Аннотация - я пытаюсь найти "криминальный" процесс, который автоматически открывает рекламу, когда я не использую свой ПК с Windows 10. Я попробовал Process Monitor, но трассировка процесса завершилась в системной службе, называемой службой фоновых задач. На следующем этапе я прошу помощи, чтобы узнать, кто запустил рекламу через этот сервис.
Короче. Я подхватил какой-то вирус (на 100% уверен, что это был вирус) и провел некоторые очистки как вручную, так и с помощью Защитника Windows (поздно вечером 13.11.2016 г.). Кажется, однако, что вирус не был полностью очищен.
Что-то (нельзя быть уверенным, что это был вирус) порождает Mozilla Firefox (мой браузер по умолчанию) один раз в день, чтобы показать одно и то же веб-объявление, которое здесь - страница рекламы, не открывайте, так как я не уверен, что это страница безопасна: http://qaafa.com/7fKEs582d18c5aebf7euplsX1eWReAj?r=L2Rhb2xud29kL3p5eC5zcHBhc3dvZG5pd3phZC8vOnB0dGg=. Это произошло 14.11.2016 впервые. Сегодня 11/16, и это действительно был третий раз, когда это произошло.
Поскольку идентификатор родительского процесса этого Firefox в конечном итоге не указывает ни на что (это был мой опыт со второго раза, когда это произошло вчера), я использовал Process Monitor для наблюдения за событиями создания процесса. Без фильтрации монитор захватывает тысячи событий каждую секунду, поэтому я отфильтровал, чтобы включить только события создания процесса, которые порождают «firefox.exe».
Хорошей новостью было то, что это сработало. Событие было зафиксировано как
High Resolution Date & Time: 11/16/2016 6:41:00.6482030 PM
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
TID: 8528
Duration: 0.0000000
PID: 904
Command line: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "http://dazwindowsapps.xyz/download/index.php?mn=9995"
И детали для родительского процесса, который запустил Firefox, были
Description: Windows Explorer
Company: Microsoft Corporation
Name: explorer.exe
Version: 10.0.14393.0 (rs1_release.160715-1616)
Path: C:\WINDOWS\explorer.exe
Command Line: C:\WINDOWS\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
PID: 7000
Parent PID: 812
Session ID: 1
User: <hostname>\<username> (Personal user I am using)
Auth ID: 00000000:0008e4e4
Architecture: 64-bit
Virtualized: False
Integrity: Medium
Started: 11/16/2016 6:41:00 PM
Ended: 11/16/2016 6:42:00 PM
Modules:
...
Плохая новость, которая была очевидна, заключалась в том, что родительский процесс был «explorer.exe», а путь указывал, что это на самом деле программа и процесс Windows Explorer .
UUID {75dff2b7-6936-4c06-a8bb-676a7b00b24b} указывает на HKLM\SOFTWARE\Classes\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b} , который имеет "LocalServer32" по умолчанию "sub" с подпунктом "LocalServer32" по умолчанию) значение %SystemRoot%\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} .
Однако информация о процессе также указала, что родительский идентификатор этого конкретного экземпляра «explorer.exe» был 812, который все еще работает в то время, когда я возвращаюсь к своему ПК, - это BrokerInfrastructure (служба инфраструктуры фоновых задач).
Теперь я вижу, что этот сервис, по-видимому, является брокером, как следует из его названия. Должен быть «кто-то один» (процесс, например), опубликовавший какое-то событие через этого посредника, и этот посредник создал сам Windows Explorer с командной строкой для запуска Firefox. Скорее всего, это событие (угадывание) "Я хочу открыть этот URL", и подлинная служба Windows просто выбрала для этого моего брокера по умолчанию.
Хорошо... Каков следующий шаг, который я должен сделать, чтобы узнать фактический "преступный" процесс?
Дополнительная информация
На самом деле я не только запустил Process Monitor, но и включил "Отслеживание процессов аудита" в локальной групповой политике. Аудит показывает следующие события "Создание процесса", произошедшие в это время (6:41:00 вечера):
1 -
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: <hostname>$
Account Domain: HOME
Logon ID: 0x3E7
Target Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Process Information:
New Process ID: 0x27b0
New Process Name: C:\Windows\explorer.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x504
Creator Process Name: C:\Windows\System32\svchost.exe
Process Command Line:
2 -
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: <hostname>$
Account Domain: HOME
Logon ID: 0x3E7
Target Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Process Information:
New Process ID: 0x1b58
New Process Name: C:\Windows\explorer.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x32c
Creator Process Name: C:\Windows\System32\svchost.exe
Process Command Line:
3 -
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Target Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Process Information:
New Process ID: 0x388
New Process Name: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x1b58
Creator Process Name: C:\Windows\explorer.exe
Process Command Line: