Съмнение за вирус

[vanko929]

Здравейте ако може да направите една проверка и на моята система понеже имам съмнения ,че нещо има в лаптопа и ми влизат или извършват дейност в социалните ми профили .

Наскоро исках да инсталирам офис пакет който беше в архив с парола след разрхивиране съответно Windows defender даде сигнал ,че е открит троянец (felix) по спомен блокира програмата  при опит за отваряне която беше в exe файл около 300 мб и имам съмнения ,че от там нещо е плъзнало въпреки ,че не се отвори нищо ... Но след това на следващия ден се почна първо в дискорд спам линк в всички канали и лични съобщения от моя профил. Смених парола , сложих двуфакторна защита и е ОК, След ден или два този път мишена беше инстаграм там беше влизано от macOS от индия бяха последвани над 1000 профила също смяна на парола и двуфакторна защита и е ОК , и след няколко дни последва сигнал от Гугъл ,че в компютъра има подозрително приложение и ме изкара от профила на лаптопа  после видях в Youtube ,че е търсено filmora hack , filmora crack и подобни търсения за други програми . Там същата процедура смяна на парола и удвоена защита. Веднага през ноща същото последва и фейсбук съмнителна дейност там също смених паролата която беше дори случайно генерирана ( сложна от гугъл . същата процедура и тук за това нека да проверим дали има нещо в системата и евентуално препоръчайте читава Антивирусна , че есет нод32 нещо много фалшиви тревоги  , като цяло тези неща в социалните профили се случваха след 00:00 ч когато лаптопа не работи. Прикачвам логовете от FRST ,благодаря предварително за съдействието.

 

Addition.txt FRST.txt

[B-boy/StyLe/]

Здравейте,

Прегледах лог файловете няколко пъти, но не можах да видя индикации за активен зловреден софтуер, някакви следи или неоторизиран достъп.

Видях, че имате инсталиран AnyDesk. Добре е да да го обновите до последна версия, защото вашата е стара. Вие ползвате 7.1.4, а текущата е 7.1.7.

https://anydesk.com/en/downloads/thank-you?dv=win_exe

Казвате, че Defender-a е блокирал разни неща, но и това не е отбелязано в лог файловете...

Като цяло включете навсякъде 2FA, както вече сте започнали, променете паролите със сложни такива, които може да съхранявате в удобен за вас инструмент като KeePass да речем, включете DoH и HTTPS-Only-Mode в режимите на браузърите. Видях вече, че са ви препоръчали да ползвате DNS адреси на специални услуги. Не е лоша идея също. Аз лично ползвам на Quad9 DNS - https://www.quad9.net/

Относно добавките, както са ви казали uBlock Origin и AdGuard може би са най-добрите такива. Има и такива за блокиране на скриптове, но са малко по-тегави за употреба. Но пък NoScript винаги си остава препоръчвам заради възможността да блокира XSS атаки. За фишинг мога да препоръчам добавката на Netcraft - https://www.netcraft.com/apps/browser/

Направете една проверка с KVRT като преди да натиснете Start Scan, изберете Change Parameters и сложете отметка пред System Drive и потвърдете с ОК.

https://www.kaspersky.com/downloads/free-virus-removal-tool

Прикачете резултата.

Поздрави!

[vanko929]

Здравейте отново сканирах с тази програма и намери нещо в паметта, не можах да го вкарам в карантината , но го премахнах мисля, че след рестарт на системата, понеже на следващо сканиране което беше почти цяла вечер не откри заразата. Прикачвам файла от сканирането и снимка на репорта за всеки случай. До колкото прочетох вирус , който показва реклами които се показват и при затворен браузър , но реално лично не съм виждал никакви такива неща. 

report_2022.12.22_23.54.59.klr.enc1 report_2022.12.23_00.58.39.klr.enc1

[B-boy/StyLe/]

За съжаление рапортите са криптирани и не се вижда кой файл е бил отговорен затова, но като цяло изглежда безобиден. Все пак добре е, че вече е отстранен.

Доколкото видях, пише, че е добре да се "занулят" известията от браузърите.

https://forum.kaspersky.com/topic/what-to-do-if-kaspersky-detects-trojanmultibrosubscgen-20475/

Само, че аз видях такива само в Chrome-a:

CHR Notifications: Default -> hxxps://www.kaldata.com; hxxps://www88.nathanaeldan.pro

Втория сайт е съмнителен. Може да го премахнете от известията с бутона Remove, както е показано тук:

https://www.avast.com/c-turn-off-chrome-notifications

 

Да направим още една проверка, но общо взето сканирането с Kaspersky затвърди, че системата не е заразена (или поне не сериозно). Затова не мисля, че е нужно да вадя тежката артилерия.

• Моля изтеглете EmsisoftEmergencyKit, стартирайте exe файла и посочете къде да се разархивира програмата - например в (C:\EEK), натискайки бутона Install.
• Отворете папката в която сте инсталирали програмата (C:\EEK) и стартирайте файла Start Emergency Kit Scanner.exe.
• Съгласете се с лицензионното споразумение натискайки бутона Accept.
• Изчакайте програмата да се обнови. Ще видите индикация за това под колонката Logs.
• След като процеса по обновяването на дефинициите приключи натиснете бутона "Scan & Clean".
• Изберете бутона Custom Scan. Премахнете от списъка всички дялове без C:\ (т.е. нека да остане само дял C:\ в списъка) натискайки червения хикс за другите дялове.
• На Scan Objects сложете всички отметки.
• На Scan Settings сложете всички отметки.
• На SCANNER SETTINGS се уверете, че има отметка пред Detect Potentially Unwanted Applications (PUPs).
• На On Scan Completion се уверете, че е избрана опцията Report Only.

• Натиснете бутона Next за да започне проверката.
• Когато проверката приключи натиснете бутона View Report.
• Копирайте съдържанието на лог файла в следващия си коментар.

Поздрави!

[vanko929]

Скаранирах и с Emsisoft скенера не откри нищо ,мисля че се потвърждава вече ,че е чисто ? Сложих Ublock приставката към браузера както и това което препоръчахте за фишинг . Искам да попитам допълнително относно DNS сървъра след като се зададе това по някакъв начин засягали работата с интернета (скороста на връзката) 

scan_221224-122713.txt

logs.db3

[B-boy/StyLe/]

Аз поне не съм забелязал разлика в скоростта. Нито от сайтове за тестове като https://www.speedtest.net/

Иначе има зачестили подобни пробиви, но засега от системите, които съм проверявал само на една открих зловреден софтуер. Другите бяха чисти. Ще се ослушвам дали ще разбера нещо повече относно този проблем от чуждестранните колеги.

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

     =>    

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_2.9.3.exe и изберете Run as administrator. 
• Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

 

Добра идея е да сложите нещо срещу Ransomware към наличната антивирусна програма.

Добър инструмент в тази насока е AppCheck Anti-Ransomware.

https://www.kaldata.com/софтуер/appcheck-anti-ransomware-274541.html

Разбира се бекъп на важните документи също си остава задължителен навик.

Поздрави и весело посрещане на празниците! 

 

[vanko929]

Сложих на всичко отметки без delete now ако правилно съм разбрал и резултата който върна е 

# Run at 24.12.2022 'г.' 23:00:05
# KpRm (Kernel-panik) version 2.10.0
# Website https://kernel-panik.me/tool/kprm/
# Run by Ivan from C:\Users\Ivan\Downloads
# Computer Name: DESKTOP-U4H4INV
# OS: Windows 10 X64 (19045) 
# Number of passes: 1

- Checked options -

    ~ Registry Backup
    ~ Delete Tools
    ~ Restore System Settings
    ~ UAC Restore
    ~ Delete Restore Points
    ~ Create Restore Point
    ~ Delete Quarantines after 7 days

- Create Registry Backup -

   ~ [OK] Hive C:\Windows\System32\config\SOFTWARE backed up
   ~ [OK] Hive C:\Users\Ivan\NTUSER.dat backed up

     [OK] Registry Backup: C:\KPRM\backup\2022-12-24-23-00-05

- Delete Tools -

     [I] No tools found

- Restore System Settings -

     [OK] Reset WinSock
     [OK] FLUSHDNS
     [OK] Hide Hidden file.
     [OK] Show Extensions for known file types
     [OK] Hide protected operating system files

- Restore UAC -

     [OK] Set EnableLUA with default (1) value
     [OK] Set ConsentPromptBehaviorAdmin with default (5) value
     [OK] Set ConsentPromptBehaviorUser with default (3) value
     [OK] Set EnableInstallerDetection with default (0) value
     [OK] Set EnableSecureUIAPaths with default (1) value
     [OK] Set EnableUIADesktopToggle with default (0) value
     [OK] Set EnableVirtualization with default (1) value
     [OK] Set FilterAdministratorToken with default (0) value
     [OK] Set PromptOnSecureDesktop with default (1) value
     [OK] Set ValidateAdminCodeSignatures with default (0) value

- Clear Restore Points -

   ~ [OK] RP named Scheduled Checkpoint created at 12/24/2022 18:00:40 deleted
     [OK] All system restore points have been successfully deleted 

- Create Restore Point -

     [OK] System Restore Point created

- Display System Restore Point -

   ~ [I] RP named KpRm created at 12/24/2022 21:00:18

-- KPRM finished in 36.45s --

Весели празници и на вас!

 

[B-boy/StyLe/]

Всъщност трябваше да сложите пред Delete Now (не се слага само пред Delete in 7 days).

Весела Коледа!

[vanko929]

преди 2 часа, B-boy/StyLe/ написа:

Всъщност трябваше да сложите пред Delete Now (не се слага само пред Delete in 7 days).

Весела Коледа! /cdn-cgi/mirage/4a3ad95c99ef3bcf1ce60746709a3cbe86283528d7884563caaaaf1a52a09158/1280/https://www.kaldata.com/forums/uploads/emoticons/default_snowballfight.gif

Не разбрах точно кое е пред delete in 7 day защото пред може да е и delete now може и да е reset system settings зависи  ,но мисля че не е станало нещо фрапантно ? Нужно ли е да повтарям някоя стъпка ?

[B-boy/StyLe/]

Аз не мисля, че има нещо неясно в инструкциите, но както и да е:

Цитат

Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

Кое не е ясно? Слагат се всички отметки без последната долу вдясно.

Поздрави!

[vanko929]

преди 10 минути, B-boy/StyLe/ написа:

Слагат се всички отметки без последната долу вдясно.

Ясно, аз помислих от друга гледна точка.. Все пак благодаря за цялото отделено време и за препоръките . Желая ви приятен ден. 🙂

[vanko929]

Понеже видях нова активност от нощес този път в steam там също някак си тайно е влизано (без сигнали за вход) и видях ,че ми е променен псевдонима за акаунта, там не бях сменил паролата към момента , уж има защита но намират начини а премахнах временно есет-а за да се отключи дефендъра на уиндоус и намерих това в историята [img]https://i.ibb.co/cv4D5gf/2022-12-25-224526.jpg[/img]

[img]https://i.ibb.co/2Zb4LV7/2022-12-25-224620.jpg[/img] това са били вирусчетата разбрахме ,че вече е чисто в системата, но просто информативно да се проучат какви са били. 

[B-boy/StyLe/]

Е то няма как да се проучат без изпълнимите файлове за да им се направи reverse engineering. Може да е от тях, може и да не е.

Като цяло е добре в Steam да активирате и там двуфакторната идентификация (steam guard) ако не е активирана.

Аз лично видях, че ползвате приложения за споделяне на интернета, за копане на биткойни и прочие. Нещо не съм фен на това споделяне аз, но вие си знаете там. Говоря за Peer2Profit...

Цитат

Please be aware that there are risks when sharing your bandwidth as you have no control or visibility over what people are doing with your internet connection. This can lead to your IP address being marked as a VPN and being blacklisted by some websites.

в комбинация с AnyDesk (ако не е със затегнати настройки) + ако имате стари версии на програмите или липсващи кръпки по Windows относно сигурността... и лампичката светва.