Майнер в svchost.exe
#1
Отправлено 01 Декабрь 2023 - 06:53
Что известно:
1) svchost.exe оригинальный (не левое приложение, которое маскируется под svchost)
2) расположение - \NET\12116\TCP\5.188.137.200-443\Device\HarddiskVolume3\Windows\System32\svchost.exe
3) Если открыть айпишник указанный в пути, откроется сайт по майнингу
Пробовал через брандмауэр в правилах заблокировать для svchost все исходящие подключения по tcp и udp, чтобы хотя бы спокойно лечить всё это дело, но это не сработало.
#2
Отправлено 01 Декабрь 2023 - 07:34
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#3
Отправлено 01 Декабрь 2023 - 07:52
Лог sysinfo смогу сделать позже
#5
Отправлено 01 Декабрь 2023 - 08:55
+Дополнительный , запустите Farbar Recovery Tools , для дальнейшего изучения и прикрепить . А там будем смотреть , что попало .
Сообщение было изменено Alexander007: 01 Декабрь 2023 - 08:57
Global Malware Hunting.
#7
Отправлено 01 Декабрь 2023 - 11:06
C:\program files\google\chrome\updater.exe - майнер.
https://www.virustotal.com/gui/file/6a10b92fb185db5f7b383722e3a08cc2f2f869af14268c384d71dd1be5f3d298
Он же: C:\Users\2\AppData\Local\Temp\aboba.exe
Сообщение было изменено Vvvyg: 01 Декабрь 2023 - 11:10
#8
Отправлено 01 Декабрь 2023 - 11:20
Global Malware Hunting.
#9
Отправлено 01 Декабрь 2023 - 11:32
Интересный мальварь , отправьте 2 файлы пожалуйста , вирусную лабораторию vms.drweb.ru , укажите номер тикета .
Файлы я отправлю, а дальше что с ними делать?
#10
Отправлено 01 Декабрь 2023 - 11:39
Файлы я отправлю, а дальше что с ними делать?Интересный мальварь , отправьте 2 файлы пожалуйста , вирусную лабораторию vms.drweb.ru , укажите номер тикета .
После отправки , вы получите ответ , что вирусная лаборатория подтвердит вирус , при указании номер тикета , после тщательной анализа , выпустит новую базу , а вирус будет удалена из системы . Вирусная база будет обновлена .
Сообщение было изменено Alexander007: 01 Декабрь 2023 - 11:40
Global Malware Hunting.
#11
Отправлено 01 Декабрь 2023 - 12:17
Сообщение было изменено Alexander007: 01 Декабрь 2023 - 12:17
Global Malware Hunting.
#12
Отправлено 01 Декабрь 2023 - 16:54
Интересный мальварь
Интересного мало, когда 35 вендоров его уже видят, в том числе главный конкурент, а Доктор в догоняющих.
Оперативнее было бы, новое облако уже использовать. Постоянно продукт оправдывать ("у нас всё хорошо"), нет смысла. На лицо факты.
Сообщение было изменено vladimir_murm: 01 Декабрь 2023 - 16:57
#13
Отправлено 01 Декабрь 2023 - 18:26
vladimir_murm, не надо оффтопить. Для выражения мнения создайте отдельную тему.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых