Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Разбираемся: что msmpeng.exe хочет отправить в сеть (http://forum.oszone.net/showthread.php?t=349643)

to_stas 18-09-2021 08:47 2966986
Разбираемся: что msmpeng.exe хочет отправить в сеть
 
Вложений: 3
Привет.
Каждый день, после включения ПК, Malwarebytes Windows Firewall Control v6.7.0.0 уведомляет о попытке процесса msmpeng.exe выйти в сеть (все попытки процесса ID: 2764 на скриншоте).

Код:
ID процесса: 2764
Имя: Antimalware Service Executable
Программа: C:\programdata\microsoft\windows defender\platform\4.18.2108.7-0\msmpeng.exe
Действие: Block
Направление: Out
Адрес получателя: 51.105.236.244 (может быть разным)
Порт получателя: 443 TCP

Файл 165317
После однократной блокировки операции процессом предпринимается следующая попытка. Я решаю полностью заблокировать возможность выхода в сеть данного процесса (скорее всего после этого файлы для анализа не будут улетать, поэтому хочу разобраться в ситуации и вернуть возможность процессу отправлять данные).

Решение о полной блокировке сразу приводит к всплывающему окну защитника Windows:

Код:
Behavior:Win32/WDBlockFirewallRule.P
Уровень оповещения: Критический
Состояние: Активно
Дата: 18.09.2021 7:55
Категория: Подозрительное поведение
Сведения: Эта опасная программа выполняет команды злоумышленника.
Затронутые элементы:behavior: pid:2516:1937012556366723
process: pid:2516,ProcessStart:132764142077484303
regkeyvalue: HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{6076C317-BFD1-455E-BFB1-B126420082B0}

Файл 165318
Файл 165319
Процесс с ID 2516 - это svchost.exe, а вот строчки {6076C317-BFD1-455E-BFB1-B126420082B0} - в реестре не обнаружено. Наверное её защитник windows сносит после создания в брандмауэре.

Вопрос такой: как можно узнать, что влияет на файл svchost.exe и что пытается отправить msmpeng.exe в сеть для анализа ?
Я не "профи", но любознательный.

Sandor 18-09-2021 12:21 2966996
Здравствуйте!

В этом разделе по правилам нужны логи - Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.
Если вам только "поговорить", сообщите и попросим модератора перенести тему.

to_stas 18-09-2021 23:01 2967061
Вложений: 1
Прошу прощения, думал достаточно информации из сообщения для рекомендаций.

Файл 165334

Sandor 19-09-2021 10:23 2967076
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.
Компьютер перезагрузится.



Следы бывшей установки Comodo очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

to_stas 19-09-2021 14:04 2967087
Вложений: 1
Направляю оба файла в архиве.

Хотелось бы справочно узнать о строке:
Код:
Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\svchost.exe)
attempted to load \Device\HarddiskVolume4\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\x64\antimalware_provider.dll
that did not meet the Windows signing level requirements.
Файл 165336

Sandor 19-09-2021 20:52 2967118
В логах ничего плохого (вирусоподобного) не замечено.

До моих ответов хочу в свою очередь задать вам вопрос:
Вы обновили систему между сбором CollectionLog Автологером
Цитата:
x64 Windows 10 (Home Single Language), 10.0.19043.1237 (ReleaseId: 2009)
и сбором логов FRST?
Цитата:
Windows 10 Home Single Language Версия 21H1 19043.1237 (X64)
Или наши утилиты ошибочно определили версию системы?

to_stas 19-09-2021 21:56 2967120
Вложений: 2
Версия 21H1, судя по версии из WIN+R = winver
Файл 165337

Сборка одна и та же, обновления не загружал и не устанавливал. Утилит, влияющих на версию windows не использовал.

Хотелось бы обратить внимание, что после применения утилиты для удаления следов Comodo, который был загружен по предложенной ссылке, сломался диспетчер задач. KillSwitch от Comodo запускался по-умолчанию при вызове диспетчера задач. Подскажите, пожалуйста, как вернуть обратно стандартный диспетчер.
Файл 165338

Sandor 20-09-2021 12:37 2967151
Вложений: 1
Цитата:
Цитата to_stas
Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\x64\antimalware_provider.dll »
Покажите свойства этого файла по такому примеру:
Файл 165341

to_stas 20-09-2021 22:20 2967190
Вложений: 2
Данного файла, как и самой папки - нет. В связи с чем он попал в логи - не понимаю.

Папка: Файл 165347
Поиск по имени файла: Файл 165348

to_stas 20-09-2021 23:08 2967192
Восстановление работоспособности Диспетчера задач после замены его другим ПО:

По пути:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
было указано значение файла, который запускается при вызове Диспетчера задача.
Удаление раздела taskmgr.exe со всем его содержимым вернуло стандартный Диспетчер задач windows.

Sandor 21-09-2021 08:03 2967206
Хорошо, соберите ещё раз логи FRST и Addition.

to_stas 21-09-2021 21:45 2967273
Вложений: 2
Файл 165349
Файл 165350

Sandor 22-09-2021 07:58 2967292
Вижу, вы уже запускали
Цитата:
C:\Users\Acer\Downloads\kavremvr.exe
Пройдитесь ещё раз, следы видны.
А также утилитой очистки антивируса ESET (тоже видно в логах).

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Internet Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    FirewallRules: [{44715BCA-C27C-4CD2-9081-79F81C846C09}] => (Allow) C:\program files (x86)\hitmanpro.alert\hmpalert.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

to_stas 23-09-2021 07:29 2967341
Вложений: 2
Файл 165359

Утилита ESETUninstaller, судя по её логу, нашла и удалила Purge leftover ESET Security data.
Утилита kavremover выдаёт список продуктов, среди которых нет Kaspersky Internet Security 21.3. Думаю, придётся сегодня перебрать все доступные программы из списка.

Файл 165360

Sandor 23-09-2021 08:15 2967344
Цитата:
Цитата to_stas
перебрать все доступные программы из списка »
Не нужно. Следы очищены скриптом.

В завершение:

1. Выполните процедуру, описанную на этой странице.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

to_stas 24-09-2021 22:33 2967454
Вложений: 1
Здесь так же версия ОС некорректна, но на то наверняка есть причина...
Файл 165366

https://defendium.info/aqs/qr_report...E37C7F5ED153B2

Sandor 25-09-2021 09:12 2967464
На заметку - Рекомендации после лечения.

to_stas 26-09-2021 07:18 2967542
Благодарю.

Больше уведомлений от антивируса при блокировке соединений с интернетом - не возникало. Будем считать вопрос решенным.
Спасибо большое за помощь!


Время: 18:43.

Время: 18:43.
© OSzone.net 2001-