приключен Съмнителни съобщения при отварянето на сервизния център

[stef000]

Здравейте. Тези съобщения (от снимките) се отварят (всеки път) при пускането на services.msc. Системата е инсталирана преди няколко месеца и е използвана предимно за интернет. Не ми е създавала проблеми. Също така сканирах с няколко програми включително Malwarebyates и KVRT и всичко излиза чисто!

 

Addition.txt FRST.txt

[B-boy/StyLe/]

Привет,

Не се виждат зловредни обекти в логовете. Защо обаче се ползва още IE? Пробвайте:

1. Да въведете в търсачката inetcpl.cpl => след това отидете на Advanced => натиснете Restore advanced settings

Вижте дали това решава проблема.

2. Аз лично бих изкоренил IE от Turn Windows features on or off => маха се чавката пред Internet Explorer 11 и се потвърждава с ОК.

[stef000]

1. Не съм използвал Internet Explorer - той просто дойде с Windows. Главно ползвам Mozilla и Chrome. Имам и Microsoft Edge, който също не ползвам.

2. При инструкция номер едно нямаше промяна. При инструкция номер две, съобщението вече не се показва, а вместо това се появява съобщението от снимката по-долу. Също така забелязах, че съобщението се появява когато отворя services.msc в "Extended". В "Standard" режима не се появява. Когато се върна на "Standard" и после пак в "Extended", грешката не се показва - до следващото отваряне на services.msc.

3. Интересно ми е защо services.msc се опитва да отвори този линк. Единственият друг път, когато съм виждал това съобщение е на друг мой компютър, който беше тежко заразен (включително и биоса) с вирус, който не се засичаше от Antimaware скенери. Вирусът се криеше в биоса и по някакъв начин модифицираше драйверите - въпреки че не съм сигурен за точният начин.  Притеснявам се, да не съм пренесъл заразата случайно през някой файл или usb устройство. Моля помогнете да се уверя в това.

4 Тъй като имам подозрения, реших да прегледам системата. Намерих тези файлове и папки, които изглеждат съмнителни. Дата която показват, е преди датата на преинсталирането на операционната система - февруари 2021. Папките са скрити. Също така не помня да съм инсталирал Битлокър Тo Го.

А:

B:

 

5. Бихте ли ми казали какво означават тези редове от FRST?

6. Качих някой файлове Virustotal и открих, че във разделът History, файлът wdboot.sys от снимката по горе е създаден 2036 година. А файлът mmcndmgr.dll намиращ се в System32 (от съобщението при отваряне на services.msc) е създаден през 1975 г. Това повод ли е за съмнение?

https://www.virustotal.com/gui/file/0845344f7bfaa94af90920a5346078e6261eea3a1a77795dda5b70b38609348b/details

https://www.virustotal.com/gui/file/59d1d21867fc880e59def705c1602afae3529a6ae086c1f268d457bcdb6853ad/details

 

Благодаря предварително за отделеното време!

[B-boy/StyLe/]

Привет,

Ами нямам идея, защо иска да използва Windows App, защото аз лично съм ги забранил и премахнал от моя Windows 8.1. Може би тук ще ви помогнат в раздела за Операционни Системи, но самите линкове не изглеждат зловредни:

https://www.google.bg/search?q="res://ieframe.dll/navcancl.htm"&ei=-EDQYLWcHIKfsAel94CICA&start=0&sa=N&ved=2ahUKEwi1-Pyam6jxAhWCD-wKHaU7AIE4MhDy0wN6BAgBEDU&biw=1920&bih=924

https://www.google.bg/search?q="res%3A%2F%2FC%3A\Windows\system32\mmcndmgr.dll%2Fviews.htm"&source=hp&ei=K0HQYIbQC9r6gAaq57qwDA&iflsig=AINFCbYAAAAAYNBPO0i4vNES7QjVqC3foSufBGgMj3kH&oq="res%3A%2F%2FC%3A\Windows\system32\mmcndmgr.dll%2Fviews.htm"&gs_lcp=Cgdnd3Mtd2l6EANQ0wNY7Adg_ghoAHAAeACAAUmIAcsBkgEBM5gBAKABAaoBB2d3cy13aXo&sclient=gws-wiz&ved=0ahUKEwjGkZWzm6jxAhVaPcAKHaqzDsYQ4dUDCAc&uact=5

Може да е нещо използвано именно от Windows App.

 

Да имате UEFI rootkit е твърде малко вероятно, защото те се използват при насочени атаки (а не случайни такива) и не са широко разпространени. А и повечето скенери в наши дни като тези на Kaspersky и дори Windows Defender на MS в Windows 10 могат да засекат UEFI rootkit-и.

https://www.kaspersky.com/enterprise-security/wiki-section/products/anti-rootkit-and-remediation-technology

https://www.microsoft.com/security/blog/2020/06/17/uefi-scanner-brings-microsoft-defender-atp-protection-to-a-new-level/

Обикновено те не могат да се почистят по стандартния начин. Това става с префлашване на БИОС-а с чиста версия. Но в повечето случаи ще има следи от тяхното присъствие в системата. Например LoJaX дропва два файла и ги регистрира като услуги (Lojax е модифицирана версия на легитимната програма Computrace Lojack за намиране на изгубени лаптопи) - rpcnetp.exe и rpcnetp.dll и както виждате се засичат от всички известни антивирусни:

https://www.virustotal.com/gui/file/6d626c7f661b8cc477569e8e89bfe578770fca332beefea1ee49c20def97226e/detection

Дори вируса да не може да бъде почистен, пак ще имате поне представа, че е в системата и ще можете да предприемете действия. Така, че пак казвам, шанса тук да става въпрос за ATP атака е нищожен.

 

Тези файлове са от BitLocker в Windows. Защо са от февруари - сигурно заради някой update. Колкото до това, че не сте го инсталирали, той идва преинсталиран с Windows. Особено с Enterprise, какъвто Windows ползвате в момента. Спокойно и аз го имам на 8.1. Не всичко, което на вас ви се струва съмнително е такова и е за триене. Както казах логовете са ви чисти, както и скенерите, които сте използвали не са намерили проблеми.

 

Редовете в FRST означават, че сте използвали някакви ограничения (групови политики), които са отразени в лог файла. Всяка забрана в GPEDIT.MSC, Software Restriction Policies или в регистрите. Това, че пише ATTENTION не го прави непременно опасно и зловредно.

 

Годините не мисля, че са проблем. Например драйверите на Intel за чипсет контролера са подписани 1968 година.

“Intel(R) Chipset Device Software uses an unusual date for the devices it is targeting. The date 07/18/1968 is symbolic – Intel was founded that day. The reason this date is used is to lower the rank of Intel(R) Chipset Device Software.This is necessary because it’s a supporting utility that should not overwrite any other drivers. Updating Intel(R) Chipset Device Software is not needed."

Сега в конкретния случай при вас единия от 2036 е леко странно наистина, а втория го дава цифрово неподписан, но след като са качени в VirusTotal ако бяха зловредни за 10 дни все някоя лаборатория щеше да ги е добавила в дефинициите си, а гледам това не е така.

Не пречи да направите две неща:

1. Да направите една проверка с TDSSKiller:

https://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe

2. Да направите една проверка на системните файлове от Command Prompt стартиран с опцията Run as admibistrator с командата:

SFC /SCANNOW

 

Поздрави!

[цър-вул]

преди 57 минути, B-boy/StyLe/ написа:

защо иска да използва Windows App

Най-вероятно повредена асоциация за .msc и по подразбиране търси app в магазина.
Ако съмненията ми са правилни, стартираето на всеки .msc файл ще завършва със същия резултат. Например: десен клик по старт менюто и се избира Device manager 
Изпълнява се .bat файлът с админски права и се рестартира системата.

mscfix.cmd

[stef000]

Здравейте.

Извинявам се за забавения отговор.

1 Направих проверка с SFC /SCANNOW и проверката с TDSSKiller излиза чиста.

2 Тази грешка не се появява при отварянето на Device manager. Нямаше промяна след използването на mscfix.com.

 

Цитат

Тези файлове са от BitLocker в Windows. Защо са от февруари - сигурно заради някой update. Колкото до това, че не сте го инсталирали, той идва преинсталиран с Windows. Особено с Enterprise, какъвто Windows ползвате в момента. Спокойно и аз го имам на 8.1. Не всичко, което на вас ви се струва съмнително е такова и е за триене. Както казах логовете са ви чисти, както и скенерите, които сте използвали не са намерили проблеми.

3 Исках да кажа че Windows e инсталиран февруари, а файловете са от 2019, но като гледам и на другите компютри го имам и предполагам че е дошъл от самият билл/диск преди update, който е от преди няколко години.

 

4 Също забелязах че Zemana не иска да се стартира автоматично с Windows, но предполагам това е защото програмата е калпава или защото основният ми акаунт (нарочно) не е администратор.

 

Цитат

Да имате UEFI rootkit е твърде малко вероятно, защото те се използват при насочени атаки (а не случайни такива) и не са широко разпространени. А и повечето скенери в наши дни като тези на Kaspersky и дори Windows Defender на MS в Windows 10 могат да засекат UEFI rootkit-и.

5 Това беше друг компютър, който все още го пазя в това състояние без да го ползвам от миналата есен. Спомням си, че сканирах със всякакви скенери и не можах да открия вируса. Също така имаше инсталирано AVG и платена Zemana. Сигурен, съм че биосът е заразен. В бъдеще бих направил  (за него) тема, преди да се заема да префлашвам биос или да сменям дънната платка. Случаят е доста тежък, но сега си мисля, че с вашата помощ ще се справя. Във връзка с казаното от вас: Предполагам че атаката е таргетирана защото дойде от програма (за възстановяване на флашки) рекламирана в Ютуб видео, което след това бързо изчезна. Предполагам че заразяват определени компютри в зависимост от типа биос. Компютърът е Thinkpad, който има вградена защита против кражба и сигурно е уязвим. Спомням си, че не бях включил защитата в UEFI (при наличие на такава), защото не съм очаквал това. От тогава, представата ми за това колко сме защитени коренно се промени. Може би единственият сигурен начин е да се полазва само официален софтуер и другото под виртуална машина.....

6 Това което ме радва, е че този компютър е чист и "нищо" не се е "пренесло".

[B-boy/StyLe/]

Здравейте,

Относно Services.msc вижте дали ако регистрирате системните файлове няма да се оправи.

От Command Prompt => стартирана с десен бутон и Run as administrator поставете командата и натиснете Enter:

For /F %s in ('dir /b *.dll') do regsvr32 /s %s

По време на изпълнението и може да възникнат прозорци с греши. Това е нормално. Потвърдете ги с OK и оставете командата да приключи.

Рестартирайте системата и пробвайте отново.

Zemana от доста време не е ефективна и не се обновява често и дава много фалшиви тревоги. Аз бих използвал вместо нея RogueKiller, Malwarebytes Anti-Malware, HitmanPro, Emsisoft EmergencyKit, Eset Online Scanner или KVRT.

[stef000]

Здравейте

1 Няма промяна след фикса.

 

Цитат

Zemana от доста време не е ефективна и не се обновява често и дава много фалшиви тревоги. Аз бих използвал вместо нея RogueKiller, Malwarebytes Anti-Malware, HitmanPro, Emsisoft EmergencyKit, Eset Online Scanner или KVRT.

2 А какво бихте препоръчали за активна защита? Обмислям комбинация от Comodo и платен Kasperky. Въпреки че четох за скандал от 2017 свързан с изтичане на данни, след който американското правителство забранява Kasperky на служебните си компютри. Вие бихте ли им се доверили за постоянна антивирусна?

[stef000]

Добавям към предишния ми пост, тъй като не мога да редактирам.

Цитат

цър-вул:

Най-вероятно повредена асоциация за .msc и по подразбиране търси app в магазина.
Ако съмненията ми са правилни, стартираето на всеки .msc файл ще завършва със същия резултат. Например: десен клик по старт менюто и се избира Device manager 
Изпълнява се .bat файлът с админски права и се рестартира системата.

Реших да опитам с няколко msc файла и открих, че освен при services.msc, грешката я има и при perfmon.msc и rstop.msc, но не и при другите, като devmgmt.msc или gpedit.msc. Също така открих,  че когато изключа скриптинга: [ inetcpl.cpl > Security> Custom Level и от там променям Active Scripting от Enabled на Disabled ], услугата изобщо не се зарежда - на местата където обикновено дава грешка.

[B-boy/StyLe/]

Между другото тук един потребител има същата грешка:

https://www.tenforums.com/software-apps/148251-youll-need-new-app-open-res-link-message-popup.html

Може би е добра идея да прегледате следните програми да видите дали не можете да изключите използването на res протокола на Internet Explorer:

https://www.nirsoft.net/utils/shexview.html

https://www.nirsoft.net/utils/shell_menu_new.html

https://www.nirsoft.net/utils/open_with_view.html

https://www.nirsoft.net/utils/file_types_manager.html

Мога да пробвам да видя какви са настройките в регистрите при мен за res, но иначе е регистриран като Unknown (след премахването на Internet Explorer), но нямам такива проблеми със Services.msc

Друго е евентуално да опитате Refresh-PC от настройките на Windows 10 за да преинсталира Операционната Система, но да запази файловете (нещо като Repair Install при старите версии на Windows)...

[цър-вул]

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.res]

[HKEY_CLASSES_ROOT\.res\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
 

[B-boy/StyLe/]

Да, и при мен е така на 8.1

Знам, че стартира горе един bat файл за MSC, но ако искаш изтегли и тези и ги запази на десктопа. Кликни върху тях с десен бутон и избери Merge и потвърди.

Рестартирай системата и виж как е положението.

https://www.tenforums.com/attachments/tutorials/112646d1481055096-default-file-type-associations-restore-windows-10-a-msc.reg

https://www.tenforums.com/attachments/tutorials/171537d1515435140-restore-default-file-type-associations-windows-10-a-res.reg

[цър-вул]

Стартирай dcomcnfg
>Component Services
>Computers
>My Computer
кликни на
>DCOM Config
Най-вероятно ще се пшояви съобщвение за нерегистриран(и) сървър(и) - потвърди запитването с [Yes]
Рестартирай.

[stef000]

 

Здравейте

При мен възникнаха малко проблеми - съжалявам за забавянето!

 

Цитат

Мога да пробвам да видя какви са настройките в регистрите при мен за res, но иначе е регистриран като Unknown (след премахването на Internet Explorer), но нямам такива проблеми със Services.msc

Тук .res няма асоциация:

 

Също пробвах с програмите и под .res няма нищо:

 

Мисля си, че и тези не са отговора:

 

Цитат

Знам, че стартира горе един bat файл за MSC, но ако искаш изтегли и тези и ги запази на десктопа. Кликни върху тях с десен бутон и избери Merge и потвърди.

Нямаше промяна след фикса.

 

Цитат

    Стартирай dcomcnfg
    >Component Services
    >Computers
    >My Computer
    кликни на
    >DCOM Config
    Най-вероятно ще се пшояви съобщвение за нерегистриран(и) сървър(и) - потвърди запитването с [Yes]
    Рестартирай.

Тук не се появява съобщение за нерегистрирани сървъри.

 

Има ли друго какво да се направи? Какво смятате за това: https://www.windowscentral.com/how-use-dism-command-line-utility-repair-windows-10-image

Интересното е, че след фикса изчезна Device Manager от Computer Management и грешката започна да се появява и при gpedit.msc, където я нямаше преди. Също така когато дам дясно копче на десктопа и избера New - възможностите са малко, като мисля че бяха повече преди.

Това ми се вижда малко странно. Може ли да кача нови логове от FRST, и да погледнете пак за всеки случай за зарази?

 

 

[B-boy/StyLe/]

Може да публикувате нови логове, но не мисля, че проблема ви се дължи на зловреден софтуер (колкото и удобно да би било това понякога). Нито, че SFC и DISM поправките биха помогнали тук.

По-скоро си мисля, че трябва да направите поправителна преинсталация (или дори пълна такава).

Ето друга тема с подобен проблем без решение за съжаление:

https://answers.microsoft.com/en-us/windows/forum/all/secpolmsc-and-gpeditmsc-seems-to-be-corrupted/769e285b-e5e7-4380-baf9-8f4253b8d4fe

[stef000]

 

В такъв случай, в бъдеще ще направя рефреш/реинстал.

Моля погледнете новите логове, за всеки случай!

 

Знам че това е извън темата и няма връзка с този компютър, но да попитам, aко имам само линк към Virustotal на опреден файл, мога ли да го докладвам на антивирусните компании?

https://shorturl.ac/78gm3

 

 

 

Addition.txt FRST.txt

[цър-вул]

преди 7 часа, stef000 написа:

В такъв случай, в бъдеще ще направя рефреш/реинстал.

15-ина минути ще отнеме рефрешът. А сега само се дразниш...

[B-boy/StyLe/]

преди 7 часа, stef000 написа:

Знам че това е извън темата и няма връзка с този компютър, но да попитам, aко имам само линк към Virustotal на опреден файл, мога ли да го докладвам на антивирусните компании?

https://shorturl.ac/78gm3

Ще ги погледна след малко, но какво има да докладвате на компаниите за чист файл? Иначе винаги има възможност да се докладва всеки един файл (ако се засича неправилно като фалшива тревога или ако не се засича, а според вас трябва да се засича като съмнителен).

Те дори в повечето случаи си взимат сами файловете от VT за анализ, но понякога пропускат по нещо и им трябва помощ (напомняне). Но това става сравнително рядко.

[stef000]

Това беше файлът, от който се беше заразил другият компютър. Файлът явно се свързва със определен IP адрес и дропва някакви гадости. Приятел ме посъветва, че е възможно файлът да дава отдалечен достъп, но самият той да не прави нищо друго по системата и за това да не се засича. Разбира се, те го изтриха при атаката, но в бъдеще мога да се опитам да го възстановя със програма..., когато имам време да правя онзи компютър.

[B-boy/StyLe/]

Пак си набивате някакви филми. Това, че се свърза с някакви IP адреси не прави файла зловреден. Може да проверява за актуализации или да е някаква телеметрия. Какъв в този файл? Ако го имате ми го дайте за проверка. Има си инструменти като Any.Run или PeStudio което може да провери за зловредни индикатори. Самия файл може да се стартира под сянка на ShadowDefender или на виртуална машина (VirtualBox, WMWare) или под някакъв пясъчник като Sandboxie (или този на Comodo и 360 TS) и да се види какво точно прави. Има зарази, които след изпълнението на задачата си се самоизтриват (повечето ransomware са на този принцип), но без доказателства, всичко друго са празни приказки и фантазии. Ако сте сигурен, че сте част от подобна сложна насочена атака, то досега трябваше да се форматирали 20 пъти и да сте преинсталирали начисто и след това да сте се погрижили да направите HARDENING на Windows намалявайки векторите на атака, за да не се повтори ситуацията.

Прегледах контролните суми на файла и ми се струват като фалшиви тревоги, а повечето го засичат с евристики. Това не е ли файл за премахване на "Write protection" на USB устройства?

[B-boy/StyLe/]

Между другото. Няма нужда да стартирате вече TDSSKiller, след като сте инсталирали Kaspersky Security Cloud 21.3. Той е вграден в нея.

Това е запис от TDSSKiller-a:

HKLM-x32\...\RunOnce: [{2A9CF553-859D-4512-B707-7000038C39AA}] => cmd.exe /C start /D "C:\Users\Admin\AppData\Local\Temp\{2A9CF553-859D-4512-B707-7000038C39AA}" /B {D4175ABF-385D-4255-8D9C-1AE22E5D133F}.exe -accepteula -accepteulaksn -activeimages -postboot <==== ATTENTION

Лог файловете иначе са си все така чисти.

Можете да оправите следната грешка в EventViewer-a:

Цитат

Error: (07/10/2021 11:06:02 PM) (Source: ESENT) (EventID: 455) (User: )
Description: svchost (4608,R,98) TILEREPOSITORYS-1-5-18: Error -1023 (0xfffffc01) occurred while opening logfile C:\WINDOWS\system32\config\systemprofile\AppData\Local\TileDataLayer\Database\EDB.log.

Създайте следната структура на папките, ако ги няма:

C:\Windows\System32\config\systemprofile\AppData\Local\TileDataLayer\Database

[stef000]

Да, точно така. Търсих инструмент от производителя, с който да оправя бъгната флаша Кингстън.

На онзи компютър, след атаката бях доста зает и нямах време да се занимавам с префлашване на биос и затова спасих каквото имам, оставих компютърът и започнах да използвам друг. Не съм форматирал защото исках да проуча какво точно е станало когато имам време - и така си остана. За атаката съм сигурен, защото пред очите си видях как затварят и трият програми, но приемам, че мога и да се бъркам за този файл.

Ще се опитам да го намеря - възстановя когато мога и да ви го пратя. Мога и на лично.

 

1 Направих папките следвайки инструкцията.

2 TDSS Killers го пусках последно преди няколко дни и от тогава няколко пъти рестартирах, но си спомням че му дадох да инсталира драйвера. Възможно ли е записът да е от това? RunOnce - само един път ли означава че се пуска?

 

[B-boy/StyLe/]

RunOnce точно това означава. Да се пуска само 1 път. Освен ако няма друго събитие, което да го "trigger"-ва.

Така описаната от вас атака не изглежда като вирусна такава, а като някой да е имал достъп до машината ви посредством отдалечен достъп. Това е различно. Все пак съветите за HARDENING на системата и мрежата си остават.

https://www.hardenwindows10forsecurity.com/index.html

[stef000]

Сигурен съм, че тази атака не била насочена специално към мен, защото няма причина. Въпреки това ще заздравя системата както ме съветвате.

Все пак благодаря за помощта и отделеното време!!!🙂

[B-boy/StyLe/]

Няма за какво. Все пак заздравяването нека да стане след преинсталацията. На компрометирана система няма да има много голям ефект.