Здравствуйте! Вчера дал доступ к ПК гостям из под учетки администратора. В какой-то момент увидел, что они отключили антивирус и устанавливают торрент клиент медиагет, причем скачан он был под видом utorrent клиента с какого-то левого сайта. При запросе на внесение изменений от винды отобрал мышку и нажал запретить. Но приложение все равно установилось, как будто и не заметило никаких запретов. Включил антивирус, он сразу обнаружил несколько нежелательных файлов. Запустил полное сканирование, так же удалил еще один файл медиагета. Деинсталлировал медиагет. Прогнал проверку встроенным в винду антивирусом. Дополнительно прогнал проверку DrWEb Cure It. Из странных симптомов - Firefox перестал открывать некоторые сайты, ссылаясь на ошибку в сертификате - в частности антивирусные дрвеб, касперский, есет, авз, но при этом сайт нортона открылся без проблем. После переустановки Firefox сайты стали открываться нормально. Поэтому на всякий случай хочу удостовериться, что на ПК ничего нежелательного не живет.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) craftix, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В логах замечена проблема с сертификатом антивируса Eset:
Код:
Криптографические параметры:
Имя поставщика: Microsoft Software Key Storage Provider
Имя алгоритма: UNKNOWN
Имя ключа: ESET_RootCertContainer
Тип ключа: Ключ пользователя.
Сведения об операции с файлом ключей:
Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_fee20e61-a8f0-4893-b68b-7c74aa73fe63
Операция: Прочитать постоянный ключ из файла.
Код возврата: 0x0
Номер записи: 72868
Источник: Microsoft-Windows-Security-Auditing
Время записи: 20191101152103.702329-000
Тип события: Аудит успеха
Пользователь:
Имя компьютера: DESKTOP-K1AVU7D
Код события: 5061
Сообщение: Операция шифрования.
Возможно имеется проблема в работе антивируса Eset, проверьте пожалуйста если в безопасном режиме проблема проявляется?
HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Появилось сообщение, что лог создан, приложения начали закрываться, как при обычной перезагрузке, но в итоге пк не перезагрузился. Окно с FRST закрылось. Подождал пять минут и перезагрузил уже сам.
Странно только, что файрфокс снова начал выдавать ошибку сертификата при входе на вирусинфо и пришлось его снова полностью переустановить. А в остальном всё в порядке. Спасибо!
"Это соединение не является доверенным" И что-то потом о про сертификат. Не запомнил, а скриншот не сделал. Подозреваю, что может как-то связано с тором, который как раз через файрфокс работал. Тором больше не пользуюсь, понаблюдаю, не повторится ли ошибка.
После последнего ответа не включал ПК. Сегодня запустил и снова в браузере такая же ошибка, скрин во вложении. Не открывается сайт virusinfo, сайты антивирусов drweb, kaspersky, eset. Сайт avast пишет, что браузер устарел, хотя установлена последняя версия 70.0.1. Но при этом сейчас пишу через хром и в нем все перечисленные сайты открываются, так же как в edge. Если в логах ничего такого не видно, выходит что-то не так с браузером и буду дальше разбираться уже с ним. Спасибо за помощь!