Перейти к содержанию

[РЕШЕНО] Подозрение на вредоносное ПО


Рекомендуемые сообщения

Доброго времени суток! Во время запуска tor browser, я заметил подозрительный процесс(tor.exe), который привёл меня в дублирующую папку(tor browser) на другом разделе жесткого диска, там же я нашёл по меньшей мере 3 папки с программами, которые никогда не устанавливал.(WUFUC, 264vfw, xvid). На компьютере так же периодически возникает проблема с доступом к некоторым сайтам(например google) из-за антиспам защиты последних. Еще во время сканирования компьютера,  программой avz было выявлено несколько уязвимостей системы, например: : "разрешена отправка приглашений удаленному помощнику", "к ПК разрешен доступ анонимного пользователя", "разрешен административный доступ к локальным дискам (C$, D$ ...)" - эти уязвимости не получается исправить с помощью мастера поиска и устранения проблем. Резюмируя, мне кажется на моём устройстве установлено шпионское ПО и сам компьютер, и домашняя сеть используются для атаки на те или иные сервера в сети интернет. 

 

Логи

CollectionLog-2021.10.07-22.00.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

1) Проверьте пожалуйста в свойствах системы разрешен ли удаленный помощник?
image.png

 

2) Выполните пожалуйста следующие инструкции:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

07.10.2021 в 19:45, STH сказал:

WUFUC

Цитата

Wufuc — бесплатная прога с открытым исходным кодом, которая способна разблокировать Центр обновления на якобы неподдерживаемом оборудовании, чтобы вы смогли получать обновления.

_______

07.10.2021 в 19:45, STH сказал:

264vfw, xvid

Это от кодеков.

В частный первый у вас виден в списке установленных программ. Удалять не советую, потом может не воспроизводиться видео.

x264vfw - H.264/MPEG-4 AVC codec (remove only) [2020/07/27 16:06:31]-->C:\Program Files\x264vfw\x264vfw-uninstall.exe

 

2 часа назад, STH сказал:

Да, в системе разрешён удалённый помощник

Если хотите его отключить, то выполните скрипт в AVZ

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Remote Assistance','fAllowToGetHelp', 0);
end.

 

07.10.2021 в 19:45, STH сказал:

эти уязвимости не получается исправить с помощью мастера поиска и устранения проблем.

наверно глупый вопрос, но всё-таки спрошу. Запускали от имени администратора? И надеюсь AVZ из папки Автологера?

 

Плохого ничего не заметил, только вот хвост от удалённого в реестре

"пофиксим" в HijackThis:

O20 - HKLM\..\Winlogon\Notify\SDWinLogon: [DllName] = SDWinLogon.dll (file missing)

 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Цитата

наверно глупый вопрос, но всё-таки спрошу. Запускали от имени администратора? И надеюсь AAVZ Z из папки Автологера?

 

Нет, скачивал AVZ c официального сайта. Запустить от имени администратора я не додумался.

 

Цитата

 

Плохого ничего не заметил, только вот хвост от удалённого в реестре

"пофиксим" в HijackThis:


O20 - HKLM\..\Winlogon\Notify\SDWinLogon: [DllName] = SDWinLogon.dll (file missing)

 

Пофиксил, но во сканирования возникла ошибка. Отправил логи на форум разработчиков HijackThis.

Спасибо большое за консультацию.

Могу я задать еще один глупый вопрос?

Во время работы АVZ от имени администратора появились следующие строки:

7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]

 

 Ошибка поиска KeServiceDescriptorTable в ntkrnlpa.exe

 

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

 

Стоит ли беспокоиться по этому поводу? 

 

Ссылка на комментарий
Поделиться на другие сайты

3 hours ago, STH said:

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll"

Это скорее всего ложное срабатываение на драйвера Nvidia.

 

3 hours ago, STH said:

Стоит ли беспокоиться по этому поводу? 

По возможности стоит закрывать потенциально опасные уязвимости, чтобы не допустить заражение ПК, и т.п.

Также рекомендуется использовать AVZ из папки автологгера.

Ссылка на комментарий
Поделиться на другие сайты

Завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Ознакомьтесь со следующей информацией:

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Foxit Reader v.10.0.0.35798 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.8 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.94.0.4606.71 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
----------------------------- [ End of Log ] ------------------------------
 

На этом всё!

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • hu553in
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • grammer91
      От grammer91
      Добрый день!
       
      Проблема в следующем: после запуска системы примерно через 30 секунд запускается и сразу закрывается Powershell, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Проверку на вирусы запускал дважды, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему, пожалуйста
      CollectionLog-2024.11.14-11.33.zip
    • vlanzzy
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • ванькаветер
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
×
×
  • Создать...