Решена Как узнать есть ли скрытый шпион на компьютере? Malware, TrickBot?

[Dmitry3]

Здравствуйте, возникла очень неприятная проблема, буду очень рад если поможете разобраться. Я ищу заказы на фрилансе, зайдя на один из заказов я попытался скачать файлик (расширение rar, обычно в них прикладывают Тех. Задание). Сразу после клика антивирус (встроенный в Windows) или сам браузер попытался заблокировать этот файл, по крайней мере в загрузках я его не нашел. После этого я провел сканирование всей системы опять же встроенным антивирусом, обнаружив два зловредных файла (один по-моему находился в кеше браузера на системном диске), которые надеюсь благополучно антивирус вынес. Но т.к я очень трепетный к этой теме, решил сразу же снести всю Windows, отформатировав SSD на этапе установки (все разделы кроме "Системный" и "Зарезервировано системой"). Дальше начитавшись про вирусы которые вживляются в BIOS и диски, скачал Process Monitor для мониторинга системы. В один момент где-то под вечер я обнаружил что файл svchost.exe (системный, находится в System32) отправил подозрительный запрос на IP 62-140-236-163.fiord.ru. Загуглив этот IP, нашел статью под названием TrickBot, в статье были скриншоты запросов инфицированной системы, в списке которых тот самый IP 62-140-236-163.fiord.ru. Подскажите пожалуйста, мог ли вирус встроиться как-то, что и переустановка Windows не помогает, если да, то как его удалить? Или может это и не вирус вовсе, т.к я уже 3 день подряд сижу с открытым Process Monitor и TCPView, проверяя каждый IP (тот самый fiord больше не видел, хотя может он отправляет 1 запрос в день). С таким ни разу не сталкивался, не знаю уже что и делать. Переустановил Windows уже раза 3, проверил ее с помощью Malwarebytes, McAfee, Kaspersky, DrWeb, встроенным автономным и обычным дефендером, все говорят что чисто, но тот IP не дает покоя. Нашел в папке AppData/Roaming файл под названием MCVi2UserDetail, внутри него записана моя почта (откуда она там, может от McAfee, я не уверен). Далее папка ProgramData, скрытый файл DP45977C.lfl (в Гугл выдает что-то о вирусах). Все скриншоты приложу, также скриншот запроса. Также комп частенько отправляет запросы на 192.168.0.1, как я понял к роутеру, это нормально?

 

[Sandor]

Здравствуйте!

Прочтите и выполните Правила оформления запроса о помощи
Необходимое прикрепите к следующему сообщению в текущей теме.

 

[Dmitry3]

Добрый вечер, прилаживаю

 

[Sandor]

Пока ничего подозрительного не видно.

Посмотрим ещё так:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Dmitry3]

Пока ничего подозрительного не видно.

Посмотрим ещё так:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Доброе утро, большое спасибо за отклик, прикрепляю файлы:

 

[Sandor]

Тут тоже ничего необычного.

Сделайте такую проверку:
Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов. Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

 

[Dmitry3]

Тут тоже ничего необычного.

Сделайте такую проверку:
Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов. Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Сделал как вы указали, приложение сканировало раздел C, параметр инфицированных файлов = 10, когда он перешел на раздел D, где у меня хранятся основные файлы, он нашел еще 200+ инфицированных файлов, НО я так понимаю это просто JS скрипты из моей папки node_modules для разработки сайтов. На счет системного раздела ничего не скажу, там по идее ничего из моих файлов нету. Прикрепляю запрашиваемый файл

 

[Sandor]

То, что "обнаруживается" в процессе, не важно. Это т.н. промежуточный результат, который затем обрабатывается в облаке и в финале выводится отчет:

Results Summary:
----------------
No infection found.

Проверьте уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Dmitry3]

То, что "обнаруживается" в процессе, не важно. Это т.н. промежуточный результат, который затем обрабатывается в облаке и в финале выводится отчет:


Проверьте уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Прикрепляю:

 

[Sandor]

Node.js v.16.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^


В остальном - порядок. Умерьте свою паранойю

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Читайте и соблюдайте Рекомендации после удаления вредоносного ПО

 

[Dmitry3]

Node.js v.16.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^


В остальном - порядок. Умерьте свою паранойю

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Читайте и соблюдайте Рекомендации после удаления вредоносного ПО

 

[Dmitry3]

Node.js v.16.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^


В остальном - порядок. Умерьте свою паранойю

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Читайте и соблюдайте Рекомендации после удаления вредоносного ПО

А вирус не мог встроиться в svchost? Просто файлы которые я прикрепил в самом первом сообщении (MCVi2UserDetail и DP45977C.lfl), при поиске в Гугл выдают запросы о вирусах, они нормальные?

 

[Sandor]

Пожалуйста, не цитируйте полностью предыдущее сообщение. Это ухудшает читаемость темы, да и нарушает правила форума.

Файлы нормальные. Мы проверили систему несколькими лечащими утилитами разных производителей и ничего вредоносного обнаружено не было.

 

[Dmitry3]

@Sandor, Извиняюсь, просто опция "ответить" рефлекторно нажимается на всех сайтах. Надеюсь все действительно хорошо, огромное спасибо Вам за помощь!

 

[Sandor]

Удачи!

 

[Dmitry3]

Добрый день, я уже недавно создавал подобную тему, все вроде как было хорошо, но сегодня я заметил как поступает куча запросов на непонятный русский домен 62-140-236-162.fiord.ru, а также непонятный doppler (скрины приложу), я также вытащил информацию про модули, не знаю поможет ли она. Также грузится сеть, процессом "сетевая служба". Прилаживаю скриншоты и логи.

 

[Sandor]

Здравствуйте!

Поскольку компьютер тот же, темы объединю.

 

[Sandor]

куча запросов на непонятный русский домен

Все остальные записи логов вам понятны?

Домен как раз не русский, а украинский.
В логах - ничего плохого (вирусоподобного) не замечено.

 

[Dmitry3]

@Sandor, домен хороший? Я прикреплю статью, которую нашел по запросу этого IP адреса, она правда на украинском, но там внизу где "Трафик инфицированных систем", точно такой же адрес (IOC_Trickbot_040718)

 

[Sandor]

@Dmitry3, вы не сможете "глазами" уследить за всем, что происходит в сети.
Установите дополнительно к Защитнику антивирус и соблюдайте Рекомендации после удаления вредоносного ПО