можно, полностью журнал обнаружения угроз добавить?
+
вопрос:
C:\USERS\DARKFIRE\APPDATA\ROAMING\OPENSSL\TORBROWSER\DATA\TOR.EXE
torbrowser сами ставили?
+
еще один лог сделайте:
ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/

[QUOTE]Dark Fire написал:
 santy , а в какой момент вам написать нужно?[/QUOTE]
если заражение повторится в ближайшее время, можно написать на форум и в почту, в ближайшие несколько дней у меня будет больше времени, и RP55 так же мониторит эти темы

еще нужен новый лог журнала обнаружения угроз, ведь теперь антивирус отреагировал на создание файлов

если смотреть по другой теме, где было включено отслеживание

[QUOTE]Полное имя C:\USERS\ВАДИК\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE
Имя файла                   HASHCALC.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске Фильтр
                           
Удовлетворяет критериям    
HIDDEN AND NOT SIGN FILES   (АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]
HASHCALK                    (ССЫЛКА ~ \TASKS\ZHASHCALCULATOR)(1)   OR   ( ~ ZHASHCALCULATOR)(1) [filtered (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     60A8078240000
Linker                      48.0
Размер                      244224 байт
Создан                      23.05.2021 в 22:18:49
Изменен                     23.05.2021 в 22:18:49
Атрибуты                    СКРЫТЫЙ  
                           
TimeStamp                   21.05.2021 в 19:18:26
EntryPoint                  -
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Calculator.exe
Версия файла                1.2.0.36
Версия продукта             1.2.0.36
Описание                    Calculator.NET
Продукт                     Calculator.NET
Copyright                   Copyright © 2015 Paul Welter
Производитель               LoreSoft
Комментарий                 Calculator that can parse math expression.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
[B]pid = 12800 DESKTOP-O2C99K0\Вадик
Процесс создан              23:54:01 [2021.05.23]
Процесс завершен            23:54:01 [2021.05.23]
parentid = 1496             C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1                        91ED18FFA32D7576427A370D18F752960F93A877
MD5                         BAF6C03D6F8127F20C4A5680BDA6A4B7[/B]
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZHASHCALCULATOR
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\Actions
Actions                     "C:\Users\Вадик\AppData\Roaming\Microsoft\HashCalc\MD5\HashCalc­.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\
                           
[/QUOTE]

здесь видим, что процесс запускается через планировщик задач
parentid = 1496             C:\WINDOWS\SYSTEM32\SVCHOST.EXE

но это и так ясно, не ясно, каким образом создается данная задача

да, теперь отслеживание включено
[QUOTE]Отслеживание задач: 1
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1[/QUOTE]
пусть система в таком режиме поработает некоторое время,

+
этот скрипт судя по последнему образу вы не выполнили, т.е не включили мониторинг процессов
(!) Подробная информация о завершенных процессах недоступна, включите отслеживания процессов твиком #39 и перезагрузите систему

если не сложно, выполните этот скрипт,

[QUOTE];uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart[/QUOTE]

и после перезагрузки нужен новый образ с включенным мониторингом процессов

здесь косяк с моей стороны, потому что regt 40 следом отключил мониторинг :((

важно отмониторить кем эта задача создается

[QUOTE]Полное имя C:\USERS\DARKFIRE\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE
Имя файла                   HASHCALC.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске Фильтр
                           
Удовлетворяет критериям    
HASHCALK                    (ССЫЛКА ~ \TASKS\ZHASHCALCULATOR)(1) [filtered (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZHASHCALCULATOR
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C191EF47-E312-4874-8F70-C7A0D18BD395}\Actions
Actions                     "C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\HashC­alc.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C191EF47-E312-4874-8F70-C7A0D18BD395}\[/QUOTE]

[QUOTE]Dark Fire написал:
 santy ,я вчера вроде оключил эту службу, отправил на почту архив с папкой.[/QUOTE]

да, активность есть только в этом образе от 2021.05.23 16:55

да, и я просит вас сделать копию всей папки с origin
C:\PROGRAM FILES (X86)\ORIGIN
все файлы добавить в один архив с паролем infected, если файл будет небольшой можно так же в почту выслать

файлы получил, спасибо! судя по дате создания все свежие, от сегодня. по работе origin так понимаю что служба приостановлена сейчас.

[QUOTE]Полное имя C:\PROGRAM FILES (X86)\ORIGIN\ORIGINWEBHELPERSERVICE.EXE
Имя файла                   ORIGINWEBHELPERSERVICE.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
                           
Удовлетворяет критериям    
SIGN.NOT.IN WHITE LIST      (ССЫЛКА ~ \IMAGEPATH)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА)(1)   AND   (ЦИФР. ПОДПИСЬ !~ WDSL)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ сервис в автозапуске
File_Id                     6099126D361000
Linker                      14.0
Размер                      3487320 байт
Создан                      20.05.2021 в 07:40:50
Изменен                     10.05.2021 в 04:09:26
                           
TimeStamp                   10.05.2021 в 11:01:01
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            ORIGINWEBHELPERSERVICE.EXE
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано "Electronic Arts, Inc."
                           
Оригинальное имя            OriginWebHelperService.exe
Версия файла                10,5,99,47918
Описание                    OriginWebHelperService
Производитель               Electronic Arts
                           
Доп. информация             на момент обновления списка
SHA1                        BE169AAA99B26DAFA7F8AAFC1B5D766FD10ED374
MD5                         B8B6DB822D28AAA41DE4AE226A4A1236
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\Origin Web Helper Service\ImagePath
ImagePath                   "C:\Program Files (x86)\Origin\OriginWebHelperService.exe"
DisplayName                 Origin Web Helper Service
Origin Web Helper Service   тип запуска: Вручную (3)
Изменен                     23.05.2021 в 21:01:35[/QUOTE]
                           
пусть пару дней будет в таком случае, понаблюдайте, будет ли новое заражение HashCalc.vexe
потом можно рискнуть, и включить эту службу и проверить результат.
папку с HashCalc.exe можно удалить. Если будет новое заражение она будет пересоздана.

хэши файлов вчерашние и свежие по HashCalc одинаковы.