создаётся файл btrwq.exe и ещё какой-то файл в папке appdata-local-temp,после удаления появляется снова,на VT 32 декта,доктор веб не помечает его как вирус,прошу помочь удалить эту дрянь
так же обнаружился вирус powershell.exe удаление не сработало
файлы : https://cloud.mail.ru/public/KcZs/nHbUKotH9
отчёты : https://cloud.mail.ru/home/logi
подозрительные файлы
#1
Отправлено 10 Декабрь 2023 - 23:22
#2
Отправлено 10 Декабрь 2023 - 23:22
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
#3
Отправлено 10 Декабрь 2023 - 23:55
Подозрительные файлы - в вирлаб. https://vms.drweb.ru/sendvirus/
Сообщение было изменено Dmitry_rus: 10 Декабрь 2023 - 23:55
#4
Отправлено 11 Декабрь 2023 - 08:18
Если что...залил - drweb.com #11071602
#5
Отправлено 11 Декабрь 2023 - 13:59
Угроза: Trojan.StarterNET.22 - Скоро будет в базе
#6
Отправлено 12 Декабрь 2023 - 12:03
Файлик удалился,но появился заново
https://cloud.mail.ru/public/eLG1/qAQfEUJ7D
#7
Отправлено 12 Декабрь 2023 - 12:18
Файлик удалился,но появился заново
Проверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.
#8
Отправлено 12 Декабрь 2023 - 20:28
Файлик удалился,но появился зановоПроверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.
Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097
#9
Отправлено 12 Декабрь 2023 - 20:54
Файлик удалился,но появился зановоПроверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.
Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097
Отправьте vms.drweb.ru и укажите номер тикет ...
Global Malware Hunting.
#10
Отправлено 12 Декабрь 2023 - 22:13
[drweb.com #11073405] Trojan.MulDrop24.33176
Файлик удалился,но появился зановоПроверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.
Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097
Отправьте vms.drweb.ru и укажите номер тикет ...
#11
Отправлено 12 Декабрь 2023 - 22:24
[drweb.com #11073405] Trojan.MulDrop24.33176
Файлик удалился,но появился зановоПроверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.
Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097
Отправьте vms.drweb.ru и укажите номер тикет ...
Отлично , Должно прийти детект, через 2-3 часа , то выполните новую свежую Dr.Web Sysinfo . Может быть еще симптомы остались где то в системе..
Что пишет система Вирлаб?
Сообщение было изменено Alexander007: 12 Декабрь 2023 - 22:24
Global Malware Hunting.
#12
Отправлено 13 Декабрь 2023 - 07:40
[drweb.com #11073405] Trojan.MulDrop24.33176
И новые логи Farbar Recovery Scan Tool, пожалуйста.
#13
Отправлено 13 Декабрь 2023 - 20:09
[drweb.com #11073405] Trojan.MulDrop24.33176И новые логи Farbar Recovery Scan Tool, пожалуйста.
https://cloud.mail.ru/public/2HMn/VHEBCVbWr
#14
Отправлено 13 Декабрь 2023 - 20:10
[drweb.com #11073405] Trojan.MulDrop24.33176
Файлик удалился,но появился зановоПроверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.
Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097
Отправьте vms.drweb.ru и укажите номер тикет ...
Отлично , Должно прийти детект, через 2-3 часа , то выполните новую свежую Dr.Web Sysinfo . Может быть еще симптомы остались где то в системе..
Что пишет система Вирлаб?
Эти файлы появляются заново к сожалению,так же появляется заново powershell exe (его по много раз заново блокирует антивирус)
https://cloud.mail.ru/public/2HMn/VHEBCVbWr
Угроза: Trojan.MulDrop24.33176
Original file name: cachesync.exe
File size: 24215552
File time: 2023-12-12 20:30:31
File mime type: application/x-ms-dos-executable
MD5: 35b2542756073159682457ab18e0e919
SHA1: 5cda66cd0fd79f808267e31a0da2d38ae6e89099
Сообщение было изменено Markst: 13 Декабрь 2023 - 20:13
#15
Отправлено 13 Декабрь 2023 - 20:31
Тогда Dr.Web антивирус реагирует это хорошо , а появляется в новь , возможно вирус прописан powershell .. Собрали логи , подождите Vvvyg или аналитик найдет , некоторые драйверы могут быть легитимные и не заметно для антивируса , т.е вирус специально создан для обхода. Пожалуйста ожидайте ответа и терпение...
Сообщение было изменено Alexander007: 13 Декабрь 2023 - 20:31
Global Malware Hunting.
#16
Отправлено 13 Декабрь 2023 - 21:08
Подозрительная задача "CommView for WiFi Update", не похожая на часть игры:
D:\privet sosed\sss\Updater.exe
Имеет смысл выключить задачу, отправить файл на анализ. После перезагрузки ПК посмотреть за наличием симптомов.
Сообщение было изменено Dolmatov: 13 Декабрь 2023 - 21:08
#17
Отправлено 13 Декабрь 2023 - 22:03
Подозрительная задача "CommView for WiFi Update", не похожая на часть игры:
D:\privet sosed\sss\Updater.exeИмеет смысл выключить задачу, отправить файл на анализ. После перезагрузки ПК посмотреть за наличием симптомов.
я к сожалению ту папку удалил давно,в теории то не должен быть вирус,это программы для пентеста wifi,ну может я чего-то не знаю
#18
Отправлено 13 Декабрь 2023 - 22:07
Так-с,файл btwrq.exe исчез и powershell больше не дедектит,вирусы умерли?
Сообщение было изменено Markst: 13 Декабрь 2023 - 22:08
#19
Отправлено 13 Декабрь 2023 - 22:09
возможно вирус прописан powershell
В журнале powershell видно, что он запускается и прописывает в исключения защитника корень C:, профиль пользователя и ProgramFiles:
HostApplication=powershell set-mppreference -exclusionpath C:\ HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force
Вот кто его запускает - это очень интересно.
Подозрительная задача "CommView for WiFi Update"
Отсутствует файл Updater.exe, не должна быть опасной.
#20
Отправлено 13 Декабрь 2023 - 22:14
Так-с,файл btwrq.exe исчез и powershell больше не дедектит,вирусы умерли?
FRST запускали после лечения? В логах cachesync.exe был.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых