Перейти к содержимому


Фото
- - - - -

Glupteba, WildRiver

Glupteba app.exe rss\csrss.exe UACBypassExp PrivilegeEscalation Persistence WildRiver

  • Закрыто Тема закрыта
26 ответов в этой теме

#1 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Декабрь 2019 - 19:51

Зараза проявляет свою активность десятую минуту каждого часа (логи прилагаются).

Отключает антивирус, дропает и запускает вредоносное программное обеспечение, тушит проводник и т.д.

Лог DrWebSysInfo приложу позже, он ещё не готов, т.к. разбивается на тома.
Также прикрепляю вредоносного программного обеспечения в запароленном архиве (а куда пароль писать то?)

Прикрепленные файлы:

  • Прикрепленный файл  Logs.rar   44,44К   4 Скачано раз

Сообщение было изменено VVS: 15 Декабрь 2019 - 19:59
Вирусы на форуме публиковать запрещено.


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 732 Сообщений:

Отправлено 15 Декабрь 2019 - 19:51

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 VVS

VVS

    The Master

  • Moderators
  • 17 676 Сообщений:

Отправлено 15 Декабрь 2019 - 20:00

Суслика сюда - https://vms.drweb.ru/sendvirus/

Номер полученного тикета сообщить здесь.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#4 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Декабрь 2019 - 20:21

(401 ) okay

Это тикет?



#5 VVS

VVS

    The Master

  • Moderators
  • 17 676 Сообщений:

Отправлено 15 Декабрь 2019 - 20:25

Номер тикета имеет вид типа [drweb.com #3219200];


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#6 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Декабрь 2019 - 20:30

Простите, а откуда брать этот номер тикета? Скажу более, после заполнения формы, прикрепления архива и нажатия кнопки отправки и вовсе ничего не происходит кроме показа сообщения ( 401) okay



#7 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Декабрь 2019 - 20:38

https://support.drweb.ru/process/?ticket=U***-7***
 
Запрос отправлен. Полагаю, проблема была в излишне длинном комментарии.

Сообщение было изменено VVS: 15 Декабрь 2019 - 20:51


#8 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 415 Сообщений:

Отправлено 15 Декабрь 2019 - 20:52

Quarantine, запрещено публиковать тикеты техподдержки. Вам написали отправить в вирлаб, а не в саппорт.



#9 VVS

VVS

    The Master

  • Moderators
  • 17 676 Сообщений:

Отправлено 15 Декабрь 2019 - 20:53

https://support.drweb.ru/process/?ticket=U***-7***
 
Запрос отправлен. Полагаю, проблема была в излишне длинном комментарии.

Это Вы написали запрос в ТП.

Их на форуме публиковать тоже нельзя.

Отправьте вирусы в вирлаб, как я уже писал, а номер тикета вирлаба сообщите тут.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#10 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Декабрь 2019 - 21:03

Отправьте вирусы в вирлаб, как я уже писал, а номер тикета вирлаба сообщите тут.

Но ведь при переходе по указанной Вами ссылке https://vms.drweb.ru/sendvirus/ открывается страница с формой отправки запроса, как Вы утверждаете, в техподдержку. Хорошо, я поищу, если нет прямой ссылки. Просто мне кажется я десять раз отправлю вирус не туда, куда нужно... Вот так они и распространяются   :(



#11 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Декабрь 2019 - 21:30

Мне на почту ничего не пришло в ответ, никакого тикета.
 

 
Благодарим за сотрудничество!

Письма электронной почты могут блокироваться спам-фильтрами провайдеров. Если Вы не получите ответ на этот запрос, проверьте Ваш почтовый ящик на спам или обратитесь в службу технической поддержки «Доктор Веб».

 



#12 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Декабрь 2019 - 21:59

VVS

[drweb.com #9019921].



#13 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Декабрь 2019 - 22:42

Полный лог не скидываю, дабы не пугать количеством обнаруженных "угроз" - можно в кавычках, можно без...  :). Не суть, много воды в логе. Конкретно вот эти строки интересуют. Итак, пробовать удалять или все же кто-то что-то скажет интересное?  :huh:

 

 

Прикрепленные файлы:



#14 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 842 Сообщений:

Отправлено 15 Декабрь 2019 - 23:40

Отчет SysInfo прикрепите. Лечил подобного суслика на днях, там еще драйвера вредоносные могут быть.
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#15 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 16 Декабрь 2019 - 06:56

Пожалуйста

Прикрепленные файлы:



#16 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 16 Декабрь 2019 - 07:03

Вчера с помощью Malwarebytes Antimalware отправил всё в карантин (предварительно ознакомившись с логом). Ежечасные обнаружения Win32/Glupteba прекратились. С утра обнаружил, что Windows Defender отключен (включил, естественно), им новых обнаружений не выявлено, и Cloudnet, видимо, соответственно, продолжает свою деятельность в моей системе. Прикрепляю ПОЛНЫЙ лог с отправленным в карантин мусором.

P.S. Система до сих пор мной не перезагружалась.

Прикрепленные файлы:


Сообщение было изменено Quarantine: 16 Декабрь 2019 - 07:05


#17 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 975 Сообщений:

Отправлено 16 Декабрь 2019 - 08:18

Отчет SysInfo прикрепите. Лечил подобного суслика на днях, там еще драйвера вредоносные могут быть.

 

Конкретно этот ставит, да.



#18 TASS

TASS

    Advanced Member

  • Posters
  • 839 Сообщений:

Отправлено 16 Декабрь 2019 - 14:26

 

Отчет SysInfo прикрепите. Лечил подобного суслика на днях, там еще драйвера вредоносные могут быть.

 

Конкретно этот ставит, да.

Т.е. полное лечение возможно только с перезагрузкой ПК?

Dr.Web семафорит пользователю SS/администратору ES о необходимости перезагрузки ПК?


Сообщение было изменено TASS: 16 Декабрь 2019 - 14:27

Глядя на мир, нельзя не удивляться! ©


#19 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 415 Сообщений:

Отправлено 16 Декабрь 2019 - 14:28

Dr.Web семафорит пользователю SS/администратору ES о необходимости перезагрузки ПК?

Семафорит.



#20 Quarantine

Quarantine

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 16 Декабрь 2019 - 20:30

Dr.Web семафорит пользователю SS/администратору ES о необходимости перезагрузки ПК?

Семафорит.

 

У меня не установлен Dr.Web. Разве кто-то видел у меня логи Dr.Web?

Прикрепленные файлы:




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых