Майнер в svchost.exe
#1
Geschrieben: 01 Dezember 2023 - 06:53
Что известно:
1) svchost.exe оригинальный (не левое приложение, которое маскируется под svchost)
2) расположение - \NET\12116\TCP\5.188.137.200-443\Device\HarddiskVolume3\Windows\System32\svchost.exe
3) Если открыть айпишник указанный в пути, откроется сайт по майнингу
Пробовал через брандмауэр в правилах заблокировать для svchost все исходящие подключения по tcp и udp, чтобы хотя бы спокойно лечить всё это дело, но это не сработало.
#2
Geschrieben: 01 Dezember 2023 - 07:34
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#3
Geschrieben: 01 Dezember 2023 - 07:52
Лог sysinfo смогу сделать позже
#5
Geschrieben: 01 Dezember 2023 - 08:55
+Дополнительный , запустите Farbar Recovery Tools , для дальнейшего изучения и прикрепить . А там будем смотреть , что попало .
Bearbeitet von Alexander007, 01 Dezember 2023 - 08:57,
Global Malware Hunting.
#7
Geschrieben: 01 Dezember 2023 - 11:06
C:\program files\google\chrome\updater.exe - майнер.
https://www.virustotal.com/gui/file/6a10b92fb185db5f7b383722e3a08cc2f2f869af14268c384d71dd1be5f3d298
Он же: C:\Users\2\AppData\Local\Temp\aboba.exe
Bearbeitet von Vvvyg, 01 Dezember 2023 - 11:10,
#8
Geschrieben: 01 Dezember 2023 - 11:20
Global Malware Hunting.
#9
Geschrieben: 01 Dezember 2023 - 11:32
Интересный мальварь , отправьте 2 файлы пожалуйста , вирусную лабораторию vms.drweb.ru , укажите номер тикета .
Файлы я отправлю, а дальше что с ними делать?
#10
Geschrieben: 01 Dezember 2023 - 11:39
Файлы я отправлю, а дальше что с ними делать?Интересный мальварь , отправьте 2 файлы пожалуйста , вирусную лабораторию vms.drweb.ru , укажите номер тикета .
После отправки , вы получите ответ , что вирусная лаборатория подтвердит вирус , при указании номер тикета , после тщательной анализа , выпустит новую базу , а вирус будет удалена из системы . Вирусная база будет обновлена .
Bearbeitet von Alexander007, 01 Dezember 2023 - 11:40,
Global Malware Hunting.
#11
Geschrieben: 01 Dezember 2023 - 12:17
Bearbeitet von Alexander007, 01 Dezember 2023 - 12:17,
Global Malware Hunting.
#12
Geschrieben: 01 Dezember 2023 - 16:54
Интересный мальварь
Интересного мало, когда 35 вендоров его уже видят, в том числе главный конкурент, а Доктор в догоняющих.
Оперативнее было бы, новое облако уже использовать. Постоянно продукт оправдывать ("у нас всё хорошо"), нет смысла. На лицо факты.
Bearbeitet von vladimir_murm, 01 Dezember 2023 - 16:57,
#13
Geschrieben: 01 Dezember 2023 - 18:26
vladimir_murm, не надо оффтопить. Для выражения мнения создайте отдельную тему.
1 Benutzer lesen gerade dieses Thema
0 members, 1 guests, 0 anonymous users