Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Не запускается проверка Kaspersky Virus Removal Tool

александр2020

Автор александр2020
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

александр2020

александр2020

Опубликовано
Опубликовано (изменено)

Проблема началась после установки и использования iobit утилит для чистки и оптимизации компьютера. Проблему обнаружил еще в четверг, в простое видеокарта грелась до 80с. Я почистил компьютер, вызвал мастера, термопасту поменяли. Однако проблема осталась. Вегда использовал KVRT , но в этот раз вирусы мне не давали возможность даже запустить и найти его, точно так же как и dr. web cureit. Я сделал по хитрому, скачал на телефоне dr.web, загрузил потом на компьютер и удалил найденные вирусы. Потом скачал утилиту KVRT, она уже запускалась, но проверку делать отказывается, не нажимается. Я уверен что вирусы все еще какие то остались, они себя не выдают

CollectionLog-2020.10.24-18.04.zip

Изменено пользователем александр2020
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

  

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\com.squirrel.Teams.Teams','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите здесь.
 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan ToolNAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\MountPoints2: F - "F:\Autoplay.exe" -auto
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\MountPoints2: {4df1f8ea-c1c5-11e8-8652-fcaa140d599b} - "F:\Autoplay.exe" -auto
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\MountPoints2: {e3996899-f9b5-11e8-8656-fcaa140d599b} - "I:\OInstall.exe" 
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
OPR Extension: (Adblocker for Youtube™) - C:\Users\demangel\AppData\Roaming\Opera Software\Opera Stable\Extensions\pogmclhffdfjphnjlikiijmdjpjlfodk [2018-12-14]
2020-09-01 13:44 - 2020-10-23 00:13 - 000000000 ___HD C:\Program Files\RDP Wrapper
2020-09-01 13:33 C:\Program Files\ESET
2020-10-24 04:10 C:\ProgramData\Doctor Web
2020-10-24 04:10 C:\Users\Все пользователи\Doctor Web
FirewallRules: [TCP Query User{85AE691A-96D7-44EF-BA18-18A17DAB2747}H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe] => (Allow) H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe => No File
FirewallRules: [UDP Query User{7FB5E96F-B303-4F40-9421-DDE601316873}H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe] => (Allow) H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe => No File
FirewallRules: [{2C12102F-C95D-480B-BB08-0F9DB3AE0685}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyqfh [0]
AlternateDataStreams: C:\ProgramData\TEMP:04853F41 [141]
AlternateDataStreams: C:\ProgramData\TEMP:7980A5DB [149]
AlternateDataStreams: C:\ProgramData\TEMP:8DAF83BD [141]
AlternateDataStreams: C:\ProgramData\TEMP:AE77C4CC [129]
AlternateDataStreams: C:\ProgramData\TEMP:B0177106 [143]
AlternateDataStreams: C:\ProgramData\TEMP:B6AC352B [131]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210]
AlternateDataStreams: C:\Users\demangel\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\demangel\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyqfh [0]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:04853F41 [141]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:7980A5DB [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8DAF83BD [141]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:AE77C4CC [129]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B0177106 [143]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B6AC352B [131]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [210]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
александр2020

александр2020

Опубликовано
  • Автор
Опубликовано

благодарю вас за помощь, вы очень помогли, теперь запускается, отпишусь как все проверит

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, напримерC:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
thyrex

thyrex

Опубликовано
Опубликовано
Цитата

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.5.9 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.20278 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft OneDrive v.20.143.0716.0003 Внимание! Скачать обновления
Steam v.2.10.91.91
TeamViewer v.15.0.8397 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.60 (64-разрядная) v.5.60.0 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
WhatsApp v.2.2041.6 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
ProtonVPN v.1.12.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45790 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.51.2080, 07.07.2018 Внимание! Скачать обновления
K-Lite Codec Pack 15.3.5 Full v.15.3.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 30 ActiveX & Plugins 64-bit v.30.0.0.154 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Creative Cloud v.4.7.0.400 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.433 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.433 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 81.0.2 (x64 ru) v.81.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Игровой центр v.4.1530 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Razer Cortex v.9.1.7.901 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.3.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Miracle29
      [Сувенир] k-style: термобутылка
      Автор Miracle29
      В данной теме представлен обзор с подробным описанием подарочного сувенира, который можно получить из магазина клуба по бонусной программе, за форумное бета-тестирование и т. п.
      .
      Пожалуйста, не обсуждайте в этой теме другие сувениры.
       
      k-style: термобутылка
       
      Термобутылка в фирменном градиенте Kaspersky поможет дольше поддерживать оптимальную температуру напитка внутри. Незаменима в походе, на прогулке и когда не хочется вставать к чайнику. Термостакан сохраняет напитки горячими не менее 6 часов, холодными – не менее 12 часов.
      Материал: нержавеющая сталь
      Объём: 500 мл
      Размер: 70х236х70 мм
      Вес: 280 г
       
       
      Приятный цвет и форма бутылки, герметичная крышка.




      Еще фото


    • Miracle29
      [Сувенир] k-tools: настольный микрофон
      Автор Miracle29
      В данной теме представлен обзор с подробным описанием подарочного сувенира, который можно получить из магазина клуба по бонусной программе, за форумное бета-тестирование и т. п.
      .
      Пожалуйста, не обсуждайте в этой теме другие сувениры.
       
      k-tools: настольный микрофон
       
      Проводной конденсаторный USB-микрофон, который чётко передаст звучание голоса. Подойдёт для ведения прямых эфиров, студийной звукозаписи, и общения в командных онлайн-играх. Часть крепкого корпуса окрашена в корпоративный зелёный цвет, что в сочетании с RGB-подсветкой выглядит особенно ярко. Регулятор позволяет изменять громкость звукозаписи, а при необходимости – полностью отключить устройство.
      Материал: пластик, металл
      Размер: 55х170х55 мм
      Подсветка корпуса: RGB 
      Интерфейс подключения: USB 2.0, длина провода: 180 см
      Чувствительность: -38 ± 3 дБ (1,5 В, 680 К Ом; 0 дБ = 1 В/Па, 1 кГц)
      Диапазон частот: 40 Гц-18000 Гц
      Отношение сигнал/шум: >66 дБ
      Выходное сопротивление: <2,2 кОм
      Максимальный уровень входного звукового давления: 125 дБ
      Опции: регулировка громкости, отключение звука, регулировка наклона
      Направленность: кардиоидная. Система снижения фонового шума
      Частота дискретизации: 48 кГц/16 бит
      Совместимость: Windows, Mac, PS. Несовместим с XBOX
      Комплектация: микрофон, инструкция на русском и английском языках.
       
       
      По результатам использования:
      Звук чистый и громкий, микрофон компактный, устойчивая конструкция. Что осособенно нравится - RGB-подсветка: подсвечивается не только микрофон разными цветами, но и индикаторы звука и логотип "kaspesky". Классный девайс для онлайн игр и общения 💥
       







      Еще фото)
       
       




    • KL FC Bot
      Чек-лист для выбора EPP-решения | Блог Касперского
      Автор KL FC Bot
      Сейчас на рынке ИБ-решений можно найти множество предложений, обещающих обезопасить корпоративную инфраструктуру на разных уровнях. Однако очевидно, что краеугольным камнем стратегии информационной безопасности остаются решения для защиты конечных точек. За последние десятилетия они эволюционировали от обычного условного антивируса до комплексных многофункциональных платформ. Но разные вендоры называют платформами для защиты рабочих мест (Endpoint Protection Platform, EPP) совершенно разные решения с совершенно разным набором возможностей, так что сравнивать их друг с другом становится практически невозможно.
      Мы предлагаем при выборе EPP-решения отталкиваться не от возможностей продуктов, а от конкретных нужд вашей компании. Поэтому мы сделали простой чек-лист, призванный помочь вам сформулировать собственные требования и на основании их сделать обоснованный выбор решения класса EPP, которое обеспечит надежную защиту сегодня и будет соответствовать вызовам завтрашнего дня. Отметьте пункты, которым должно соответствовать решение для защиты конкретно вашей инфраструктуры, и вам будет гораздо проще определиться с выбором.
      1. Поддержка каких платформ вам нужна?
      Чек-лист
      Windows macOS Linux Android/iOS Виртуальные инфраструктуры VDI Современные EPP-решения должны обеспечивать комплексную защиту всех типов операционных систем и различных сред развертывания. Современный ИТ-ландшафт обычно представляет собой смесь из разнородных систем, где каждая представляет собой отдельный вектор атаки и требует специфической защиты. Выбор EPP, ограниченного лишь одной основной ОС, создает «слепые зоны» в безопасности организации — вам нужно решение, способное «закрыть» все используемые в компании системы.
       
      View the full article
    • KL FC Bot
      Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского
      Автор KL FC Bot
      Существуют десятки способов добраться до чужого аккаунта в Telegram. Мы не раз писали и про фишинг в Telegram Mini Apps, и про стилеры под видом обхода блокировок, и про мошенников-кадровиков, и про многие другие варианты. Сегодня расскажем про еще один способ угнать аккаунт в мессенджере — с помощью PowerShell-скрипта.
      Скрипт с безобидным названием «Обновление телеметрии Windows» оказался инструментом для кражи сессий Telegram. Он умеет собирать данные с беззащитных компьютеров жертв и отправлять их злоумышленникам через Telegram-бот.
      Недобрый скрипт со стилером внутри
      Злоумышленники часто используют PowerShell-скрипты для скрытой загрузки вредоносных программ или кражи данных. На этот раз исследователи обнаружили на Pastebin скрипт, внутри которого под видом безобидного обновления Windows скрывался стилер, ворующий данные сессий пользователей Telegram для Windows и позволяющий злоумышленникам угнать аккаунт мессенджера без пароля и кодов доступа.
      Этот PowerShell-скрипт ворует данные сессий пользователей Telegram для Windows, позволяя злоумышленникам угнать аккаунт без пароля и кодов доступа
      В скрипте исследователей сразу же привлекли токен бота Telegram и идентификатор чата в первых строках, а также неоднократное упоминание папки tdata, в которой Telegram для Windows хранит ключи авторизации для аутентификации пользователей на серверах Telegram. Если бот получит доступ к этой папке, злоумышленник сможет войти в чужой Telegram-аккаунт без облачного пароля и подтверждения по SMS. Доступ в таком случае сохраняется до момента, пока жертва не проверит активные сессии в приложении и не аннулирует подозрительные.
       
      View the full article
    • KL FC Bot
      Как Hola Browser распространял криптомайнер Monero | Блог Касперского
      Автор KL FC Bot
      Скомпрометированная версия израильского браузера Hola для Windows (1.251.91.0) загружала на устройства пользователей криптомайнер для добычи криптовалюты Monero. Это обнаружили в начале июня исследователи кибербезопасности. Позднее разработчик браузера, компания Hola, сообщила о том, что стала жертвой атаки на цепочку поставок. Подробнее об атаке, криптомайнере и возможных последствиях для пользователей читайте в нашей статье.
      Что представляет собой браузер Hola и как было обнаружено его заражение
      Израильская компания Hola наиболее известна своим VPN-сервисом, направленным в первую очередь на обход географических ограничений и получение доступа к контенту из других стран. Помимо VPN, компания также развивает браузер Hola Browser на базе Chromium со встроенными функциями VPN и прокси.
      Исследователи обнаружили признаки компрометации браузера Hola в рамках процесса сертификации AppEsteem Windows Certified Application. В ходе этой процедуры независимые компании, работающие в области кибербезопасности, проверяют, соответствует ли приложение заявленному составу компонентов и не содержит ли оно нежелательных или вредоносных функций. После получения сертификата приложения периодически проходят повторные проверки на соответствие требованиям AppEsteem.
      Именно в рамках одного из таких тестов специалисты и обнаружили посторонний файл, который загружался вместе с версией 1.251.91.0 браузера Hola для Windows. Этот файл сохранялся на диск и был доступен по пути C:\Program Files\Hola\me{.}exe. Файл привлек внимание исследователей из-за целого ряда подозрительных признаков. Он отсутствовал в списке сертифицированных файлов, не содержал временной метки и не был подписан цифровой подписью, при этом содержал обфусцированный код и обладал возможностью записи в память.
      Исследователи отмечают, что обнаружили файл не во всех установках браузера. Поскольку заражение носило непостоянный характер, специалисты предположили, что речь идет о компрометации одного из этапов распространения Hola Browser. Позднее сама компания подтвердила, что стала жертвой атаки на цепочку поставок.
      Изучение же самого подозрительного файла me{.}exe показало, что в нем скрывался криптомайнер для добычи криптовалюты Monero. Подробнее о нем — в следующей части нашего поста.
       
      View the full article
×
×
  • Создать...