В поисках Тихаря

[Арахна]

Доброго времени суток...

 

Началось с того, что в прошедший июнь меня начал яростно одолевать один из старых вирусов *Gael.D* (заражает EXE файлы от имени системы, получая список жертв из ядра системы, ну или как то так). Эта зараза досадно сильно подпортила моё настроение, испортив тучу моих EXEшников...

И примерно с того времени, как зарубила заразу, примерно каждые 0.5 - 2 месяца у меня срабатывает оповещение о найденном вирусе. Каждый раз разный тип опознавателя вируса и разные файлы.
Последний раз такое срабатывание пришлось на вчерашний день, был заражен один EXE файл в директории одного из ПО (потолстел с 1.0 мб до 6 мб), причем то же самое ПО на других компьютерах имеет как и ожидалось чистый файл. Само ПО в котором обнаружена зараза, уже достаточно давно не запускалось, а функций авто-обновления или прочих внешних задач/сервисов не имеется в ПО.
Выходит то, что файл был заражен Третьей стороной. От чего у меня опять нервы дрогнули от произошедшего.

Особенности компьютера:
* Windows 10 Pro - Лицензия

* MS Office 2016  - Пиратская ( KMSAuto )
* Прочее ПО для разработки и редактирования всячины... и игры, как же без них )))
* Имеется расшаренные в домашней локальной сети *с полным доступом без пароля* (Раб. стол и пару жестких дисков под хранилище файлов (Системный диск не расшарен)) 

      - Файлы на расшаренных местах от вирусов не страдали, а прочие ПК в локалке кристально чисты.

* Имеется домен с выходом на этот компьютер
* Все внешние соединения (все порты) перенаправляются на этот компьютер, другие ПК изолированны от инициативы из вне.
* Постоянно работают в течении года: UTorrent 1.8.2; TeamViewer 13-14, Discord, Chrome, HFS 2.3m
 

То есть, я пришла к такому выводу: 

В системе имеется скрытый вирус, либо дыра, через которые приходит периодически всякая нечисть.
Чем только не проверялась, как только не копала, не получается найти паразита. В связи с тем что нечисть приходит редко и внезапно, отловить момент не представляется возможным, в сетевой активности подозрительностей не наблюдаю.

В общем ищу советов, как можно поймать с поличным эту заразу?
И в этих делах я шарю, но как можно сделать логирование (аудит) исключительно только на ЕХЕ на создание/запись/удаление кем, чем и когда так сказать?
В родном аудите Windows не разбираюсь, но то что я включила, по мимо целевого, в журнал пишется много лишнего (Активные пути? PATH? на все типы доступа)(можно ли это "по умолчанию" отключить?)

И еще заметила в журнале безопасности такую запись, это нормально или нет? Стоит ли беспокоится?

"(Открой меня нежно)":

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ADMIN
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC000006A

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: 88.151.177.6
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

 

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[Арахна]

Приложила недостающий архив автоматических логов, надеюсь на вашу поддержку.

CollectionLog-2019.03.14-08.18.zip

Изменено 14 марта, 2019 пользователем Арахна

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

[Арахна]

Прикладываю результат проверки Malwarebytes' Anti-Malware, также ссылки VirusTotal:
* C:\ProgramData\KMSAutoS\KMSAuto Net.exe

- https://www.virustotal.com/ru/file/3c56387a047564ab68443d8c2f9f427933d5caa09354b60ebf1879a3f3862ceb/analysis/

* C:\ProgramData\KMSAutoS\bin\KMSSS.exe

- https://www.virustotal.com/ru/file/acd55c44b8b0d66d66defed85ca18082c092f048d3621da827fce593305c11fd/analysis/

* C:\ProgramData\KMSAutoS\bin\TunMirror.exe

- https://www.virustotal.com/ru/file/d87e8d9d43758ce67a8052cb2334b99cc24f9b0437ee44815f360be0b22d835a/analysis/

* C:\ProgramData\KMSAutoS\bin\TunMirror2.exe

- https://www.virustotal.com/ru/file/8d6432321e0c5bc3c9abefb6b0c102f30e910b0691d90194dd0115a4f4dc4d9c/analysis/

scan.txt

[regist]

Ничего вирусного нет.
А по делу, если ваш антивирус пропускает вирус и замечает его появление только после того как уже заразится, то может стоит сменить антивирус? Или как минимум написать в его тех. поддержку.

+ MBAM деинсталируйте.

[Арахна]

Доброго ночного настроения...

Айболит-2010, Да дело не в том. Что если даже его "нет", то от куда они лезут? Вот в чем вопрос!
Я достаточно опытна чтобы годами сидеть в интернете и пользоваться компьютером так, чтобы вирусов не хватать, ведь я сама являюсь разработчиком ПО, но не особо разбираюсь в том, какими опилками внутри себя оперирует Windows.
И я бы не писала бы просто так, чтобы только лишь потратить ваше время и моё в том числе.

Факт в том, что антивирус не может на ровном месте относительно регулярно детектить заразу. Но он это делает, вывод -> зараза или дыра через которую они лезут, есть!

Если прочитаете конец начального поста, под жирным грифом, то я в принципе то спрашиваю советов/способов отследить место/причину появления этого добра на моём компьютере.
Я уже даже перестала исключать возможность наличия не детектирующегося виря, использующего еще не обнаруженную уязвимость... тьфу тьфу тьфу.....

Ведь к примеру: через Аудит можно отследить какая программа/дескриптор заразил к примеру "demo\plan.exe" и дальше уже копать к источнику... но я не знаю как можно настроить аудит так, чтобы это событие не перезаписалось спустя час 99.99% пустышками.

Изменено 15 марта, 2019 пользователем Арахна

[Sandor]

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Арахна]

Не работает SecurityCheck

 

Произошла ошибка при выполнении ""SecurityCheck.exe" /autodelscript"
Не удаётся найти указанный файл.

 

От имени Администратора само собой...
И в том числе без кириллицы в пути, даже на "C:\SecurityCheck.exe"

Изменено 15 марта, 2019 пользователем Арахна

[Sandor]

Так проверьте:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Арахна]

Результат Скрипта в AVZ:
 

1. Включите UAC...

Конец...

[Sandor]

Включите

+

На заметку - Рекомендации после удаления вредоносного ПО

[Арахна]

Ну если "исключительно бесящие" UAC окошки имеют какую то реальную пользу. Я совсем не против того, чтобы немножко пожертвовать условной защитой, но при этом не видеть эти раздражающие UAC окна.

 

Из рекомендаций полезного к сожалению не подчерпнула.

 

Врядли поможет с поисками, но это тот самый файл, что был заражен позавчера. Логики выбора цели для заражения я не могу понять, почему только один файл, и в какой то глуши "C:\Users\Public\xxxxx\"

 

Зараженный (пароль: virus) ( [ссылка] ) (VirusTotal: https://www.virustotal.com/ru/file/c19dd10753b30e2ae11b19a59942488462708ed782412531321ba700160eedf7/analysis/ )

и оригинал во вложении

Изменено 15 марта, 2019 пользователем Sandor
Убрал ссылку и подозрительный файл

[Sandor]

Не выкладывайте подозрительные файлы.

 

Поясните

примерно каждые 0.5 - 2 месяца у меня срабатывает оповещение о найденном вирусе

Кто оповещает?

[Арахна]

Еще такой вопрос: и в журнале Windows и сейчас Belarc Advisor говорят о том, что у меня без прерывно используется учетная запись "Гость", учитывая то, что она не активна с момента установки Windows, это нормально, или это то, за что стоит зацепиться ? (Так же я еще надеюсь на ответ о записи из журнала безопасности из низин начального поста)

------------------------------------

Sandor, "Защитник Windows" только еще вопрос в том, когда файл был заражен, позавчера и тут же сработал антивирус на событие записи, или несколько ранее (но не более 2.5 месяца назад, я тогда переставляла причастное ПО полностью)

Скорее всего среагировал на событие записи, ибо обычно он стабильно регулярно ругается на AutoKMS - как только тот что либо сделает

Изменено 15 марта, 2019 пользователем Арахна