Klingt nach dem Dienst, der geplante Aufgaben ausführt. Haben Sie überprüft, ob für die tägliche Ausführung eine geplante Aufgabe erstellt wurde, die die URL durch den Explorer startet, wodurch der Explorer die Weitergabe an den Standardbrowser erklären würde? Klingt nach dem wahrscheinlichsten Täter
Wie finde ich, "wer" meine Broker über BrokerInfrastructure gestartet hat, um Anzeigen zu schalten?
1336
bfrguci
Zusammenfassung - Ich versuche, einen "kriminellen" Prozess herauszufinden, der automatisch Anzeigen öffnet, wenn ich meinen Windows 10-PC nicht verwende. Ich habe Process Monitor ausprobiert, aber die Prozessablaufverfolgung endete bei einem Systemdienst mit dem Namen Background Tasks Infrastructure Service . Ich bitte um Hilfe beim nächsten Schritt, um herauszufinden, wer die Anzeige über diesen Service gestartet hat.
Um es kurz zu machen. Ich habe einen Virus entdeckt (100% sicher, dass es sich um einen Virus handelt) und sowohl manuell als auch mit Windows Defender einige Bereinigungen vorgenommen (11/13/2016 Late Night). Es scheint jedoch, dass das Virus nicht vollständig gelöscht wurde.
Etwas (kann nicht so sicher sein, ob dies der Virus war) bringt Mozilla Firefox (mein Standardbrowser) einmal am Tag hervor, nur um dieselbe Web-Anzeige zu zeigen, die hier ist - die Anzeigenseite wird nicht geöffnet, da ich nicht sicher bin, ob das der Fall ist Seite ist sicher: http://qaafa.com/7fKEs582d18c5aebf7euplsX1eWReAj?r=L2Rhb2xud29kL3p5eC5zcHBhc3dvZG5pd3phZC8vOnB0dGg= . Dies geschah am 14.11.2016 zum ersten Mal. Heute ist der 16.11. Und dies war tatsächlich das dritte Mal, dass dies geschah.
Da die übergeordnete Prozess-ID dieses Firefox auf nichts verweist (dies war meine Erfahrung vom zweiten Mal, als es gestern passiert ist), habe ich Process Monitor verwendet, um Ereignisse zur Prozesserstellung zu überwachen. Ohne Filterung erfasst der Monitor jede Sekunde Tausende von Ereignissen. Deshalb habe ich gefiltert, um nur Ereignisse zur Prozesserstellung zu berücksichtigen, die "firefox.exe" erzeugen.
Die gute Nachricht war, es hat funktioniert. Das Ereignis wurde als festgehalten
High Resolution Date & Time: 11/16/2016 6:41:00.6482030 PM Event Class: Process Operation: Process Create Result: SUCCESS Path: C:\Program Files (x86)\Mozilla Firefox\firefox.exe TID: 8528 Duration: 0.0000000 PID: 904 Command line: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "http://dazwindowsapps.xyz/download/index.php?mn=9995" Und die Details für den übergeordneten Prozess, der Firefox gestartet hat, waren
Description: Windows Explorer Company: Microsoft Corporation Name: explorer.exe Version: 10.0.14393.0 (rs1_release.160715-1616) Path: C:\WINDOWS\explorer.exe Command Line: C:\WINDOWS\explorer.exe /factory, -Embedding PID: 7000 Parent PID: 812 Session ID: 1 User: <hostname>\<username> (Personal user I am using) Auth ID: 00000000:0008e4e4 Architecture: 64-bit Virtualized: False Integrity: Medium Started: 11/16/2016 6:41:00 PM Ended: 11/16/2016 6:42:00 PM Modules: ... Die schlechte Nachricht, die offensichtlich war, war, dass der übergeordnete Prozess "explorer.exe" war und der Pfad angab, dass es sich tatsächlich um das echte Windows Explorer- Programm und den Originalprozess handelt.
Die UUID zeigt auf HKLM\SOFTWARE\Classes\CLSID\einen Unterschlüssel "LocalServer32" mit dem Wert "(Default)" %SystemRoot%\explorer.exe /factory,.
Die Prozessinformationen gaben jedoch auch an, dass die übergeordnete ID dieser bestimmten Instanz von "explorer.exe" 812 war. Diese ist zu dem Zeitpunkt noch aktiv, zu dem ich wieder auf meinem PC bin. Dies ist die BrokerInfrastructure (Background Tasks Infrastructure Service) .
Was ich jetzt sehe, ist, dass dieser Dienst anscheinend ein Broker ist, wie der Name schon sagt. Es muss "irgendwas" geben (ein Prozess zum Beispiel), ein Ereignis über diesen Broker veröffentlicht und der Broker hat Windows Explorer selbst mit der Befehlszeile gestartet, um Firefox zu starten. Bei diesem Ereignis handelte es sich wahrscheinlich (erraten) um "Ich möchte diese URL öffnen", und der echte Windows-Dienst hat gerade meinen Standardbroker dafür ausgewählt.
Okay ... Was ist der nächste Schritt, um den tatsächlichen "kriminellen" Prozess herauszufinden?
Zusätzliche Information
Ich hatte tatsächlich nicht nur Process Monitor ausgeführt, sondern auch "Überwachung der Prozessüberwachung" in den lokalen Gruppenrichtlinien aktiviert . Die Überwachung zeigt die folgenden "Prozesserstellung" -Ereignisse, die zu diesem Zeitpunkt (18:41 Uhr) aufgetreten sind:
1 -
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 11/16/2016 6:41:00 PM Event ID: 4688 Task Category: Process Creation Level: Information Keywords: Audit Success User: N/A Computer: <hostname> Description: A new process has been created. Creator Subject: Security ID: SYSTEM Account Name: <hostname>$ Account Domain: HOME Logon ID: 0x3E7 Target Subject: Security ID: <hostname>\<username> Account Name: <username> Account Domain: <hostname> Logon ID: 0x8E4E4 Process Information: New Process ID: 0x27b0 New Process Name: C:\Windows\explorer.exe Token Elevation Type: %%1938 Mandatory Label: Mandatory Label\Medium Mandatory Level Creator Process ID: 0x504 Creator Process Name: C:\Windows\System32\svchost.exe Process Command Line: 2 -
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 11/16/2016 6:41:00 PM Event ID: 4688 Task Category: Process Creation Level: Information Keywords: Audit Success User: N/A Computer: <hostname> Description: A new process has been created. Creator Subject: Security ID: SYSTEM Account Name: <hostname>$ Account Domain: HOME Logon ID: 0x3E7 Target Subject: Security ID: <hostname>\<username> Account Name: <username> Account Domain: <hostname> Logon ID: 0x8E4E4 Process Information: New Process ID: 0x1b58 New Process Name: C:\Windows\explorer.exe Token Elevation Type: %%1938 Mandatory Label: Mandatory Label\Medium Mandatory Level Creator Process ID: 0x32c Creator Process Name: C:\Windows\System32\svchost.exe Process Command Line: 3 --
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 11/16/2016 6:41:00 PM Event ID: 4688 Task Category: Process Creation Level: Information Keywords: Audit Success User: N/A Computer: <hostname> Description: A new process has been created. Creator Subject: Security ID: <hostname>\<username> Account Name: <username> Account Domain: <hostname> Logon ID: 0x8E4E4 Target Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Process Information: New Process ID: 0x388 New Process Name: C:\Program Files (x86)\Mozilla Firefox\firefox.exe Token Elevation Type: %%1938 Mandatory Label: Mandatory Label\Medium Mandatory Level Creator Process ID: 0x1b58 Creator Process Name: C:\Windows\explorer.exe Process Command Line:
Wenn Sie einen Virus erhalten, starten Sie den Computer. Formatieren, wiederherstellen aus ...
Dave vor 8 Jahren
0
@Dave Keine Sicherung. Ich würde nicht neu installieren, wenn noch Hoffnung besteht. Eigentlich ist das nicht sehr dringend, also möchte ich irgendwie herausfinden, wie ich mit diesen Dingen umgehen sollte, falls ich in der Zukunft eine ähnliche Situation bekomme.
bfrguci vor 8 Jahren
0
@Dave Danke für deinen Kommentar.
bfrguci vor 8 Jahren
0
Für mehr Klarheit. Sie können einen Virus loswerden. Das bedeutet, dass die ausführbare Datei entfernt wird. Was Sie wahrscheinlich nicht wissen, ist, was es sonst noch getan hat. Angenommen, ein Virus ist dafür bekannt, dass der Browser über eine Standardsuchmaschine verfügt. Jedes Mal, wenn Sie den Browser laden, erhalten Sie die falsche Engine und setzen diese auf den Standard zurück. Bis Sie das Exe entfernen. Dann ist es behoben? Was Sie nicht wissen, ist, dass auch Dateien im System geändert wurden. Es hat auch ein weiteres Exe installiert, das nicht für 2 Monate ausgelegt ist und etwas völlig anderes macht, aber immer noch böse ist. Sie haben keine Ahnung, was der Virus getan hat.
Dave vor 8 Jahren
0
Also, nuke die Maschine :-)
Dave vor 8 Jahren
0
3 Antworten auf die Frage
1
Ronan Thibaudau
Du bist großartig. Ja, es war eine geplante Aufgabe. Ich habe gerade alle Aufgaben nach "Last Run Time" sortiert und jeden Tag um 18:41 Uhr eine gefunden und genau denselben Befehl ausgeführt. Es nannte sich "Adobe Up", also habe ich es ignoriert, als ich geplante Aufgaben bereinigte. Danke vielmals.
bfrguci vor 8 Jahren
0
Betrachten Sie es als Lösung. ;)
Seth vor 8 Jahren
0
@Seth Ich werde es bestätigen, wenn ich morgen doppelt bestätigt habe, dass es nicht passiert.
bfrguci vor 8 Jahren
1
Freut mich zu hören, dass Sie die Ursache bestimmt haben! Wie ich bereits sagte, werden Sie das nächste Mal, wenn Sie auf etwas Ähnliches stoßen, feststellen, dass das Durchführen einer Bereinigung "sowohl manuell als auch mit Windows Defender" * wahrscheinlich nicht ausreicht. Sie müssen wirklich Hilfsprogramme in Betracht ziehen, die dazu dienen, Probleme wie RKill und Malwarebytes zu lindern.
Run5k vor 8 Jahren
0
@ Run5k Ich werde versuchen, vorsichtiger zu sein. Ich war eigentlich vor ein paar Jahren. Ich habe Windows in diesen Jahren nur selten benutzt und vergessen, dass die Welt immer noch böse ist.
bfrguci vor 7 Jahren
0
@Seth Bestätigt heute nicht mehr. Als Lösung genommen.
bfrguci vor 7 Jahren
1
0
Run5k
Haben Sie zunächst einmal versucht, einen Threat Scan mit Malwarebytes zu installieren und auszuführen ? Heutzutage ist das wirklich eine "Fehlerbehebung 101" -Verfahren von Viren / Malware geworden.
Darüber hinaus bin ich ehrlich gesagt immer sehr akribisch, wenn es um meine Windows-Builds geht. Wenn ich eines hatte, das auf diese Weise infiziert war, würde ich sicherstellen, dass ich eine Sicherungskopie meiner relevanten Dateien und Ordner hatte, und dann ein vollständiges Löschen und Neuladen des Betriebssystems durchführen. Dienstprogramme wie Process Monitor, RKill (die ich normalerweise zuerst durchführe) und Malwarebytes sind fantastisch, aber es ist schwierig, nach einer Infektion wirklich Ruhe zu haben, ohne das Betriebssystem erneut laden zu müssen.
Dies sollte ein Kommentar sein, da dies alles relevante und gute Tipps sind, aber die gestellte Frage nicht beantworten.
Ronan Thibaudau vor 8 Jahren
0
@RonanThibaudau, ich freue mich über Ihr Feedback und erheben einen guten Punkt. Es war einfach ein Gerichtsurteil von meiner Seite. Da der Autor betonte, dass er "zu 100% sicher war, dass es sich um einen Virus handelt" * und das Problem symptomatisch für diese Infektion war, konnte davon ausgegangen werden, dass die führende Malware-Erkennungssoftware die Ursache des Problems möglicherweise aufspüren kann .
Run5k vor 8 Jahren
0
0
randomuser
Die Lösung gefunden, um zu verhindern, dass es anderswo passiert:
Gehen Sie zu Ihrem Taskplaner und deaktivieren / löschen Sie den PPI-Updater. Das sollte es aufhalten.
Verwandte Probleme
-
12
Warum wird der Ordner / winsxs so groß und kann er verkleinert werden?
-
2
Erhöhte Berechtigungen für Startanwendungen in Windows?
-
14
PDF Viewer unter Windows
-
7
Welche Windows-Dienste kann ich sicher deaktivieren?
-
8
Firefox PDF-Plugin zum Anzeigen von PDF-Dateien im Browser unter Windows
-
1
Windows verliert das Bildschirmlayout
-
1
Gibt es eine Möglichkeit, Installationen / Updates zu verhindern, die meine Festplatte mit kryptisch...
-
1
Wie kann ich von Ubuntu aus über das Netzwerk auf Windows Vista-Drucker zugreifen?
-
6
Log Viewer unter Windows
-
3
Windows-Hintergrundproblem mit zwei Bildschirmen