20 ответов в этой теме

[Bytekhno]

Доброго времени суток граждане, нужна ваша помощь, начал тротлить ноут и начали расти температуры на Cpu и Gpu. Скачать Dr Web Curreit для домашнего пользования, отсканировал все файлы и обнаружились такие угрозы :
• Trojan.Loader.1907
• NET:MALWARE.URL
Как быть? С чего начать лечение? Я в этой теме совсем чайник..

[Dr.Robot]

<p>1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];</p>

[Bytekhno]

Логи с Curreit и данные с DrWeb SysInfo https://dropmefiles.com/nNCjt

Прикрепленные файлы:

•  cureit0.log   18,72Мб   1 Скачано раз
•  cureit.log   10,03Мб   2 Скачано раз

[Dmitry Shutov]

C:\Windows\SysWOW64\mobsync.dll - infected with Trojan.Loader.1907

 

Есть возможно проверить это файл на VT и показать результат тут? https://www.virustotal.com/gui/home/upload

 

Возможно и ложное срабатывание 

 

 

<file path="C:\Windows\SysWOW64\mobsync.dll" size="188944" easize="160" links="1" device_type="7" device_characteristics="131104" ctime="06.06.2024 23:07:05.0865" atime="17.06.2024 03:45:30.0541" wtime="06.06.2024 23:07:05.0866" buildtime="06.06.2024 22:01:04.0000">

<attrib archive="true" value="20" security="O:BAG:S-1-5-21-4020490430-4077828518-748820646-1001D:P(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;CIIO;GA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1301bf;;;SY)(A;OICIIO;GA;;;SY)(A;;0x1301bf;;;BA)(A;OICIIO;GA;;;BA)(A;;0x1200a9;;;BU)(A;OICIIO;GXGR;;;BU)(A;OICIIO;GA;;;CO)(A;;0x1200a9;;;AC)(A;OICIIO;GXGR;;;AC)(A;;0x1200a9;;;S-1-15-2-2)(A;OICIIO;GXGR;;;S-1-15-2-2)" />

<hash sha1="9acba0cebb0d3ef1c03c5933f80ff6f28c018491" sha256="02836bda3161d38804212524cdaac4461b29ee2a611f1e5354a4427e7fcbe356" pesha256="85c25e299d2e85df6cad13bf517dce4bdd281eef4c258fa6ff3244be5fa0ffc1" pesha1="48a3e1e6e72fae00a3b35e2653127b4507688ffa" />

<arkstatus file="unsigned, pe32, dll" cert="unsigned" cloud="unknown" type="unknown" soft_type="unknown" />

<verinfo company="Microsoft Corporation" descr="Microsoft Sync Manager" origname="mobsync.dll" version="10.0.19041.1 (WinBuild.160101.0800)" product_name="Microsoft® Windows® Operating System" product_version="10.0.19041.1" file_version_num="10.0.19041.1" product_version_num="10.0.19041.1" />

[Dmitry Shutov]

А хотя наверное все по дело, вот была похожая проблема. 

 

https://forum.drweb.com/index.php?showtopic=337312&p=909366

 

Ждите Хелперов и аналитиков, помогут.

[Alexander007]

Dmitry Shutov

Дмитрий , мне кажется это какой-то не подписанный файл , а вообще лучше проверить их по надежнее VT и можно узнать по способу через FRST.exe , хотя в списке VT ничего нет.

Для заливать их на VT можно быстрый способом -для уточнение информации о этих детектов , может быть их много ( вендор АВ может быть обнаружена несколько детектов) -конкретнее имя не называется (скрытно, но VT должно знать именно для Вас): 

 

Bytekhno

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

 

Затем выполните скрипт :

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

Start::
CloseProcesses:
VirusTotal: C:\Windows\SysWOW64\mobsync.dll 
Reboot:
End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
• Файл будет передан на VirusTotal для уточнение идентификатора , т.е - возможно узнать причину этого детекта ( не только по ветке и вся общий по IP активности атаки).

Компьютер будет перезагружен автоматически.

Сообщение было изменено VVS: 17 Июнь 2024 - 16:41

[Bytekhno]

Dmitry Shutov

Дмитрий , мне кажется это какой-то не подписанный файл , а вообще лучше проверить их по надежнее VT и можно узнать по способу через FRST.exe , хотя в списке VT ничего нет.

Для заливать их на VT можно быстрый способом -для уточнение информации о этих детектов , может быть их много ( вендор АВ может быть обнаружена несколько детектов) -конкретнее имя не называется (скрытно, но VT должно знать именно для Вас): 

 

Bytekhno

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

 

Затем выполните скрипт :

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

Start::
CloseProcesses:
VirusTotal: C:\Windows\SysWOW64\mobsync.dll 
Reboot:
End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
• Файл будет передан на VirusTotal для уточнение идентификатора , т.е - возможно узнать причину этого детекта ( не только по ветке и вся общий по IP активности атаки).

Компьютер будет перезагружен автоматически.

Надеюсь я сделал всё правильно)

Прикрепленные файлы:

•  Fixlog.txt   757байт   5 Скачано раз

[Bytekhno]

Прошли +- сутки, запускаю Curreit  и он не обнаруживает угрозы. При этом не открывается Micrisoft Defender.
Боюсь что из - за того что сегодня угроза не обнаружена, то и логи от FRST не корректные получились, как мне быть дальше?

Прикрепленные файлы:

•  изображение_2024-06-18_024747983.png   249,62К   0 Скачано раз

[Vvvyg]

VirusTotal: C:\Windows\SysWOW64\mobsync.dll

Команда Virustotal: больше не поддерживается  Farbar Recovery Scan Tool, вместо неё - Virusscan:, проверяет на Jotti.

 

логи от FRST не корректные получились, как мне быть дальше?

 

Сделайте именно логи. Нажмите кнопку Сканировать.

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.

Прикрепите эти файлы к своему следующему сообщению.

[Bytekhno]

 

VirusTotal: C:\Windows\SysWOW64\mobsync.dll

Команда Virustotal: больше не поддерживается  Farbar Recovery Scan Tool, вместо неё - Virusscan:, проверяет на Jotti.

 

 

 

логи от FRST не корректные получились, как мне быть дальше?

 

Сделайте именно логи. Нажмите кнопку Сканировать.

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.

Прикрепите эти файлы к своему следующему сообщению.

 

Прикрепленные файлы:

•  Addition.txt   66,48К   1 Скачано раз
•  FRST.txt   49,02К   1 Скачано раз

[Bytekhno]

 

VirusTotal: C:\Windows\SysWOW64\mobsync.dll

Команда Virustotal: больше не поддерживается  Farbar Recovery Scan Tool, вместо неё - Virusscan:, проверяет на Jotti.

 

 

 

логи от FRST не корректные получились, как мне быть дальше?

 

Сделайте именно логи. Нажмите кнопку Сканировать.

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.

Прикрепите эти файлы к своему следующему сообщению.

 

А кнопку исправить не нужно было нажимать после?

[Vvvyg]

.

А кнопку исправить не нужно было нажимать после?

Рано, сейчас нужно будет.

 

Выделите и скопируйте в буфер обмена следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKU\S-1-5-21-4020490430-4077828518-748820646-1001\...\Run: [GameCenter] => "C:\Users\Bytek\AppData\Local\GameCenter\GameCenter.exe" -autostart (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {48B2B72F-1FA3-4376-9B47-79A2CE1F641D} - System32\Tasks\shame-shelf => C:\ProgramData\rouse-reader\bin.exe  /H (Нет файла)
Task: {3D76BFEC-3C90-47AE-81E9-105EBE2ABEF6} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [147296 2024-04-30] (Proxy Group Ltd -> WProxy)
C:\Program Files\WProxy
Task: C:\Windows\Tasks\nTQcuyIeryQOrFVLU.job => C:\Windows\Temp\FBuiDLvTEKMOHkxr\BfTegMYYHrFHkMM\aomlBEh.exe <==== ВНИМАНИЕ
Task: {15A12982-670D-4715-9A12-F8AC447A162B} - System32\Tasks\downie-unofficial-S-1-5-21-4020490430-4077828518-748820646-1001 => C:\Windows\System32\msiexec.exe [69632 2023-11-17] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Bytek\AppData\Local\Programs\469fab\e2eb8e27bb.msi" /quiet OFDZULYA=1
C:\Users\Bytek\AppData\Local\Programs\469fab
CHR HKU\S-1-5-21-4020490430-4077828518-748820646-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
2024-06-06 23:07 - 2024-06-06 23:07 - 001128337 _____ C:\Windows\SysWOW64\dev425.dat
Folder: C:\ProgramData\ArtisanDesigner-90d5e5fe-ae61-418d-8fbc-e4d2091a5969
2024-05-24 18:06 - 2024-05-24 18:06 - 000000000 __SHD C:\ProgramData\ArtisanDesigner-90d5e5fe-ae61-418d-8fbc-e4d2091a5969
2024-05-24 18:05 - 2024-05-24 18:05 - 001179275 _____ C:\Windows\SysWOW64\gate782.dat
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\Setup
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\Program Files (x86)\360
FirewallRules: [{E73A1201-0A65-44FF-B935-00744EA14EEC}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (Proxy Group Ltd -> WProxy)
FirewallRules: [{22E93FBE-0DB7-4DEC-B25E-D9BB1BF236D6}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (Proxy Group Ltd -> WProxy)
FirewallRules: [{E9291FEB-F3E8-47AC-A937-5A0CCEC8DC5A}] => (Allow) 㩃啜敳獲䉜瑹步䅜灰慄慴剜慯業杮瑜捯桜㉓㕹攮數 => Нет файла
FirewallRules: [{BA6EAE22-3E82-419D-930E-EFB4B052326C}] => (Allow) 㩃啜敳獲䉜瑹步䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{A7BE3B0C-4041-47E0-B7D2-85280406CA17}] => (Allow) 㩃啜敳獲䉜瑹步䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{C7621F15-93DC-40C9-A8FD-A40FB69E3A66}] => (Allow) 㩃啜敳獲䉜瑹步䅜灰慄慴剜慯業杮瑜捯䉜呓⹢硥e => Нет файла
Reboot:
End::

Запустите FRST64.EXE, нажмите один раз Исправить и подождите.

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен.

[Bytekhno]

 

.

 

А кнопку исправить не нужно было нажимать после?

Рано, сейчас нужно будет.

 

Выделите и скопируйте в буфер обмена следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKU\S-1-5-21-4020490430-4077828518-748820646-1001\...\Run: [GameCenter] => "C:\Users\Bytek\AppData\Local\GameCenter\GameCenter.exe" -autostart (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {48B2B72F-1FA3-4376-9B47-79A2CE1F641D} - System32\Tasks\shame-shelf => C:\ProgramData\rouse-reader\bin.exe  /H (Нет файла)
Task: {3D76BFEC-3C90-47AE-81E9-105EBE2ABEF6} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [147296 2024-04-30] (Proxy Group Ltd -> WProxy)
C:\Program Files\WProxy
Task: C:\Windows\Tasks\nTQcuyIeryQOrFVLU.job => C:\Windows\Temp\FBuiDLvTEKMOHkxr\BfTegMYYHrFHkMM\aomlBEh.exe <==== ВНИМАНИЕ
Task: {15A12982-670D-4715-9A12-F8AC447A162B} - System32\Tasks\downie-unofficial-S-1-5-21-4020490430-4077828518-748820646-1001 => C:\Windows\System32\msiexec.exe [69632 2023-11-17] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Bytek\AppData\Local\Programs\469fab\e2eb8e27bb.msi" /quiet OFDZULYA=1
C:\Users\Bytek\AppData\Local\Programs\469fab
CHR HKU\S-1-5-21-4020490430-4077828518-748820646-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
2024-06-06 23:07 - 2024-06-06 23:07 - 001128337 _____ C:\Windows\SysWOW64\dev425.dat
Folder: C:\ProgramData\ArtisanDesigner-90d5e5fe-ae61-418d-8fbc-e4d2091a5969
2024-05-24 18:06 - 2024-05-24 18:06 - 000000000 __SHD C:\ProgramData\ArtisanDesigner-90d5e5fe-ae61-418d-8fbc-e4d2091a5969
2024-05-24 18:05 - 2024-05-24 18:05 - 001179275 _____ C:\Windows\SysWOW64\gate782.dat
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\Setup
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-05-23 23:26 - 2024-05-23 23:26 - 000000000 _RSHD C:\Program Files (x86)\360
FirewallRules: [{E73A1201-0A65-44FF-B935-00744EA14EEC}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (Proxy Group Ltd -> WProxy)
FirewallRules: [{22E93FBE-0DB7-4DEC-B25E-D9BB1BF236D6}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (Proxy Group Ltd -> WProxy)
FirewallRules: [{E9291FEB-F3E8-47AC-A937-5A0CCEC8DC5A}] => (Allow) 㩃啜敳獲䉜瑹步䅜灰慄慴剜慯業杮瑜捯桜㉓㕹攮數 => Нет файла
FirewallRules: [{BA6EAE22-3E82-419D-930E-EFB4B052326C}] => (Allow) 㩃啜敳獲䉜瑹步䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{A7BE3B0C-4041-47E0-B7D2-85280406CA17}] => (Allow) 㩃啜敳獲䉜瑹步䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{C7621F15-93DC-40C9-A8FD-A40FB69E3A66}] => (Allow) 㩃啜敳獲䉜瑹步䅜灰慄慴剜慯業杮瑜捯䉜呓⹢硥e => Нет файла
Reboot:
End::

Запустите FRST64.EXE, нажмите один раз Исправить и подождите.

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен.

 

Прикрепленные файлы:

•  Fixlog.txt   24,75К   3 Скачано раз

[Alexander007]

Запакуйте C:\FRST\Quarantine с паролем infected , прислать мне в ЛС .

[Vvvyg]

Fixlog.txt

Не нужно полностью цитировать сообщения, просто пишите в окне "Ответить". Оверквотинг ухудшает читаемость темы.

 

Trojan.Loader.1907 был удалён CureIt, сопутствующие файлы, в. т. ч. майнер, зачистили в FRST.

 

Запакуйте C:\FRST\Quarantine с паролем infected

И нужно загрузить этот архив через форму https://vms.drweb.com/sendvirus/ - но там пароль должен быть virus. Там майнер, проигнорированный CureIt.

[Bytekhno]

 

Fixlog.txt

Не нужно полностью цитировать сообщения, просто пишите в окне "Ответить". Оверквотинг ухудшает читаемость темы.

 

Trojan.Loader.1907 был удалён CureIt, сопутствующие файлы, в. т. ч. майнер, зачистили в FRST.

 

 

 

Запакуйте C:\FRST\Quarantine с паролем infected

И нужно загрузить этот архив через форму https://vms.drweb.com/sendvirus/ - но там пароль должен быть virus. Там майнер, проигнорированный CureIt.

 

Т.е. проблема решена? Извиняюсь за неудобства, я в таких делах не опытный)

[Vvvyg]

При этом не открывается Micrisoft Defender.

С этим сейчас как? Если не открывается по прежнему, загрузите систему в безопасном режиме и выполните в FRST следующее исправление:

Start::
Unlock: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
Reboot:
End::

Новый Fixlog.txt приложите.

Сообщение было изменено Vvvyg: 18 Июнь 2024 - 12:16

[Bytekhno]

 

При этом не открывается Micrisoft Defender.

С этим сейчас как? Если не открывается по прежнему, загрузите систему в безопасном режиме и выполните в FRST следующее исправление:

Start::
Unlock: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
Reboot:
End::

Новый Fixlog.txt приложите.

 

Сейчас всё открывается и стандартная защита в работе получается.

[Alexander007]

Vvvyg , Прошу прощение , отправил в ЛС тебе лично . У меня свет вырубился , пишу с телефона . Ссылку отправил . Прошу решить им проблему с вирусной лаборатории ( естественно отправить вирлаб ) - свет у меня отключился на 2 суток .

Сообщение было изменено Alexander007: 18 Июнь 2024 - 12:39

[Vvvyg]

Т.е. проблема решена?

Да.

 

e2eb8e27bb.msi - JS/Agent.RLP (ESET-NOD32): https://www.virustotal.com/gui/file/6a879eb21df5581fa3802e7a63af112f0fba25e6926d2456883799826c0d8206?nocache=1

ArtisanDesigner.exe - Trojan.BtcMine.3783 (DrWeb): https://www.virustotal.com/gui/file/6cd522b0edba8d6a828e78f6738d56b3191e4fb7e9bd5f575a4cee8302723af2?nocache=1

 

Переименуйте FRST64.exe в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.

Компьютер перезагрузится.