19 ответов в этой теме

[Reo194]

Всем Доброго дня!
Начиная с 9 октября 2023 года на пк появился майнер.
Вирус создает Папку майнера в  Program data при перезагрузке и спустя некоторое время "простоя пк", и запускает сам майнер.
Причем один раз папка обновилась и у нее сменилось название.
я выловил и заархивировал старую версию папки.
Майнинг идет через процесс tcpsvcs.exe
dr. web отлавливает попытку майнинга и пресекает ее 
До появления др. веба, я сам убивал процесс через лассо
не могу никак выловить вирус который каждый раз пересоздает папку майнера, ни один антивир его не видит.
помогите пожалуйста!
Прилагаю ссылку на отчет и папку майнера с паролем (пароль 1598)

Ссылка на отчет: https://disk.yandex.ru/d/JPIP-EartsTEsg
Ссылка на архив папки майнера: https://disk.yandex.ru/d/BK8nRhxkC_U-hQ

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[maxic]

VideoHarmony.exe
https://www.virustotal.com/gui/file/9554fbbb6ec1b9d721e31c031fc9b54e135c7a4c36a191065ee526b5345adf30?nocache=1

драйвер WinRing0x64.sys
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5?nocache=1

отправил в вирлаб
#11064895
#11064899

[Reo194]

VideoHarmony.exe
https://www.virustotal.com/gui/file/9554fbbb6ec1b9d721e31c031fc9b54e135c7a4c36a191065ee526b5345adf30?nocache=1

драйвер WinRing0x64.sys
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5?nocache=1

отправил в вирлаб
#11064895
#11064899

Спасибо
Но как быть с вирусом пересоздающим папку майнера на пк после перезагрузки и простоя?

[Vvvyg]

И это ещё: C:\WINDOWS\SysWOW64\mobsync.dll https://www.virustotal.com/gui/file/52d43f72c5a71ab8dd4aa0506f0957810c21fad823a5435067e46bbdd054cc77?nocache=1

Эта служба и восстанавливает майнер, видимо.

Сообщение было изменено Vvvyg: 05 Декабрь 2023 - 13:18

[Reo194]

И это ещё: C:\WINDOWS\SysWOW64\mobsync.dll https://www.virustotal.com/gui/file/52d43f72c5a71ab8dd4aa0506f0957810c21fad823a5435067e46bbdd054cc77?nocache=1

Эта служба и восстанавливает майнер, видимо.

мне с ней что-то необходимо сделать?

[Vvvyg]

мне с ней что-то необходимо сделать?

В вирлаб отправить файл.

[Reo194]

 

мне с ней что-то необходимо сделать?

В вирлаб отправить файл.

 

подскажите, пожалуйста, как это сделать ?

[Dmitry_rus]

https://vms.drweb.ru/sendvirus/

[Reo194]

Отправил Файл в вирлаб
 #11065028
 

[Reo194]

Подскажите, мне теперь просто ожидать пока отпишут на почту ответ ?
какие мои дальнейшие действия? 

[hotorivsel]

Файл уже отправлен за вас в Вирлаб, поэтому вам остается только дождаться решения проблемы. Поддержка здесь работает очень быстро, так что не волнуйтесь слишком сильно.

[maxic]

драйвер WinRing0x64.sys
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5?nocache=1

#11064899

По этому - дали ответ, что в базе чистых файлов.

Сообщение было изменено maxic: 07 Декабрь 2023 - 11:13

[l.e.e.]

 

мне с ней что-то необходимо сделать?

В вирлаб отправить файл.
Системный файл в вирлаб ? Из-за одного детекта ?

 

[Vvvyg]

Системный файл в вирлаб ? Из-за одного детекта ?

Он не системный, а маскируется под него. mobsync.dll или evntagnt.dll с разными хэшами сопутствуют этому майнеру. В чистых системах, Windows 10/11, по тому же пути таких файлов нет.

[Dolmatov]

Наличие файла не означает его вредоносность. Однако, нельзя исключить, что злоумышленники нашли уязвимость/необходимый код в файл, поэтому используют его в своих целях. https://learn.microsoft.com/ru-ru/windows/win32/api/mobsync/nf-mobsync-isyncmgrsynchronizecallback-synchronizecompleted
 

В Интернете, на форуме обсуждения другого антивируса, одноимённый файл упоминается в связке с другими приложениями и драйверами. Как раз EXE+DLL+SYS. 

Думаю, что имеет смысл заархивировать этот файл и удалить из системной папки. Затем понаблюдать создаётся ли он самостоятельно или при запуске какого-либо ПО, наблюдаются ли сбои (ошибки) с отсылкой к этому файлу.

 

Reo194, в настоящее время, после проверки системы актуальной версией антивируса, наблюдаются какие-либо признаки заражения?

[Vvvyg]

Думаю, что имеет смысл заархивировать этот файл и удалить из системной папки

Майнер под MsMpEng.exe или find.exe - недавняя тема с тем же майнером. Обратие внимание, ТС пишет:

 

Создается папка невидимая.Удалял но она появляется опять

C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4

Папка и сам майнер другие, файл evntagnt.dll не просто так лежит в системной папке, она запускается через сервис:

R2 EvntAgntSvc_b9ac91; C:\WINDOWS\SysWOW64\evntagnt.dll [106512 2023-11-19] (Microsoft Corporation) [Файл не подписан]

И время создания dll на минуту меньше, чем папки с майнером:

2023-11-19 01:59 - 2023-11-19 13:53 - 000000000 __SHD C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4
2023-11-19 01:58 - 2023-11-19 01:58 - 000106512 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\evntagnt.dll

Ну и папка с майнером перестала восстанавливаться именно после удаления службы и evntagnt.dll.

Просто встречаю этот майнер не 2-й и не 3-й раз. А то, что детекта по evntagnt.dll и mobsync.dll нет - это недоработка антивирусных вендоров. Кстати, несколько вариантов с разными хэшами попадалось, все загружал на VT.

[Ivan Korolev]

Reo194, утилита лечения для вашего компьютера: https://drw.sh/ncfasf

[Dmitry Shutov]

Просто встречаю этот майнер не 2-й и не 3-й раз. А то, что детекта по evntagnt.dll и mobsync.dll нет - это недоработка антивирусных вендоров. Кстати, несколько вариантов с разными хэшами попадалось, все загружал на VT.

 

 

 

https://www.virustotal.com/gui/file/52d43f72c5a71ab8dd4aa0506f0957810c21fad823a5435067e46bbdd054cc77/detection

https://www.virustotal.com/gui/file/0253aa25a5ed1e8fea0c3f038e1a622e036ea2a3a0f279da9af1e81a39103701/detection

 

 

Теперь есть ))  - ловим как Trojan.Loader.1907

[Vvvyg]

Теперь есть ))  - ловим как Trojan.Loader.1907

ЗдорОво )