1 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Удалил. Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
Удалил. µTorrent v.3.4.2.38397 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 NPAPI v.24.0.0.221
------------------------------- [ Browser ] -------------------------------
Google Chrome v.56.0.2924.87
Mozilla Firefox 51.0.1 (x86 ru) v.51.0.1
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.51.0.1.6234
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.0
C:\Program Files\Windows Defender\NisSrv.exe v.4.10.14393.0
Служба Защитника Windows (WinDefend) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------

 

 

Изменено 7 марта, 2017 пользователем PashaIglesias

[Sandor]

Обновите указанное.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[PashaIglesias]

Sandor, спасибо за вашу помощь.

Проблема, с которой я обращался, действительно не наблюдается.

 

Что я узнал нового:

• Вирусы не дремлют
• Не все антивирусы одинаково полезные. Мою угрозу в частности не смогли обнаружить AVK (надеюсь не сочтете некорректным упоминание антивируса на его тематическом сайте в несколько отрицательном свете?) и Dr.Web.
• Windows 10 - ещё более дырявый, чем я думал. Дальше немного файера: Заточен под возможность использования его в качестве инструмента для злодеяний (контроль, удаленный доступ, использование железа без ведома юзера => ботнеты). Думаю, продукт Microsoft способен постоянно присылать на любой ПК задачи на обработку и забирать результаты после их выполнения. Отчасти - это догадки, но как только берешься противостоять использованию твоего ПК в чужих целях - становится многое понятно.

 

Выводы:

• Доверие к браузеру FireFox снизилось с 90% до 20%
• Доверие к Flash Player'у снизилось с 30% до 5%
• Полное ощущение отсутствия контроля над собственным ПК. Ещё немного напалма: И удаление приложений, программ, смена операционной системы - тут не смогут помочь. Ключевые функции вшиты прямо в железо, а уж про драйверы для него вообще и говорить нечего. Просто посмотрите, что сегодня Викиликс опубликовал - сливают данные с мобильных устройств ещё до шифровки перед отправкой. Используют имеющиеся уязвимости и вредоносное ПО (если таковое имеется) на ПК юзеров по всему миру для глобальных атак под "чужим флагом" - типо это ваши вирусы виноваты, а не мы. Какая же отсюда мотивация бороться с вирусами? Получается государства вообще могут дать установку разработчику антивируса попросту игнорировать некоторые угрозы, намеренно созданные государствами в политических целях? Это же абсурд, господа. Чему же тогда удивляться - почти каждый ПК, подключенный к интернету должен быть потенциально заражен! Не даром даже на уровне организаций существуют сети, не имеющие доступа в глобальную сеть. Почему? Да потому что - зачем!? Сорри за бомбящий флэйм.

 

Что собираюсь делать:

• Отказаться от использования браузера FF (не только из-за этой ситуации - есть и другие причины).
• Полностью отказаться от привычки сохранять пароли на ПК.
• Полностью отказаться от привычки использовать одинаковые пароли где бы то ни было.
• Настроить Windows 10 вручную, добавить значительные ограничения для ОС в свободе действий, особенно в части использования сетевых подключений. Список большой. Цель - повысить контроль над собственным ПК.

 

Прочие наблюдения:

• Нашел подтверждение неспортивного поведения поисковика Яндекс, прогуливаясь по файлам на своем ПК. Оказалось Яндекс сам использует уязвимости FlashPlayer'а в личных, корыстных целях. Любая страница Яндекса подсовывает на ваш ПК ID-какулину, даже если вы не используете кукисы. Норм, да? Кому интересно: погуглите (вбейте в поиск, а не открывайте) этот URL: kiks.yandex.ru. Интересно - кто-нибудь вообще удивится этому моему наблюдению? Думаю - не многие. Все привыкли к тотальному контролю.
• SecurityCheck.exe, как и FRST.exe показываются зараженными у ряда антивирусников (уверен вы это знаете). Заюзать их мне это не помешало

 

Ещё раз спасибо за помощь!