[РЕШЕНО] Подозрение на вредоносное ПО

[STH]

Доброго времени суток! Во время запуска tor browser, я заметил подозрительный процесс(tor.exe), который привёл меня в дублирующую папку(tor browser) на другом разделе жесткого диска, там же я нашёл по меньшей мере 3 папки с программами, которые никогда не устанавливал.(WUFUC, 264vfw, xvid). На компьютере так же периодически возникает проблема с доступом к некоторым сайтам(например google) из-за антиспам защиты последних. Еще во время сканирования компьютера,  программой avz было выявлено несколько уязвимостей системы, например: : "разрешена отправка приглашений удаленному помощнику", "к ПК разрешен доступ анонимного пользователя", "разрешен административный доступ к локальным дискам (C$, D$ ...)" - эти уязвимости не получается исправить с помощью мастера поиска и устранения проблем. Резюмируя, мне кажется на моём устройстве установлено шпионское ПО и сам компьютер, и домашняя сеть используются для атаки на те или иные сервера в сети интернет. 

 

Логи

CollectionLog-2021.10.07-22.00.zip

[SQ]

Здравствуйте,

1) Проверьте пожалуйста в свойствах системы разрешен ли удаленный помощник?

 

2) Выполните пожалуйста следующие инструкции:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

 

[STH]

Здравствуйте!

1)Да, в системе разрешён удалённый помощник

2)Отчет прикрепил 

AdwCleaner[S00].txt

[regist]

07.10.2021 в 19:45, STH сказал:

WUFUC

Цитата

Wufuc — бесплатная прога с открытым исходным кодом, которая способна разблокировать Центр обновления на якобы неподдерживаемом оборудовании, чтобы вы смогли получать обновления.

_______

07.10.2021 в 19:45, STH сказал:

264vfw, xvid

Это от кодеков.

В частный первый у вас виден в списке установленных программ. Удалять не советую, потом может не воспроизводиться видео.

x264vfw - H.264/MPEG-4 AVC codec (remove only) [2020/07/27 16:06:31]-->C:\Program Files\x264vfw\x264vfw-uninstall.exe

 

2 часа назад, STH сказал:

Да, в системе разрешён удалённый помощник

Если хотите его отключить, то выполните скрипт в AVZ

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Remote Assistance','fAllowToGetHelp', 0);
end.

 

07.10.2021 в 19:45, STH сказал:

эти уязвимости не получается исправить с помощью мастера поиска и устранения проблем.

наверно глупый вопрос, но всё-таки спрошу. Запускали от имени администратора? И надеюсь AVZ из папки Автологера?

 

Плохого ничего не заметил, только вот хвост от удалённого в реестре

"пофиксим" в HijackThis:

O20 - HKLM\..\Winlogon\Notify\SDWinLogon: [DllName] = SDWinLogon.dll (file missing)

 

[STH]

Цитата

наверно глупый вопрос, но всё-таки спрошу. Запускали от имени администратора? И надеюсь AAVZ Z из папки Автологера?

 

Нет, скачивал AVZ c официального сайта. Запустить от имени администратора я не додумался.

 

Цитата

 

Плохого ничего не заметил, только вот хвост от удалённого в реестре

"пофиксим" в HijackThis:

O20 - HKLM\..\Winlogon\Notify\SDWinLogon: [DllName] = SDWinLogon.dll (file missing)

 

Пофиксил, но во сканирования возникла ошибка. Отправил логи на форум разработчиков HijackThis.

Спасибо большое за консультацию.

Могу я задать еще один глупый вопрос?

Во время работы АVZ от имени администратора появились следующие строки:

7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]

 

 Ошибка поиска KeServiceDescriptorTable в ntkrnlpa.exe

 

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

 

Стоит ли беспокоиться по этому поводу? 

 

[SQ]

3 hours ago, STH said:

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll"

Это скорее всего ложное срабатываение на драйвера Nvidia.

 

3 hours ago, STH said:

Стоит ли беспокоиться по этому поводу? 

По возможности стоит закрывать потенциально опасные уязвимости, чтобы не допустить заражение ПК, и т.п.

Также рекомендуется использовать AVZ из папки автологгера.

[STH]

У меня больше не осталось вопросов. Большое спасибо за помощь!

[SQ]

Завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[STH]

SecurityCheck.txt

[SQ]

Ознакомьтесь со следующей информацией:

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Foxit Reader v.10.0.0.35798 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.8 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.94.0.4606.71 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
----------------------------- [ End of Log ] ------------------------------
 

На этом всё!

[SQ]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".