Решена Как узнать есть ли скрытый шпион на компьютере? Malware, TrickBot?

Статус
В этой теме нельзя размещать новые ответы.

Dmitry3

Новый пользователь
Сообщения
16
Реакции
0
Здравствуйте, возникла очень неприятная проблема, буду очень рад если поможете разобраться. Я ищу заказы на фрилансе, зайдя на один из заказов я попытался скачать файлик (расширение rar, обычно в них прикладывают Тех. Задание). Сразу после клика антивирус (встроенный в Windows) или сам браузер попытался заблокировать этот файл, по крайней мере в загрузках я его не нашел. После этого я провел сканирование всей системы опять же встроенным антивирусом, обнаружив два зловредных файла (один по-моему находился в кеше браузера на системном диске), которые надеюсь благополучно антивирус вынес. Но т.к я очень трепетный к этой теме, решил сразу же снести всю Windows, отформатировав SSD на этапе установки (все разделы кроме "Системный" и "Зарезервировано системой"). Дальше начитавшись про вирусы которые вживляются в BIOS и диски, скачал Process Monitor для мониторинга системы. В один момент где-то под вечер я обнаружил что файл svchost.exe (системный, находится в System32) отправил подозрительный запрос на IP 62-140-236-163.fiord.ru. Загуглив этот IP, нашел статью под названием TrickBot, в статье были скриншоты запросов инфицированной системы, в списке которых тот самый IP 62-140-236-163.fiord.ru. Подскажите пожалуйста, мог ли вирус встроиться как-то, что и переустановка Windows не помогает, если да, то как его удалить? Или может это и не вирус вовсе, т.к я уже 3 день подряд сижу с открытым Process Monitor и TCPView, проверяя каждый IP (тот самый fiord больше не видел, хотя может он отправляет 1 запрос в день). С таким ни разу не сталкивался, не знаю уже что и делать. Переустановил Windows уже раза 3, проверил ее с помощью Malwarebytes, McAfee, Kaspersky, DrWeb, встроенным автономным и обычным дефендером, все говорят что чисто, но тот IP не дает покоя. Нашел в папке AppData/Roaming файл под названием MCVi2UserDetail, внутри него записана моя почта (откуда она там, может от McAfee, я не уверен). Далее папка ProgramData, скрытый файл DP45977C.lfl (в Гугл выдает что-то о вирусах). Все скриншоты приложу, также скриншот запроса. Также комп частенько отправляет запросы на 192.168.0.1, как я понял к роутеру, это нормально?
 

Вложения

  • Снимок экрана 2022-08-07 172118.png
    Снимок экрана 2022-08-07 172118.png
    7.4 KB · Просмотры: 46
  • 3.png
    3.png
    10.4 KB · Просмотры: 43
  • Запрос.png
    Запрос.png
    974 байт · Просмотры: 40
Добрый вечер, прилаживаю
 

Вложения

  • CollectionLog-2022.08.07-21.37.zip
    65.4 KB · Просмотры: 4
Пока ничего подозрительного не видно.

Посмотрим ещё так:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Пока ничего подозрительного не видно.

Посмотрим ещё так:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Доброе утро, большое спасибо за отклик, прикрепляю файлы:
 

Вложения

  • Addition.txt
    36.2 KB · Просмотры: 4
  • FRST.txt
    50.2 KB · Просмотры: 4
Тут тоже ничего необычного.

Сделайте такую проверку:
Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов. Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.
 
Тут тоже ничего необычного.

Сделайте такую проверку:
Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов. Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.
Сделал как вы указали, приложение сканировало раздел C, параметр инфицированных файлов = 10, когда он перешел на раздел D, где у меня хранятся основные файлы, он нашел еще 200+ инфицированных файлов, НО я так понимаю это просто JS скрипты из моей папки node_modules для разработки сайтов. На счет системного раздела ничего не скажу, там по идее ничего из моих файлов нету. Прикрепляю запрашиваемый файл
 

Вложения

  • msert.log
    1 KB · Просмотры: 3
То, что "обнаруживается" в процессе, не важно. Это т.н. промежуточный результат, который затем обрабатывается в облаке и в финале выводится отчет:
Results Summary:
----------------
No infection found.

Проверьте уязвимые места и устаревшее критическое ПО:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
То, что "обнаруживается" в процессе, не важно. Это т.н. промежуточный результат, который затем обрабатывается в облаке и в финале выводится отчет:


Проверьте уязвимые места и устаревшее критическое ПО:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Прикрепляю:
 

Вложения

  • SecurityCheck.txt
    5.9 KB · Просмотры: 3
Node.js v.16.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^


В остальном - порядок. Умерьте свою паранойю :)

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Читайте и соблюдайте Рекомендации после удаления вредоносного ПО
 
Node.js v.16.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^


В остальном - порядок. Умерьте свою паранойю :)

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Читайте и соблюдайте Рекомендации после удаления вредоносного ПО
 
Node.js v.16.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^


В остальном - порядок. Умерьте свою паранойю :)

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Читайте и соблюдайте Рекомендации после удаления вредоносного ПО
А вирус не мог встроиться в svchost? Просто файлы которые я прикрепил в самом первом сообщении (MCVi2UserDetail и DP45977C.lfl), при поиске в Гугл выдают запросы о вирусах, они нормальные?
 
Пожалуйста, не цитируйте полностью предыдущее сообщение. Это ухудшает читаемость темы, да и нарушает правила форума.

Файлы нормальные. Мы проверили систему несколькими лечащими утилитами разных производителей и ничего вредоносного обнаружено не было.
 
@Sandor, Извиняюсь, просто опция "ответить" рефлекторно нажимается на всех сайтах. Надеюсь все действительно хорошо, огромное спасибо Вам за помощь!
 
Удачи!
 
Добрый день, я уже недавно создавал подобную тему, все вроде как было хорошо, но сегодня я заметил как поступает куча запросов на непонятный русский домен 62-140-236-162.fiord.ru, а также непонятный doppler (скрины приложу), я также вытащил информацию про модули, не знаю поможет ли она. Также грузится сеть, процессом "сетевая служба". Прилаживаю скриншоты и логи.
 

Вложения

  • Снимок экрана 2022-08-10 105007.png
    Снимок экрана 2022-08-10 105007.png
    174.6 KB · Просмотры: 35
  • Снимок экрана 2022-08-10 105042.png
    Снимок экрана 2022-08-10 105042.png
    18.7 KB · Просмотры: 32
  • Снимок экрана 2022-08-10 105529.png
    Снимок экрана 2022-08-10 105529.png
    5.6 KB · Просмотры: 36
  • Снимок экрана 2022-08-10 105543.png
    Снимок экрана 2022-08-10 105543.png
    20.8 KB · Просмотры: 32
  • Снимок экрана 2022-08-10 105702.png
    Снимок экрана 2022-08-10 105702.png
    9.8 KB · Просмотры: 48
  • CollectionLog-2022.08.10-11.01.zip
    62 KB · Просмотры: 3
Здравствуйте!

Поскольку компьютер тот же, темы объединю.
 
куча запросов на непонятный русский домен
Все остальные записи логов вам понятны? :)

Домен как раз не русский, а украинский.
В логах - ничего плохого (вирусоподобного) не замечено.
 
@Sandor, домен хороший? Я прикреплю статью, которую нашел по запросу этого IP адреса, она правда на украинском, но там внизу где "Трафик инфицированных систем", точно такой же адрес (IOC_Trickbot_040718)
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу