Здраствуйте. Столкнулся с вирусом на своей машине. Он мониторит буффер обмена и если там оказывается адрес кошелька биткойна то при копировании подменяет на другой. Антивирус молчит. Любой нормальный человек бы переустановил виндоус и все но так как я не нормальный то я решил как минимум выяснить где в системе он находится а как максимум узнать как он мог попасть в мою систему. Я сначала долго палил черех ProcessExplorer на предмет подозрительных программ но ничего такого не обнаружил. Эта дибильная концепция svchost+DLL из за которой большинство задач просто отображаются как svchost. Я начал отключать все сервисы винды надеясь на то что критические отключить мне винда не даст. Но все таки я смог отключить и критический сервис из за которого она не смогла пойти дальше окна логин. Но это я потом восстановил. Это вобще странно. Некторые сервисы отключить нельзя а сервис который запускает explorer можно. Странный подход к безопасности. Вобшем так ничего и не выяснив я решил применить программу SysMon от sysinternals. Она позволяет отслеживать обращения к буфферу обмена. И с ее помощью я установил что помимо notepad.exe в момент копиования обращается программа run32.exe. У меня ее запущено три экземпляра. Вычитал что это тоже хост для запуска dll. Начал в ProcessExplorer смореть параметры автозапуска и заметил что один из процессов запускается с путем к какойто мутной dll. Очень странный путь. Пройдя по пути я наткнулся на директорию в которую зайти не могу. Access Denied. Вот этого вообще не пойму. Как я на своей системе не могу зайти в нужную мне директорию!!! Начал отключать эти run32.dll и увидел что подмена адреса прекратилась. Вобщем перегрузил винду в режиме ремона зашел в эту мутную директорию и скопировал в другой каталог. А текущую переименовал на время. Вобщем там и лежит dll с мутным названием и название директории мутное. Она это делает сто процентов. После переименования директории подмена прекратилась. Собственно перехожу к главной теме. Хочу выяснить как это все запускается и как могло попасть ко мне. Я вижу три процесса run32.exe. Один запускает другой. А самый первый запускает такой сервис PushNotification_xxxx. Это вроде как легальный сервис Microsoft но мне он никогда не нравился. Я не могу точно понять что он делает. Вроде что то скачивает с облака. Если смотреть ProcessMonitor то run32.exe в окне autorun запускается как run32.exe "путь к мутной DLL" "адрес входной процедуры" А где это прописано в системе? Я сделал поиск через регистр но не нашел. Вобще этот PushNotification он не убиваем. Даже если стереть DLL которые запускает svchost то они сами появляются. Как в windows 10 называется эта технология? Спасибо
rundll32.exe во-первых. Во-вторых гавно древнее и вроде как особо себя не маскирует. Через свойства-безопасность-изменить удаляй все права с найденных файлов (такие поделки слишком тупые, чтобы контролировать привилегии нтфс на исполняемых файлах), перезагружай, повторяй пока "мутные файлы" не закончатся.
KingT, Товарищ, еть феерично.. мы с Тобой ну, а ежли посерьёзней - сначала блокируй трояну доступ в сеть, потом всё остальное --- Сообщение объединено, 25 апр 2024 --- скорей всего Ты сам поставил себе троянчик варезом, вероятность его прихода чрез бравзер минимальна --- Сообщение объединено, 25 апр 2024 --- юзвер вполне может запретить себе доступ к любой ранее доступной директории/файлу - чрез админа можно вернуть права обратно и опять-таки ситюЁвина показывает наличие варезззааааааа
зависит вдруг у топикстартера старое барахло типо ХРом 109? (а дальше на 7ке херЬ обновишься - гугл забонил не всегда один раз столкнулся с ситуевиной - никак не мог "зайти" в папку - оказалось там овнер слетел, вернуть админом не смог все магически починилось... ребутом венды
Ничего удивительного в этом нет. Помимо вас (администратора) в системе есть пользователи с правами куда посерьёзнее - System например, или самый мощный TrustedInstaller. Попробуйте пройти в папку C:\ProgramFiles\WindowsApps\ где сидят UWP приложения. Или в папку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KLoader куда даже СИСТЕМЕ вход запрещен (только TrustedInstaller). --- Сообщение объединено, 25 апр 2024 --- Отреверсить эту dll (в IDA) и посмотреть что да как.
Всем здраствуйте. Спасибо за ответы. Этот вирус я отключил переименовав директорию из сервисного меню windows. И он не работает. Если возвращаю старое название то после перезагрузки начинает работать. Это радует. Я бы расстроился если б он самоудалился. Машина от интернета отключена. Вот причина по которой я это все как раз и копаю заключается в том что надо выяснить мне как он в систему попал. Если через варез как выше упоминали то это важно для меня. Ну и я сам давно хотел разобраться как запускается все эти миллионы сервисов. А особенно те которые не убиваемые. Сегодня продолжил копаться в системе. Для вредоносного процесса rundll32.exe "путь к DLL" "entry point" родительским процессом является процесс svchost -k netsvcs -p -s Sсhedule. А он пробивается ProcMonitor ом как WpnUserService_xxxxx (xxxxx меняются после перезагрузки). Вобще от этого сервиса который прописан в регистре много порождается процессов. После долгого поиска в регистре я пришел к выводу что процессы запускаются пачками из вот этого пути HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost так как есть сответствие между именем в командной строке svchost и содержимым в вышеупомянутой ветке регистра. Вобщем начал выяснять что значат эти ключи запуска svchost и нашел несколько статей. Оставлю здесь для себя и может кому будет интересно. https://nasbench.medium.com/demysti...ess-and-its-command-line-options-508e9114e747 https://pusha.be/index.php/2020/05/07/exploration-of-svchost-exe-p-flag/ Воющем -s это имя сервиса из группы которая задается опцией -k. А -k как раз указывает на HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost С опцией -р завтра выясню. Вобщем похоже у меня в сервисе Scheduller прописан загрузчик этого вируса. Это предположение. Завтра буду дальше выяснять.
KingT, вы куда-то не туда свернули. Зачем ковырять системные сервисы? Ничего вы там не найдёте. Это из той же оперы, как выгрузить kernel32.dll из ядра и загрузить свою.
Добрый вечер. Ув. k3rnl Я смотрю системные сервисы так как родительским сервисом для моего вируса является такой сервис c:\windows\system32\svchost.exe -k netsvcs -p -s Schedule И мне самому интересно разобраться с запуском этих сервисов так как я давно чувствую что мой компьютер больше принадлежит дядям из редмонда чем мне лично. Вобщем сегодня еще раз промониторил старт операционки с помощью SysMon. Логи показали что вышеупомянутый процесс запускает мой вирус. Вобщем начал я смотреть Scheduler и в нем оказалась куча планов на запуск разных служб. В одной ветке я и обнаружил запуск своего вируса. Он оказался в ветке Visual Studio Updates. Вобщем или сама студия при установке его туда добавила или сторонняя программа замаскировала. Это буду дальше выяснять. Проверю конечно свою студию для начала. alex_dz WpnUserService это такая мутная штука. Пока что с ним не разобрался. не понятно что за символы добавляютя в конец имени службы и кто его запускает.
вынь нельзя выпускать в инет прямым ходом, пч главным трояном сама же вынька и является: самый лучший вариант полностью закрыть ей доступ в инет и пускать бравзер чрез проксю, бравзер мокрых использовать нельзя (он любую проксю раздвигает на всю систему). короче, есть три категории блокировки.. 1. надёжная - сугубо по белым листам чрез проксю, но 4ёрт подери - муторно её пользовать. 2. частичная - мокрые не могут использовать откровенно хакерские приёмы для обхода фаерволов/прокси, тч в большинстве случаев простая прокся на лине/роутере вполне заходит. 3. гибридная - к примеру, можно в две машины работать - одна с вынькой, другая с линем и чрез ремоут десктоп катать линь бравзер. ========= акись так
Ув. UbIvItS Это уже вопрос безопасности работы а у меня сейчас проблема в том что как запускался вирус и где он был прописан в системе я установил. В TaskScheduler добавлена служба на запуск. Теперь надо решить вторую часть проблемы. Выяснить кт оего туда поместил. Вроде бы как винда не логит процессы добавления в планировщик. Это я еще выясню. А пока буду действовать самым тупым методом. Подниму все свои экзешники и буду их запускать. И смотреть не появится ли в плинировщике служба. Я ее удалил. Очень надеюсь что появится.
KingT, как вариант запусти поиск в системе Win+F, введи в окно rundll32 и получишь некоторую инфу о процессе, типа кто, когда, куда, зачем. Есть фильтр по дате и прочее. Может так сузишь круг подозреваемых.
а откуда Ты ту выньку достал и какие проги поставил + откуда взял те проги? из Твоего описания похоже, что это некая сборка выньки и в этом случае запускаться может акь угодно (те же сис сервисы могли пропачить). на той же бесяточке такого попросту невозможно без вареза
