Resumo - Estou tentando descobrir um processo "criminoso" que abre anúncios automaticamente quando não estou usando meu computador com Windows 10. Eu tentei o Process Monitor, mas o rastreamento do Process terminou em um serviço do sistema chamado Serviço de Infra-estrutura de Tarefas em Segundo Plano . Estou a pedir ajuda no próximo passo para descobrir quem começou o anúncio através deste serviço.
longa história curta. Eu peguei alguns vírus (100% de certeza que era um vírus) e fiz algumas limpezas manualmente e usando o Windows Defender (11/13/2016 tarde da noite). Parece, no entanto, que o vírus não foi completamente eliminado.
Algo (não se pode ter certeza se esse era o vírus) gera Mozilla Firefox (meu navegador padrão) uma vez por dia apenas para exibir o mesmo anúncio da Web, que está aqui - página de anúncio, don Não abra, pois não tenho certeza se essa página é segura: link . Isso aconteceu em 11/14/2016 pela primeira vez. Hoje é 11/16, e foi na verdade a terceira vez que isso aconteceu.
Como o ID do processo pai desse Firefox acaba apontando para nada (essa foi minha experiência da segunda vez em que aconteceu ontem), usei Process Monitor para assistir a eventos de criação de processos. Sem filtragem, o monitor captura milhares de eventos a cada segundo, então eu os filtro para incluir apenas eventos de criação de processos que geram "firefox.exe".
A boa notícia foi que funcionou. O evento foi capturado como
High Resolution Date & Time: 11/16/2016 6:41:00.6482030 PM
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
TID: 8528
Duration: 0.0000000
PID: 904
Command line: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "http://dazwindowsapps.xyz/download/index.php?mn=9995"
E os detalhes do processo pai que iniciou o Firefox foram
Description: Windows Explorer
Company: Microsoft Corporation
Name: explorer.exe
Version: 10.0.14393.0 (rs1_release.160715-1616)
Path: C:\WINDOWS\explorer.exe
Command Line: C:\WINDOWS\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
PID: 7000
Parent PID: 812
Session ID: 1
User: <hostname>\<username> (Personal user I am using)
Auth ID: 00000000:0008e4e4
Architecture: 64-bit
Virtualized: False
Integrity: Medium
Started: 11/16/2016 6:41:00 PM
Ended: 11/16/2016 6:42:00 PM
Modules:
...
A má notícia, que era óbvia, era que o processo pai era "explorer.exe" e o caminho indicava que era realmente o programa e o processo Windows Explorer genuínos.
O UUID {75dff2b7-6936-4c06-a8bb-676a7b00b24b} aponta para HKLM\SOFTWARE\Classes\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b} , que tem uma subchave "LocalServer32" com o valor "(Padrão)" sendo %SystemRoot%\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} .
No entanto, as informações do processo também informaram que o ID pai dessa instância específica de "explorer.exe" era 812, que ainda está em execução no momento em que estou de volta ao meu PC - é o BrokerInfrastructure (Background Serviço de Infraestrutura de Tarefas) .
Agora o que eu vejo é que este serviço é aparentemente um corretor como é sugerido pelo seu nome. Deve haver "some one" (um processo, por exemplo), publicado algum evento através desse broker, e o broker gerou o próprio Windows Explorer com a linha de comando para iniciar o Firefox. Esse evento provavelmente seria (adivinhando) "Eu quero abrir essa URL", e o serviço genuíno do Windows apenas escolheu meu broker padrão para isso.
Ok ... Qual é o próximo passo que devo dar para descobrir o verdadeiro processo "criminoso"?
Informações adicionais
Na verdade, eu não apenas tinha o Process Monitor sendo executado, mas também ativava o "acompanhamento do processo de auditoria" na Política de Grupo Local . A auditoria mostra os seguintes eventos "Criação de processo" ocorridos nesse momento (18h41: 00h):
1 -
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: <hostname>$
Account Domain: HOME
Logon ID: 0x3E7
Target Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Process Information:
New Process ID: 0x27b0
New Process Name: C:\Windows\explorer.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x504
Creator Process Name: C:\Windows\System32\svchost.exe
Process Command Line:
2 -
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: <hostname>$
Account Domain: HOME
Logon ID: 0x3E7
Target Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Process Information:
New Process ID: 0x1b58
New Process Name: C:\Windows\explorer.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x32c
Creator Process Name: C:\Windows\System32\svchost.exe
Process Command Line:
3 -
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Target Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Process Information:
New Process ID: 0x388
New Process Name: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x1b58
Creator Process Name: C:\Windows\explorer.exe
Process Command Line:
Primeiro de tudo, você já tentou instalar e executar uma verificação de ameaças usando o Malwarebytes ? Nos dias de hoje, isso se tornou realmente um procedimento "Solução de problemas 101" de vírus / malware.
Além disso, francamente, sou sempre meticuloso quando se trata de minhas compilações do Windows. Se eu tivesse um que estava infectado dessa maneira, eu garantiria que eu tivesse um backup dos meus arquivos e pastas pertinentes, em seguida, executasse uma limpeza completa do sistema operacional & recarregar. Utilitários como Process Monitor, RKill (que eu normalmente executo primeiro), e Malwarebytes são ótimos, mas é difícil realmente tenha tranquilidade após uma infecção sem recarregar o SO.
Encontrou a solução para impedir que isso acontecesse em outro lugar:
Vá para o Agendador de Tarefas e desative / exclua o PPI Updater. Isso deve pará-lo.