Перейти к содержанию

[РЕШЕНО] Подозрение на вредоносное ПО


Рекомендуемые сообщения

Доброго времени суток! Во время запуска tor browser, я заметил подозрительный процесс(tor.exe), который привёл меня в дублирующую папку(tor browser) на другом разделе жесткого диска, там же я нашёл по меньшей мере 3 папки с программами, которые никогда не устанавливал.(WUFUC, 264vfw, xvid). На компьютере так же периодически возникает проблема с доступом к некоторым сайтам(например google) из-за антиспам защиты последних. Еще во время сканирования компьютера,  программой avz было выявлено несколько уязвимостей системы, например: : "разрешена отправка приглашений удаленному помощнику", "к ПК разрешен доступ анонимного пользователя", "разрешен административный доступ к локальным дискам (C$, D$ ...)" - эти уязвимости не получается исправить с помощью мастера поиска и устранения проблем. Резюмируя, мне кажется на моём устройстве установлено шпионское ПО и сам компьютер, и домашняя сеть используются для атаки на те или иные сервера в сети интернет. 

 

Логи

CollectionLog-2021.10.07-22.00.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

1) Проверьте пожалуйста в свойствах системы разрешен ли удаленный помощник?
image.png

 

2) Выполните пожалуйста следующие инструкции:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты
07.10.2021 в 19:45, STH сказал:

WUFUC

Цитата

Wufuc — бесплатная прога с открытым исходным кодом, которая способна разблокировать Центр обновления на якобы неподдерживаемом оборудовании, чтобы вы смогли получать обновления.

_______

07.10.2021 в 19:45, STH сказал:

264vfw, xvid

Это от кодеков.

В частный первый у вас виден в списке установленных программ. Удалять не советую, потом может не воспроизводиться видео.

x264vfw - H.264/MPEG-4 AVC codec (remove only) [2020/07/27 16:06:31]-->C:\Program Files\x264vfw\x264vfw-uninstall.exe

 

2 часа назад, STH сказал:

Да, в системе разрешён удалённый помощник

Если хотите его отключить, то выполните скрипт в AVZ

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Remote Assistance','fAllowToGetHelp', 0);
end.

 

07.10.2021 в 19:45, STH сказал:

эти уязвимости не получается исправить с помощью мастера поиска и устранения проблем.

наверно глупый вопрос, но всё-таки спрошу. Запускали от имени администратора? И надеюсь AVZ из папки Автологера?

 

Плохого ничего не заметил, только вот хвост от удалённого в реестре

"пофиксим" в HijackThis:

O20 - HKLM\..\Winlogon\Notify\SDWinLogon: [DllName] = SDWinLogon.dll (file missing)

 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Цитата

наверно глупый вопрос, но всё-таки спрошу. Запускали от имени администратора? И надеюсь AAVZ Z из папки Автологера?

 

Нет, скачивал AVZ c официального сайта. Запустить от имени администратора я не додумался.

 

Цитата

 

Плохого ничего не заметил, только вот хвост от удалённого в реестре

"пофиксим" в HijackThis:


O20 - HKLM\..\Winlogon\Notify\SDWinLogon: [DllName] = SDWinLogon.dll (file missing)

 

Пофиксил, но во сканирования возникла ошибка. Отправил логи на форум разработчиков HijackThis.

Спасибо большое за консультацию.

Могу я задать еще один глупый вопрос?

Во время работы АVZ от имени администратора появились следующие строки:

7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]

 

 Ошибка поиска KeServiceDescriptorTable в ntkrnlpa.exe

 

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

 

Стоит ли беспокоиться по этому поводу? 

 

Ссылка на сообщение
Поделиться на другие сайты
3 hours ago, STH said:

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll"

Это скорее всего ложное срабатываение на драйвера Nvidia.

 

3 hours ago, STH said:

Стоит ли беспокоиться по этому поводу? 

По возможности стоит закрывать потенциально опасные уязвимости, чтобы не допустить заражение ПК, и т.п.

Также рекомендуется использовать AVZ из папки автологгера.

Ссылка на сообщение
Поделиться на другие сайты

Завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Ознакомьтесь со следующей информацией:

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Foxit Reader v.10.0.0.35798 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.8 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.94.0.4606.71 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
----------------------------- [ End of Log ] ------------------------------
 

На этом всё!

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...