Перейти к содержимому


Фото
- - - - -

hostdl.exe (Tool.BtcMine.1590 и Tool.BtcMine.1799)

Tool.BtcMine.1590 Tool.BtcMine.1799 hostdl.exe инфицированный контейнер майнер

  • Закрыто Тема закрыта
24 ответов в этой теме

#1 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 12 Февраль 2020 - 02:16

Здравствуйте, Уважаемые!

 

Прошу вашей помощи. Совсем недавно решил проверить систему программой Dr.Web Cureit! 

И с ее помощью по завершению сканирования, выяснилось, что система заражена данными инструментами для майнинга hostdl.exe (Tool.BtcMine.1590 и Tool.BtcMine.1799).

Перезагрузив компьютер по завершению пролечки host.dll и перемещения пары других файлов в карантин (вместе с hostdl.exe) сделал повторный скан папки ProgramData, где, собственно, и находится все это чудо и понял, что на данное непотребство не действует карантин.

В поисках информации по данным тулам, мною ничего найдено не было. Как с этим бороться понятия не имею. 

Люди добрые, объясните чайнику по пунктам, что нужно делать, пожалуйста! Лог прикрепляю. 

Прикрепленные файлы:

  • Прикрепленный файл  cureit.log   2,98Мб   3 Скачано раз


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 734 Сообщений:

Отправлено 12 Февраль 2020 - 02:16

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 975 Сообщений:

Отправлено 12 Февраль 2020 - 10:30

Лог sysinfo соберите ( http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe )



#4 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 13 Февраль 2020 - 15:10

Прошу прощения за столь долгий ответ, уведомления на почту приходить отказываются при проставленных заранее галочках. Прикрепляю zip. Ан-нет, не прикрепляю, файл слишком велик, что странно для 42.5 мб. Упрощенный загрузчик так же не грузит. Я что-то делаю не так?



#5 Lvenok

Lvenok

    Poster

  • Posters
  • 1 976 Сообщений:

Отправлено 13 Февраль 2020 - 16:18

Выложите на любой файлообменник, а ссылку сюда.

#6 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 14 Февраль 2020 - 15:26

Выложите на любой файлообменник, а ссылку сюда.

https://dropmefiles.com/iKr5R



#7 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 975 Сообщений:

Отправлено 14 Февраль 2020 - 15:43

C:\ProgramData\{021c7f86-d176-b27c-55ec-51268097ee5a}\hostdl.exe (тут GUID может меняться, найдите тот, что есть в данный момент)

C:\WINDOWS\system32\clinfo.exe

C:\WINDOWS\system32\CmdRtr64.DLL

 

Пришлите в вирлаб (vms.drweb.com/sendvirus/), полученный тикет (drweb#1234567) укажите здесь.



#8 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Февраль 2020 - 21:10

C:\ProgramData\{021c7f86-d176-b27c-55ec-51268097ee5a}\hostdl.exe (тут GUID может меняться, найдите тот, что есть в данный момент)

C:\WINDOWS\system32\clinfo.exe

C:\WINDOWS\system32\CmdRtr64.DLL

 

Пришлите в вирлаб (vms.drweb.com/sendvirus/), полученный тикет (drweb#1234567) укажите здесь.

Благодарю! В течение часа всё так и сделаю.



#9 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Февраль 2020 - 22:40

C:\ProgramData\{021c7f86-d176-b27c-55ec-51268097ee5a}\hostdl.exe (тут GUID может меняться, найдите тот, что есть в данный момент)

C:\WINDOWS\system32\clinfo.exe

C:\WINDOWS\system32\CmdRtr64.DLL

 

Пришлите в вирлаб (vms.drweb.com/sendvirus/), полученный тикет (drweb#1234567) укажите здесь.

Прошу прощения, никак не могу вычислить hostdl.exe, судя по той информации, что я нашел в интернете, этот поганец может слишком хорошо маскироваться изменяя папки назначения и само имя файла вплоть до полной подчистки следов за собой... Не могли бы Вы, пожалуйста, подсказать какими методами можно справиться с этой задачей самому, если вы обладаете подобной информацией? Заранее, спасибо! 



#10 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 732 Сообщений:

Отправлено 15 Февраль 2020 - 23:11

по завершению сканирования, выяснилось, что система заражена данными инструментами для майнинга hostdl.exe (Tool.BtcMine.1590 и Tool.BtcMine.1799)
повторить сможете?

#11 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Февраль 2020 - 23:26

 

по завершению сканирования, выяснилось, что система заражена данными инструментами для майнинга hostdl.exe (Tool.BtcMine.1590 и Tool.BtcMine.1799)
повторить сможете?

 

повторно отсканировать систему CureIT'ом?



#12 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 16 Февраль 2020 - 00:38

Еще, хотелось бы добавить для общего сведения, мало ли это что-то может дать: какое-то время, собственно, подозреваю, что с лета прошлого года, когда я и, скорее всего, подхватил эту заразу по невнимательности открыв файл типа "*видео*.exe", у меня в диспетчере задач постоянно висели 2 процесса "TokenBroker***" (где звездочки - продолжение названий процессов, которых я не помню) и они не особо то и грузили систему, но заметил я их именно когда моя система начала подлагивать вплоть до самопроизвольного отключения во время игры с открытым одновременно браузером, например. Собственно, висели они продолжительное время до декабря 19 года, когда я решил зачем-то отключить все автозагрузки, выключить все не системные процессы (в числе которых и были эти токенброкеры), почистить реестр и т.д.

 

Буквально недавно узнал, что, скорее всего, это и были процессы ведущие к майнеру, да вот только сейчас их нет и никаких подобных процессов я не вижу. Собственно, итог такой, что от процессов видимых я избавился, а майнер существует до сих пор.



#13 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 16 Февраль 2020 - 03:03

с лета прошлого года, когда я и, скорее всего, подхватил эту заразу по невнимательности открыв файл типа "*видео*.exe"

 

Уважаемые, не заметил, после восстановления ли hostdl.exe из карантина или нет, но узрел в programdata папку "KKDAA5T3PJQ95U" и "files" в ней, в которой есть всяческие файлы и папки, и в ней открыв файл "passwords.txt" я понял, что имею дело со стилером, как раз таки, который пришел ко мне из вышеупомянутого "видео.avi.exe". Дело серьезное или все не так ужасно? Там в действительности выписаны многие мои логины/пароли с некоторых сайтов вплоть до соцсетей, но на важных ресурсах у меня двухфакторка, поэтому сильно не переживаю, да и времени куча прошло...


Сообщение было изменено generald1ckhead: 16 Февраль 2020 - 03:04


#14 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 16 Февраль 2020 - 13:07

Дико извиняюсь за спам. Узнал, что данный стиллер имеет в passwords.txt название "Arkei Stealer" и, так же, он крал бы у меня кошельки криптовалют, если бы у меня они были. Я так понимаю, это всё, в целом, и есть этот стиллер, а ни какой не майнер? Не могли бы вы сказать мне что-то по этому поводу? Есть ли смысл беспокоиться и каковы мои дальнейшие действия? И да, оказывается, он у меня стоял аж с лета 2018 года, а не 19. Вроде бы, нигде конкретно меня не взламывали за этот период, но все равно довольно неприятно всё это.


Сообщение было изменено generald1ckhead: 16 Февраль 2020 - 13:08


#15 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 975 Сообщений:

Отправлено 17 Февраль 2020 - 06:53

Может все-таки сделаете то, что я вам сказал?



#16 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 732 Сообщений:

Отправлено 17 Февраль 2020 - 15:19

Может все-таки сделаете то, что я вам сказал?

А поговорить?



#17 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 975 Сообщений:

Отправлено 17 Февраль 2020 - 15:55

 

Может все-таки сделаете то, что я вам сказал?

А поговорить?

 

 

Не в этом разделе форума.



#18 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 17 Февраль 2020 - 22:57

Может все-таки сделаете то, что я вам сказал?

Ок, сделал отправив только 2 последних файла указанных Вами, т.к. первый самостоятельно найти не смог, ибо не получил никакого ответа по этому вопросу от Вас. drweb#1234567



#19 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 417 Сообщений:

Отправлено 17 Февраль 2020 - 23:16

generald1ckhead, где номера тикетов, пришедших на почту?



#20 generald1ckhead

generald1ckhead

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 18 Февраль 2020 - 19:26

generald1ckhead, где номера тикетов, пришедших на почту?

drweb.com #9110392





Also tagged with one or more of these keywords: Tool.BtcMine.1590, Tool.BtcMine.1799, hostdl.exe, инфицированный контейнер, майнер

Читают тему: 4

0 пользователей, 4 гостей, 0 скрытых