12 Antworten zu diesem Thema

[PsyWRD]

Доброго времени суток. Началось всё с шума видяхи в простое, когда открывал диспетчер температура и нагрузка на ГП падала резко. Запустил я значит dr web и обнаружил там net.malware.url прямо в svchost.exe.
Что известно:
1) svchost.exe оригинальный (не левое приложение, которое маскируется под svchost)
2) расположение - \NET\12116\TCP\5.188.137.200-443\Device\HarddiskVolume3\Windows\System32\svchost.exe
3) Если открыть айпишник указанный в пути, откроется сайт по майнингу

Пробовал через брандмауэр в правилах заблокировать для svchost все исходящие подключения по tcp и udp, чтобы хотя бы спокойно лечить всё это дело, но это не сработало.

[VVS]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[PsyWRD]

Лог dr.web CureIt в наличии
Лог sysinfo смогу сделать позже

[PsyWRD]

https://disk.yandex.ru/d/x09iMJ8BnrG0oA- лог curelt

[Alexander007]

Добрый день! Это обычный лог , нужно полный отчет Dr.Web Sysinfo , скачать ее , поменять на случайное имени . Запустите сбор , прикрепить ее через Яндекс рекомендую .
+Дополнительный , запустите Farbar Recovery Tools , для дальнейшего изучения и прикрепить . А там будем смотреть , что попало .

Bearbeitet von Alexander007, 01 Dezember 2023 - 08:57,

[PsyWRD]

Лог sysinfo https://disk.yandex.ru/d/__GIorCbptXqsg

[Vvvyg]

C:\program files\google\chrome\updater.exe - майнер.

https://www.virustotal.com/gui/file/6a10b92fb185db5f7b383722e3a08cc2f2f869af14268c384d71dd1be5f3d298

Он же: C:\Users\2\AppData\Local\Temp\aboba.exe

Bearbeitet von Vvvyg, 01 Dezember 2023 - 11:10,

[Alexander007]

Интересный мальварь , отправьте 2 файлы пожалуйста , вирусную лабораторию vms.drweb.ru , укажите номер тикета .

[PsyWRD]

Интересный мальварь , отправьте 2 файлы пожалуйста , вирусную лабораторию vms.drweb.ru , укажите номер тикета .

Файлы я отправлю, а дальше что с ними делать?

[Alexander007]

Интересный мальварь , отправьте 2 файлы пожалуйста , вирусную лабораторию vms.drweb.ru , укажите номер тикета .

Файлы я отправлю, а дальше что с ними делать?

После отправки , вы получите ответ , что вирусная лаборатория подтвердит вирус , при указании номер тикета , после тщательной анализа , выпустит новую базу , а вирус будет удалена из системы . Вирусная база будет обновлена .

Bearbeitet von Alexander007, 01 Dezember 2023 - 11:40,

[Alexander007]

Забыл добавить : После обновление баз , выпустит свежую Dr.Web CureIT , через 1-2 часа . Вы сможете скачать Курейт и удалить вирус и сообщите , проблема ли ушла ? .

Bearbeitet von Alexander007, 01 Dezember 2023 - 12:17,

[vladimir_murm]

Интересный мальварь

 

Интересного мало, когда 35 вендоров его уже видят, в том числе главный конкурент, а Доктор в  догоняющих. 

Оперативнее было бы, новое облако уже использовать. Постоянно продукт оправдывать ("у нас всё хорошо"), нет смысла.   На лицо факты.  

Bearbeitet von vladimir_murm, 01 Dezember 2023 - 16:57,

[maxic]

vladimir_murm, не надо оффтопить. Для выражения мнения создайте отдельную тему.