Вложений: 3
Малварь меняет сист. файлы и шпионит
Фаервол зафиксировал подозрительную активность процесса (у него удалена, а затем восстановлена цифровая подпись Майкрософта) Windows/system32/svchost.exe [URL="https://www.virustotal.com/file/121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2/analysis/1460441487/"]отчет virustotal[/URL]. Файл чист, но если посмотреть на отчет CarbonBlack (вкладка Relations -> Execution parents), то видно что файл был создан тремя другими процессами, которые, судя по отчетам сервиса, вредоносны.
Ещё фаервол зафиксировал подозрительную активность процессов Windows/system32/gwxdetector.exe [URL="https://www.virustotal.com/ru/file/4664ca6fe2587eebe04dbc76dc6b200d7ee3b8348e1a864657e1a04142f09512/analysis/1460382107/"]отчет virustotal[/URL] и Windows\system32\gwx\gwxconfigmanager.exe [URL="https://www.virustotal.com/ru/file/6669d85a50422bd1b11b86f41761a478dff16383ba9d3d016d315cad5c97d792/analysis/1460371956/"]отчет virustotal[/URL]. У них была изменена версия. По системе CarbonBlack видно, что эти файлы связанны между собой.
Сканировал систему: Касперским, Avira, Bitdefender, Drweb, и двумя из инструкции.
Никаких вирусов не нашлось.
