1

Аннотация - я пытаюсь найти "криминальный" процесс, который автоматически открывает рекламу, когда я не использую свой ПК с Windows 10. Я попробовал Process Monitor, но трассировка процесса завершилась в системной службе, называемой службой фоновых задач. На следующем этапе я прошу помощи, чтобы узнать, кто запустил рекламу через этот сервис.


Короче. Я подхватил какой-то вирус (на 100% уверен, что это был вирус) и провел некоторые очистки как вручную, так и с помощью Защитника Windows (поздно вечером 13.11.2016 г.). Кажется, однако, что вирус не был полностью очищен.

Что-то (нельзя быть уверенным, что это был вирус) порождает Mozilla Firefox (мой браузер по умолчанию) один раз в день, чтобы показать одно и то же веб-объявление, которое здесь - страница рекламы, не открывайте, так как я не уверен, что это страница безопасна: http://qaafa.com/7fKEs582d18c5aebf7euplsX1eWReAj?r=L2Rhb2xud29kL3p5eC5zcHBhc3dvZG5pd3phZC8vOnB0dGg=. Это произошло 14.11.2016 впервые. Сегодня 11/16, и это действительно был третий раз, когда это произошло.

Поскольку идентификатор родительского процесса этого Firefox в конечном итоге не указывает ни на что (это был мой опыт со второго раза, когда это произошло вчера), я использовал Process Monitor для наблюдения за событиями создания процесса. Без фильтрации монитор захватывает тысячи событий каждую секунду, поэтому я отфильтровал, чтобы включить только события создания процесса, которые порождают «firefox.exe».

Хорошей новостью было то, что это сработало. Событие было зафиксировано как

High Resolution Date & Time:    11/16/2016 6:41:00.6482030 PM
Event Class:    Process
Operation:  Process Create
Result: SUCCESS
Path:   C:\Program Files (x86)\Mozilla Firefox\firefox.exe
TID:    8528
Duration:   0.0000000
PID:    904
Command line:   "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "http://dazwindowsapps.xyz/download/index.php?mn=9995"

И детали для родительского процесса, который запустил Firefox, были

Description:    Windows Explorer
Company:    Microsoft Corporation
Name:   explorer.exe
Version:    10.0.14393.0 (rs1_release.160715-1616)
Path:   C:\WINDOWS\explorer.exe
Command Line:   C:\WINDOWS\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
PID:    7000
Parent PID: 812
Session ID: 1
User:   <hostname>\<username> (Personal user I am using)
Auth ID:    00000000:0008e4e4
Architecture:   64-bit
Virtualized:    False
Integrity:  Medium
Started:    11/16/2016 6:41:00 PM
Ended:  11/16/2016 6:42:00 PM
Modules:
...

Плохая новость, которая была очевидна, заключалась в том, что родительский процесс был «explorer.exe», а путь указывал, что это на самом деле программа и процесс Windows Explorer .

UUID {75dff2b7-6936-4c06-a8bb-676a7b00b24b} указывает на HKLM\SOFTWARE\Classes\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b} , который имеет "LocalServer32" по умолчанию "sub" с подпунктом "LocalServer32" по умолчанию) значение %SystemRoot%\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} .

Однако информация о процессе также указала, что родительский идентификатор этого конкретного экземпляра «explorer.exe» был 812, который все еще работает в то время, когда я возвращаюсь к своему ПК, - это BrokerInfrastructure (служба инфраструктуры фоновых задач).

Теперь я вижу, что этот сервис, по-видимому, является брокером, как следует из его названия. Должен быть «кто-то один» (процесс, например), опубликовавший какое-то событие через этого посредника, и этот посредник создал сам Windows Explorer с командной строкой для запуска Firefox. Скорее всего, это событие (угадывание) "Я хочу открыть этот URL", и подлинная служба Windows просто выбрала для этого моего брокера по умолчанию.


Хорошо... Каков следующий шаг, который я должен сделать, чтобы узнать фактический "преступный" процесс?


Дополнительная информация

На самом деле я не только запустил Process Monitor, но и включил "Отслеживание процессов аудита" в локальной групповой политике. Аудит показывает следующие события "Создание процесса", произошедшие в это время (6:41:00 вечера):

1 -

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          11/16/2016 6:41:00 PM
Event ID:      4688
Task Category: Process Creation
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      <hostname>
Description:
A new process has been created.

Creator Subject:
    Security ID:        SYSTEM
    Account Name:       <hostname>$
    Account Domain:     HOME
    Logon ID:       0x3E7

Target Subject:
    Security ID:        <hostname>\<username>
    Account Name:       <username>
    Account Domain:     <hostname>
    Logon ID:       0x8E4E4

Process Information:
    New Process ID:     0x27b0
    New Process Name:   C:\Windows\explorer.exe
    Token Elevation Type:   %%1938
    Mandatory Label:        Mandatory Label\Medium Mandatory Level
    Creator Process ID: 0x504
    Creator Process Name:   C:\Windows\System32\svchost.exe
    Process Command Line:   

2 -

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          11/16/2016 6:41:00 PM
Event ID:      4688
Task Category: Process Creation
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      <hostname>
Description:
A new process has been created.

Creator Subject:
    Security ID:        SYSTEM
    Account Name:       <hostname>$
    Account Domain:     HOME
    Logon ID:       0x3E7

Target Subject:
    Security ID:        <hostname>\<username>
    Account Name:       <username>
    Account Domain:     <hostname>
    Logon ID:       0x8E4E4

Process Information:
    New Process ID:     0x1b58
    New Process Name:   C:\Windows\explorer.exe
    Token Elevation Type:   %%1938
    Mandatory Label:        Mandatory Label\Medium Mandatory Level
    Creator Process ID: 0x32c
    Creator Process Name:   C:\Windows\System32\svchost.exe
    Process Command Line:   

3 -

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          11/16/2016 6:41:00 PM
Event ID:      4688
Task Category: Process Creation
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      <hostname>
Description:
A new process has been created.

Creator Subject:
    Security ID:        <hostname>\<username>
    Account Name:       <username>
    Account Domain:     <hostname>
    Logon ID:       0x8E4E4

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     0x388
    New Process Name:   C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    Token Elevation Type:   %%1938
    Mandatory Label:        Mandatory Label\Medium Mandatory Level
    Creator Process ID: 0x1b58
    Creator Process Name:   C:\Windows\explorer.exe
    Process Command Line:   

3 ответа3

1

Похоже на сервис, который запускает запланированные задачи. Вы проверили, нет ли запланированной задачи, созданной для ежедневного запуска, которая запускает URL через проводник, который объяснит проводнику передачу его браузеру по умолчанию? Похоже, наиболее вероятный виновник

0

Нашел решение, чтобы остановить это в другом месте:

Зайдите в свой планировщик задач и отключите / удалите PPI Updater. Это должно остановить это.

0

Прежде всего, вы уже пробовали установить и запустить сканирование угроз с помощью вредоносных программ? В наши дни это действительно превратилось в процедуру поиска и устранения неисправностей для вирусов и вредоносных программ.

Кроме того, честно говоря, я всегда довольно дотошный, когда дело доходит до моих сборок Windows. Если бы у меня был зараженный таким образом файл, я бы гарантировал, что у меня есть резервная копия соответствующих файлов и папок, а затем выполнил бы полную очистку и перезагрузку ОС. Утилиты, такие как Process Monitor, RKill (который я обычно запускаю первым) и Malwarebytes, являются потрясающими, но трудно по-настоящему сохранять спокойствие после заражения без перезагрузки ОС.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .