Всем Доброго дня!
Начиная с 9 октября 2023 года на пк появился майнер.
Вирус создает Папку майнера в Program data при перезагрузке и спустя некоторое время "простоя пк", и запускает сам майнер.
Причем один раз папка обновилась и у нее сменилось название.
я выловил и заархивировал старую версию папки.
Майнинг идет через процесс tcpsvcs.exe
dr. web отлавливает попытку майнинга и пресекает ее
До появления др. веба, я сам убивал процесс через лассо
не могу никак выловить вирус который каждый раз пересоздает папку майнера, ни один антивир его не видит.
помогите пожалуйста!
Прилагаю ссылку на отчет и папку майнера с паролем (пароль 1598)
Ссылка на отчет: https://disk.yandex.ru/d/JPIP-EartsTEsg
Ссылка на архив папки майнера: https://disk.yandex.ru/d/BK8nRhxkC_U-hQ
#1
Posted 05 December 2023 - 12:05
#2
Posted 05 December 2023 - 12:05
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
#3
Posted 05 December 2023 - 12:52
VideoHarmony.exe
https://www.virustotal.com/gui/file/9554fbbb6ec1b9d721e31c031fc9b54e135c7a4c36a191065ee526b5345adf30?nocache=1
драйвер WinRing0x64.sys
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5?nocache=1
отправил в вирлаб
#11064895
#11064899
#4
Posted 05 December 2023 - 13:09
VideoHarmony.exe
https://www.virustotal.com/gui/file/9554fbbb6ec1b9d721e31c031fc9b54e135c7a4c36a191065ee526b5345adf30?nocache=1
драйвер WinRing0x64.sys
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5?nocache=1
отправил в вирлаб
#11064895
#11064899
Спасибо
Но как быть с вирусом пересоздающим папку майнера на пк после перезагрузки и простоя?
#5
Posted 05 December 2023 - 13:17
И это ещё: C:\WINDOWS\SysWOW64\mobsync.dll https://www.virustotal.com/gui/file/52d43f72c5a71ab8dd4aa0506f0957810c21fad823a5435067e46bbdd054cc77?nocache=1
Эта служба и восстанавливает майнер, видимо.
Edited by Vvvyg, 05 December 2023 - 13:18.
#6
Posted 05 December 2023 - 13:20
И это ещё: C:\WINDOWS\SysWOW64\mobsync.dll https://www.virustotal.com/gui/file/52d43f72c5a71ab8dd4aa0506f0957810c21fad823a5435067e46bbdd054cc77?nocache=1
Эта служба и восстанавливает майнер, видимо.
мне с ней что-то необходимо сделать?
#7
Posted 05 December 2023 - 13:38
мне с ней что-то необходимо сделать?
В вирлаб отправить файл.
#8
Posted 05 December 2023 - 15:04
мне с ней что-то необходимо сделать?В вирлаб отправить файл.
подскажите, пожалуйста, как это сделать ?
#10
Posted 05 December 2023 - 15:23
Отправил Файл в вирлаб
#11065028
#11
Posted 05 December 2023 - 15:35
Подскажите, мне теперь просто ожидать пока отпишут на почту ответ ?
какие мои дальнейшие действия?
#12
Posted 07 December 2023 - 07:14
Файл уже отправлен за вас в Вирлаб, поэтому вам остается только дождаться решения проблемы. Поддержка здесь работает очень быстро, так что не волнуйтесь слишком сильно.
#13
Posted 07 December 2023 - 11:12
драйвер WinRing0x64.sys
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5?nocache=1
#11064899
По этому - дали ответ, что в базе чистых файлов.
Edited by maxic, 07 December 2023 - 11:13.
#15
Posted 07 December 2023 - 12:32
Системный файл в вирлаб ? Из-за одного детекта ?
Он не системный, а маскируется под него. mobsync.dll или evntagnt.dll с разными хэшами сопутствуют этому майнеру. В чистых системах, Windows 10/11, по тому же пути таких файлов нет.
#16
Posted 07 December 2023 - 15:26
Наличие файла не означает его вредоносность. Однако, нельзя исключить, что злоумышленники нашли уязвимость/необходимый код в файл, поэтому используют его в своих целях. https://learn.microsoft.com/ru-ru/windows/win32/api/mobsync/nf-mobsync-isyncmgrsynchronizecallback-synchronizecompleted
В Интернете, на форуме обсуждения другого антивируса, одноимённый файл упоминается в связке с другими приложениями и драйверами. Как раз EXE+DLL+SYS.
Думаю, что имеет смысл заархивировать этот файл и удалить из системной папки. Затем понаблюдать создаётся ли он самостоятельно или при запуске какого-либо ПО, наблюдаются ли сбои (ошибки) с отсылкой к этому файлу.
Reo194, в настоящее время, после проверки системы актуальной версией антивируса, наблюдаются какие-либо признаки заражения?
#17
Posted 07 December 2023 - 21:11
Думаю, что имеет смысл заархивировать этот файл и удалить из системной папки
Майнер под MsMpEng.exe или find.exe - недавняя тема с тем же майнером. Обратие внимание, ТС пишет:
Создается папка невидимая.Удалял но она появляется опять
C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4
Папка и сам майнер другие, файл evntagnt.dll не просто так лежит в системной папке, она запускается через сервис:
R2 EvntAgntSvc_b9ac91; C:\WINDOWS\SysWOW64\evntagnt.dll [106512 2023-11-19] (Microsoft Corporation) [Файл не подписан]
И время создания dll на минуту меньше, чем папки с майнером:
2023-11-19 01:59 - 2023-11-19 13:53 - 000000000 __SHD C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4 2023-11-19 01:58 - 2023-11-19 01:58 - 000106512 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\evntagnt.dll
Ну и папка с майнером перестала восстанавливаться именно после удаления службы и evntagnt.dll.
Просто встречаю этот майнер не 2-й и не 3-й раз. А то, что детекта по evntagnt.dll и mobsync.dll нет - это недоработка антивирусных вендоров. Кстати, несколько вариантов с разными хэшами попадалось, все загружал на VT.
#18
Posted 08 December 2023 - 04:44
Reo194, утилита лечения для вашего компьютера: https://drw.sh/ncfasf
#19
Posted 08 December 2023 - 13:51
Просто встречаю этот майнер не 2-й и не 3-й раз. А то, что детекта по evntagnt.dll и mobsync.dll нет - это недоработка антивирусных вендоров. Кстати, несколько вариантов с разными хэшами попадалось, все загружал на VT.
Теперь есть )) - ловим как Trojan.Loader.1907
#20
Posted 08 December 2023 - 14:25
Теперь есть )) - ловим как Trojan.Loader.1907
ЗдорОво )
Also tagged with one or more of these keywords: Майнер, вирус
1 user(s) are reading this topic
0 members, 1 guests, 0 anonymous users