27 ответов в этой теме

[Lazertank]

Спустя 2-3 минуты после запуска Windows

Генерируется в реестре Task-dac34d56-9bb7-4ec7-9794-8ea576cc5ac7_*любоезначение*

Создается папка невидимая.Удалял но она появляется опять

C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4

запускается DataSyncPlus.exe с параметрами адреса и пользователя кому идут мощности майнинга

С помощью AnVir Task Manager я  помещаю find.exe в карантин и нагрузка ЦП и ГП проходит.

Отчет dwsysinfo: https://drive.google.com/file/d/1VKMouKIlbo5Dk9C9RgFv23N4iDxw4EgA/view?usp=drive_link

Прикрепленные файлы:

•  cureit.log   17,97Мб   1 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Lazertank]

FRST64

Прикрепленные файлы:

•  Addition.txt   115,36К   4 Скачано раз
•  FRST.txt   57,99К   5 Скачано раз

[Dmitry_rus]

Судя по логам, заражение могло произойти 18 ноября в районе 15 часов. Какой-нибудь новый софт/браузерные расширения и т.п. устанавливали/запускали в это время? Всякие кряки/патчи и т.п.?

[Lazertank]

Судя по логам, заражение могло произойти 18 ноября в районе 15 часов. Какой-нибудь новый софт/браузерные расширения и т.п. устанавливали/запускали в это время? Всякие кряки/патчи и т.п.?

В это время ничего не ставил.Слышал пару звуков системы когда команда выполнилась 19 ноября между 2 и 3 ч утра.

[Lazertank]

cursor highlighter расширение раньше не было

2 установщика какихто в это время было:
NaViva
sparkleluxor

Сообщение было изменено Lazertank: 19 Ноябрь 2023 - 13:43

[Lazertank]

Вот они зассели,удалить нельзя. Может по этому их не ищет антивирус?

Прикрепленные файлы:

•  Снимок.PNG   213,65К   1 Скачано раз

[Dmitry_rus]

Ну, у вас эти папки внесены (трояном?) в исключения, кроме того, все исполняемые *.exe-файлы тоже в исключениях. Т.е. фактически дорога троянам открыта, программы никто не проверяет. Кроме ESET'а, вроде бы?

[Vvvyg]

Там явно 2 майнера погуляли. Один - старый знакомый, запущен 2023-11-18 15:06, от него уже кроме залоченных папок

2023-11-18 15:06 C:\Program Files\RDP Wrapper
2023-11-18 15:06 C:\Program Files (x86)\360
2023-11-18 15:06 C:\ProgramData\RDP Wrapper
2023-11-18 15:06 C:\ProgramData\ReaItekHD
2023-11-18 15:06 C:\ProgramData\Setup
2023-11-18 15:06 C:\ProgramData\Windows Tasks Service
2023-11-18 15:06 C:\ProgramData\WindowsTask

ничего не осталось.Dr. Web Cureit, Eset Online Scanner или KVRT с ним уже справились.

 

А вот 2023-11-19 01:58 уже признаки другого, более хитрого майнера. Инжектирует в системные процессы, find.exe, ping.exe (в момент сбора логов FRST) и другие. Это его служба:

R2 EvntAgntSvc_b9ac91; C:\WINDOWS\SysWOW64\evntagnt.dll [106512 2023-11-19] (Microsoft Corporation) [Файл не подписан]

Маскируется под библиотеку от MS. А сам майнер здесь: C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4 Там должен быть толстенький такой .exe файл 160 и более Мб, который не очень жалуют антивирусы, и песочницы на VT не обрабатывают.

 

 

Lazertank

Выделите и скопируйте в буфер обмена следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Task: {82EF8572-6EF8-43C7-A8FE-189247F5B3F3} - System32\Tasks\processed-postcard => C:\ProgramData\presentation-pressed\bin.exe  /H (Нет файла)
R2 EvntAgntSvc_b9ac91; C:\WINDOWS\SysWOW64\evntagnt.dll [106512 2023-11-19] (Microsoft Corporation) [Файл не подписан]
2023-11-11 02:00 - 2023-11-11 02:00 - 000000000 ____D C:\ProgramData\nJVRPVjplpdfNRV
2023-11-11 01:57 - 2023-11-11 02:02 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\present-preston
2023-11-19 01:59 - 2023-11-19 13:53 - 000000000 __SHD C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4
2023-11-19 01:58 - 2023-11-19 01:58 - 001106650 _____ C:\WINDOWS\SysWOW64\srms715.dat
2023-11-19 01:58 - 2023-11-19 01:58 - 000106512 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\evntagnt.dll
2023-11-11 01:57 - 2023-11-11 01:57 - 000003458 _____ C:\WINDOWS\system32\Tasks\processed-postcard
CHR HKU\S-1-5-21-3809536607-2488274261-2127294217-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [echjgnggfpiohepohkpfknhjbnccdjlo]
2023-11-18 15:06 C:\Program Files\RDP Wrapper
2023-11-18 15:06 C:\Program Files (x86)\360
2023-11-18 15:06 C:\ProgramData\RDP Wrapper
2023-11-18 15:06 C:\ProgramData\ReaItekHD
2023-11-18 15:06 C:\ProgramData\Setup
2023-11-18 15:06 C:\ProgramData\Windows Tasks Service
2023-11-18 15:06 C:\ProgramData\WindowsTask
G:\delta
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\SysWOW64
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|G:\delta
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|G:\delta\Custom Setups Online v1.9.EXE
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|G:\delta\Delta_App_Online_v1.1.0.EXE
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите к своему следующему сообщению.

Компьютер будет перезагружен.

 

Содержимое папки C:\FRST\Quarantine упакуйте с паролем virus и отправьте в облако, ссылку пока не публикуйте здесь, куда и как лучше отправить для проверки в вирлаб, тут подскажут.

[Alexander007]

Интересно , 

Нашел , кое -еще доп. Microsoft не подписан службы..

 

 

S3 BthA2dp; C:\WINDOWS\System32\drivers\BthA2dp.sys [279040 2019-12-07] (Microsoft Corporation) [Файл не подписан]
S3 BthHFEnum; C:\WINDOWS\System32\drivers\bthhfenum.sys [144896 2019-12-07] (Microsoft Corporation) [Файл не подписан]

 

Для проверки VirusTotal , следует проверить их тоже на анализ , без карантина и прочих , для уточнение :

 

Выделите и скопируйте в буфер обмена следующий код:

Start::
VirusTotal: C:\WINDOWS\System32\drivers\BthA2dp.sys 
VirusTotal: C:\WINDOWS\System32\drivers\bthhfenum.sys 
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите к своему следующему сообщению.

Компьютер будет перезагружен.

 

Приложите эти отчет , для уточнение информации по VT , раз потребуется для аналитика .  Чтобы идентифицировать самого вируса или нет.

Сообщение было изменено Alexander007: 19 Ноябрь 2023 - 20:46

[Lazertank]

 

Там явно 2 майнера погуляли. Один - старый знакомый, запущен 2023-11-18 15:06, от него уже кроме залоченных папок

2023-11-18 15:06 C:\Program Files\RDP Wrapper
2023-11-18 15:06 C:\Program Files (x86)\360
2023-11-18 15:06 C:\ProgramData\RDP Wrapper
2023-11-18 15:06 C:\ProgramData\ReaItekHD
2023-11-18 15:06 C:\ProgramData\Setup
2023-11-18 15:06 C:\ProgramData\Windows Tasks Service
2023-11-18 15:06 C:\ProgramData\WindowsTask

ничего не осталось.Dr. Web Cureit, Eset Online Scanner или KVRT с ним уже справились.

 

А вот 2023-11-19 01:58 уже признаки другого, более хитрого майнера. Инжектирует в системные процессы, find.exe, ping.exe (в момент сбора логов FRST) и другие. Это его служба:

R2 EvntAgntSvc_b9ac91; C:\WINDOWS\SysWOW64\evntagnt.dll [106512 2023-11-19] (Microsoft Corporation) [Файл не подписан]

Маскируется под библиотеку от MS. А сам майнер здесь: C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4 Там должен быть толстенький такой .exe файл 160 и более Мб, который не очень жалуют антивирусы, и песочницы на VT не обрабатывают.

 

 

Lazertank

Выделите и скопируйте в буфер обмена следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Task: {82EF8572-6EF8-43C7-A8FE-189247F5B3F3} - System32\Tasks\processed-postcard => C:\ProgramData\presentation-pressed\bin.exe  /H (Нет файла)
R2 EvntAgntSvc_b9ac91; C:\WINDOWS\SysWOW64\evntagnt.dll [106512 2023-11-19] (Microsoft Corporation) [Файл не подписан]
2023-11-11 02:00 - 2023-11-11 02:00 - 000000000 ____D C:\ProgramData\nJVRPVjplpdfNRV
2023-11-11 01:57 - 2023-11-11 02:02 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\present-preston
2023-11-19 01:59 - 2023-11-19 13:53 - 000000000 __SHD C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4
2023-11-19 01:58 - 2023-11-19 01:58 - 001106650 _____ C:\WINDOWS\SysWOW64\srms715.dat
2023-11-19 01:58 - 2023-11-19 01:58 - 000106512 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\evntagnt.dll
2023-11-11 01:57 - 2023-11-11 01:57 - 000003458 _____ C:\WINDOWS\system32\Tasks\processed-postcard
CHR HKU\S-1-5-21-3809536607-2488274261-2127294217-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [echjgnggfpiohepohkpfknhjbnccdjlo]
2023-11-18 15:06 C:\Program Files\RDP Wrapper
2023-11-18 15:06 C:\Program Files (x86)\360
2023-11-18 15:06 C:\ProgramData\RDP Wrapper
2023-11-18 15:06 C:\ProgramData\ReaItekHD
2023-11-18 15:06 C:\ProgramData\Setup
2023-11-18 15:06 C:\ProgramData\Windows Tasks Service
2023-11-18 15:06 C:\ProgramData\WindowsTask
G:\delta
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\SysWOW64
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|G:\delta
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|G:\delta\Custom Setups Online v1.9.EXE
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|G:\delta\Delta_App_Online_v1.1.0.EXE
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите к своему следующему сообщению.

Компьютер будет перезагружен.

 

Содержимое папки C:\FRST\Quarantine упакуйте с паролем virus и отправьте в облако, ссылку пока не публикуйте здесь, куда и как лучше отправить для проверки в вирлаб, тут подскажут.

 

[Lazertank]

Что то не прекрипилось Fixlog.txt- VT

Fixlog.txt - код с ребутом

Прикрепленные файлы:

•  Fixlog.txt   1,06К   7 Скачано раз
•  Fixlog1.txt   6,55К   5 Скачано раз

Сообщение было изменено Lazertank: 19 Ноябрь 2023 - 21:14

[Lazertank]

Malwarebytes что то с ним сделал 3-4ч назад,после той перезагрузки убрав в AnVir из карантина find.exe,ничего не запускалось. Папка DataSyncPlus только осталась, удалилась после вашей команды.А еще потом дефендер винды нашел троян я нажал удалить

Сообщение было изменено Lazertank: 19 Ноябрь 2023 - 21:24

[Vvvyg]

Lazertank

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ".

 

Майнер после исправлений должен быть устранён. Что за файл удалил Защитник?

[Lazertank]

с Github скачивал это не относится сюда 

Прикрепленные файлы:

•  11.png   22,22К   0 Скачано раз

[Vvvyg]

Итого: майнера нет?

[Dolmatov]

Лучше ожидайте специалиста Вирусного Аналитика самого Dr.Web . 

 

Смотрите под аватаркой "должность" отвечающего. 

[Alexander007]

После анализа VVYG , то есть Lazertank выполнил его скрипта .  А, вирлаб отправлен на изучение : #11047096

Сообщение было изменено Alexander007: 20 Ноябрь 2023 - 09:07

[Ivan Korolev]

Как обычно вся движуха происходит на выходных

 

Трои добавлены:

 

DataSyncPlus.exe# infected with Trojan.BtcMine.3763 - infected

evntagnt.dll# infected with Trojan.Inject4.64749 - infected

[Lazertank]

Господа, как удостовериться что удалённо всë. И нет попыток что-то востановить