Вопрос или проблема
Я столкнулся с серией странных действий со стороны моего компьютера (Windows 10) и Avast Antivirus и полагаю, что мог быть感染ирован вредоносным ПО, которое выдает себя за другое (или я просто параноик). Я не знаю, что делать, чтобы определить истинный источник проблемы, и надеюсь, кто-то сможет помочь понять, как поступить.
Итак, я использую Avast Premium и настроил интернет-соединения и несколько других конфигураций на ‘спрашивать меня первым’, потому что я немного контролирующий человек. 2 дня назад Microsoft Installer (msiexec.exe в папке System32) запросил доступ к сети, и я подумал, что это странно, и заблокировал его. Через несколько секунд я заметил, что в верхней левой части монитора мелькнуло небольшое серое окно, и я открыл диспетчер задач и увидел несколько процессов Microsoft Installer, открытых без моего ведома, и 2 процесса ‘MDES SDK 4V 3rd Party Host’, которых я никогда не видел раньше (позже я узнал, что он принадлежит OPSWAT Inc. и расположен в одной из папок Avast, и они были недавно обновлены, но это первый раз, когда они появились в диспетчере задач).
Теперь приходит странная часть: сразу после этого на моем рабочем столе начали появляться ярлыки для программ, которые у меня уже есть, как будто они только что были обновлены. Я отключил интернет-кабель от компьютера, но все равно появилось еще 2 ярлыка, так что я завершил процессы msiexec. Я просканировал свой компьютер, но ничего не нашел, так что для подстраховки я вручную отправил файл msiexec в карантин… но ничего не произошло. Avast говорит, что файл в карантине, но файл никогда не перемещается из папки Windows32. То же самое с программами, для которых ярлыки появляются в фоновом режиме, я отправил их в карантин, но они не двигаются. Я могу отправить любой файл в карантин, кроме этих. Что, как я предполагаю, может быть либо из-за того, что мой Avast скомпрометирован, либо вредоносное ПО невосприимчиво к антивирусам.
После этого я скачал Malwarebytes и тоже сделал сканирование. То же самое, ничего не нашел, но если вирус находится в msiexec, тогда я думаю, что все, что я установлю на компьютер, будет автоматически скомпрометировано.
Еще одна вещь, которая привлекла мое внимание, это программы, которые были обновлены/изменены: Codec Tweak Tool, Media Classic Player, Calibre E-Book Management и Adobe Digital Editions. Последнее — это часть подписки Adobe, каждый раз, когда вы обновляете программу, принадлежащую Adobe, в фоновом режиме запускаются процессы Creative Cloud Manager, но на этот раз ни один из обычных процессов Adobe не появился в диспетчере задач, когда Adobe Digital Editions был “обновлен”, что для меня указывает на то, что Adobe не обновлял файл, это сделало что-то другое.
Сегодня произошло то же самое. Я включил компьютер, Avast спрашивает, хочу ли я разрешить msiexec.exe (теперь в папке SysWoW64), и я заблокировал его, снова мелькнуло серое окно в верхней части экрана, и теперь появился ярлык для VLC Media Player. Я тоже не могу отправить файлы из VLC в карантин. На этот раз также появились несколько процессов для Firefox, хотя Firefox не использовался. Те же странные процессы MDES SDK появляются и вместе с Windows Installer. Process Explorer показал бесконечный список процессов svchost, некоторые из них были связаны с msiexec.
Также хотел бы отметить, что у меня нет никакой настройки автоматического обновления. Windows не обновляет автоматически никакое программное обеспечение, и у меня также нет опций автопроверки для программ в антивирусе. Я делаю это всё вручную. Даже Windows не может автоматически обновляться, потому что я заблокировал это в реестре.
На данный момент мой компьютер запущен в безопасном режиме без интернет-соединения. И я заметил, что некоторые папки на диске C (Windows, Users, Program Files) имеют “State:Shared” (и эмодзи посередине), когда вы их открываете. У меня нет других пользователей на этом компьютере, и никогда не было папок, которые делились бы по сети, даже папок облачных сервисов, таких как Google Drive и Dropbox (я не использую облачный сервис от Adobe тоже). Я еще не проверял, с кем это делится (я использовал fsmgmt.msc, но служба сервера отключена в безопасном режиме, так что это не работает). Avast, похоже, тоже не работает в безопасном режиме, так что я не смог попробовать положить файлы в карантин, находясь в безопасном режиме.
Итак, это призрак-вредоносное ПО? Как мне избавиться от этого? Я думал о том, чтобы удалить оба файла msiexec.exe с помощью Avast File Shredder, а затем запустить sfc/scannow, чтобы восстановить их, но я не уверен, могу ли я доверять Avast в данный момент или что предполагаемое вредоносное ПО действительно находится в файле msiexec или где-то еще.
Ответ или решение
К сожалению, ваша ситуация кажется довольно серьезной, и в таких случаях важно проявлять осторожность. В ответ на ваш вопрос, давайте сначала рассмотрим понятия "невозможные к карантину файлы" (un-quarantineable files) и "призрачный вредоносный софт" (ghost malware).
Что такое невозвратные файлы для карантина?
Невозможные к карантину файлы представляют собой те компьютерные объекты, которые антивирусное программное обеспечение не может переместить в карантин из-за их системной природы или потому, что они уже заражены. В вашем случае, файлы msiexec.exe, которые находятся в папках System32 и SysWoW64, относятся к критически важным компонентам Windows. Если они повреждены, их восстановление обычно происходит с помощью инструментов системы или переустановки.
Разоблачение призрачного вредоносного программного обеспечения
Призрачное или скрытое вредоносное программное обеспечение (malware) может оставаться незамеченным для многих антивирусов, особенно если оно использует методы сокрытия, такие как загрузка в системные процессах или использование легитимных записей в реестре. То, что вы описали — запуск Microsoft Installer без вашего ведома, создание ярлыков программ — указывает на возможность наличия такого вредоносного ПО.
Опасные симптомы и действия
-
Необычные процессы: Повышенное количество процессов msiexec.exe и MDES SDK может быть признаком скрытой активности. MDES SDK может использоваться для различных целей, и если вы не устанавливали ПО, то его наличие вызывает подозрения.
-
Создание ярлыков: Автоматическое создание ярлыков программ на рабочем столе также может быть связано с активным вредоносным ПО.
-
Неисправность антивируса: Если ваш антивирус не может переместить файлы в карантин, это может говорить о том, что он также затронут вредоносной программой или уже не выполняет свои функции корректно.
Последующие шаги
-
Запуск в безопасном режиме: Вы уже сделали правильный шаг, загрузив компьютер в безопасном режиме. Это позволит вам минимизировать возможности вредоносных программ в их действиях.
-
Исследование процессов: С помощью таких инструментов, как Process Explorer, можете более детально исследовать запущенные процессы и их зависимости.
-
Системная проверка: Используйте SFC (System File Checker), как вы и планировали, чтобы восстановить системные файлы. После этого, при необходимости, используйте DISM (Deployment Imaging Service and Management Tool) для более глубокого восстановления.
-
Переустановка антивируса: Рассмотрите возможность полного удаления Avast и его повторной установки после завершения всех проверок. Это может помочь вернуть функциональность антивируса. Однако убедитесь, что вы полностью очистили систему от любых следов вредоносного ПО перед переустановкой.
-
Ручной обзор реестра и задач: Дополнительно проверьте реестр Windows на наличие подозрительных записей, особенно в ветках, связанных с автозагрузкой.
-
Системе «Майкрософта»: Ручное восстановление с помощью загрузочного носителя может быть решением, если никакие другие методы не помогли. Это будет означать переустановку Windows — крайнюю меру, но необходимую для устранения всех следов инфекции.
-
Кибербезопасность: Обязательно обновите свои знания о кибербезопасности, чтобы предотвратить аналогичные ситуации в будущем. Используйте надежные пароли, следите за скачиванием и установкой программного обеспечения только из официальных источников.
Эта ситуация требует внимательного подхода и возможно, консультации с профессионалом в области кибербезопасности. Важно действовать как можно быстрее, чтобы минимизировать потенциальный ущерб.