21 ответов в этой теме

[warkxeir]

Здравствуйте, точно такая же проблема, лог Sisinfo прикрепляю

[warkxeir]

Здравствуйте, точно такая же проблема, лог Sisinfo прикрепляю

https://drive.google.com/file/d/1ETAFaEzublcRvBiOk3qLPrOFuQyKtgnI/view?usp=sharing

Большой архив получился, даже с учётом сжатия, тоже качал Активатор офиса, наверное даже с того же источника

Сообщение было изменено warkxeir: 09 Январь 2024 - 23:22

[Ivan Korolev]

Отчет посмотрю, а пока напишите одно сообщение и тогда вам откроется функция отправки личных сообщений. После этого напишите мне в ЛС сайт, откуда качали активатор.

[Ivan Korolev]

Заражение произошло лишь потому, что вы самостоятельно отключили SpiderGuard компонент перед запуском троянизированного активатора...

 

svc command: C:\ProgramData\oceceusgftif\uesdzlczpmjh.exe

app activity state ==> paused

spider guard state ==> paused

 

и троян был убит сразу, как компонент был включен обратно:

 

2024-Jan-07 23:12:54.905621 [ 2288] [WRN] [bg-scan] scan result C:\programdata\oceceusgftif\uesdzlczpmjh.exe infection: Trojan.Siggen22.41933 (type: 1; code: 1025; )

 

По поводу AVKill.10 - ребутнитесь и будет вам счастье.

[Ivan Korolev]

Спасибо за сайт. Что с проблемой? После ребута ушла?

[warkxeir]

спам угрозы ушёл, но майнер-вирус остался

Сообщение было изменено warkxeir: 10 Январь 2024 - 14:25

[Alexander007]

Спасибо за логи FRST , отправил Ivan Korolev ( в ЛС ) ,  разберется с вами. Есть три трой в системе лежит от KMS и один по них следы майнер остались , по моему KMS -плохая штуковина .

Сообщение было изменено Alexander007: 10 Январь 2024 - 15:11

[warkxeir]

#11106080 номер тикета

[Vvvyg]

По логам FRST:

Задание с весьма подозрительным файлом:

Task: {7EF85994-7B3C-40C7-B784-2E1FCEF97E4D} - System32\Tasks\Service\Data => C:\Users\kapit\AppData\Roaming\ServiceData\Sukibas.exe [947288 2024-01-07] (AutoIt Consulting Ltd -> AutoIt Team) -> "C:\Users\kapit\AppData\Roaming\ServiceData\Sukibas.jpg"

C:\Users\kapit\AppData\Roaming\ServiceData\Sukibas.exe - похоже, баковский троян: https://www.virustotal.com/gui/file/98e4f904f7de1644e519d09371b8afcbbf40ff3bd56d76ce4df48479a4ab884b/detection

Надо бы всё содержимое папки C:\Users\kapit\AppData\Roaming\ServiceData в вирлаб.

[warkxeir]

пока жду ответа по первому тикету, как ответят отправлю ещё файлов

[Alexander007]

пока жду ответа по первому тикету, как ответят отправлю ещё файлов

Тикет можно еще отправить как сказал VVYG , отправить в вирусную лабораторию , это процесс ускорение для массового лечение, когда есть троян .

Сообщение было изменено Alexander007: 10 Январь 2024 - 19:00

[Dmitry Shutov]

Сам скрипт вот, а sukibas.exe (AutoIT) 

 

"C:\Users\kapit\AppData\Roaming\ServiceData\Sukibas.jpg" - https://www.virustotal.com/gui/file/b45607fc7941f3e4b12f68607383b03434a6bffd5787529739e15b41322b0f28/detection

 

 

 

<file path="C:\users\kapit\appdata\roaming\servicedata\sukibas.jpg" size="563470" easize="104" links="1" device_type="7" device_characteristics="131104" ctime="07.01.2024 22:03:35.0480" atime="09.01.2024 22:38:29.0709" wtime="07.01.2024 22:03:35.0481">

<attrib archive="true" value="20" security="O:S-1-5-21-2727802355-4278831283-3519307028-1001G:S-1-5-21-2727802355-4278831283-3519307028-1001D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-2727802355-4278831283-3519307028-1001)" />

<hash sha1="89aa99009e1e18a6a1ac2e25d6ae69bc1d88eff0" sha256="b45607fc7941f3e4b12f68607383b03434a6bffd5787529739e15b41322b0f28" />

 

Сэмпл не нашел (( , надеюсь аналитики заберут с VT

 

[Alexander007]

Нашел ПО, похожую на нем если входит по ветке : #11106319 , если что отправил.

Сообщение было изменено Alexander007: 10 Январь 2024 - 20:26

[warkxeir]

Угроза: Trojan.AutoIt.1285
Это в файле, который .jpg

[Alexander007]

Угроза: Trojan.AutoIt.1285
Это в файле, который .jpg

1) Провести полную дезинфекцию вируса с помощью , CurEIT
2) После дезинфекций вируса , прикрепить новый отчет Dr.Web Sysinfo .
3) Выполнить в конце свежую FRST , дополнение , чтобы узнать ли прошло с лечением ( в ЛС ).

Сообщение было изменено Alexander007: 11 Январь 2024 - 15:23

[Ivan Korolev]

>Провести полную дезинфекцию вируса с помощью , CurEIT

 

Какой в этом смысл, если там полноценный продукт стоит?....

[warkxeir]

CurEIT это что?

[Alexander007]

>Провести полную дезинфекцию вируса с помощью , CurEIT

Какой в этом смысл, если там полноценный продукт стоит?....

Ой , не заметил извини за мою допущенную ошибку , променять слово CureIT , на Dr.Web Scanner ( основной продукт ) . Я в слепую не увидел его полноценную версию . Спасибо что сказал мне

CurEIT это что?

Dr.Web CureIT - это утилита и средство лечение , как в полноценном составе продукта Dr.Web Scanner , но имеют ограниченный функционал. Это вспомогательный сканер , когда необходимо уничтожить вирус , например на заблокированном системе например майнер , не дает запустить систему . Эта утилита разработанной специалистами Dr.Web . Dr.Web Rescue Disc входит в состав CureIT .

Сообщение было изменено Alexander007: 11 Январь 2024 - 16:17

[warkxeir]

и в итоге что делать, просто заного сканером полностью проверить или что?

[Alexander007]

и в итоге что делать, просто заного сканером полностью проверить или что?

Сначала , обновить вирусную базу , потом провести полную проверку с помощью Dr.Web Scanner (  полный продукт ), а потом отчет .

 

Должно удалить эту заразу , потом перезагрузись систему и сообщите с результатом.

Сообщение было изменено Alexander007: 11 Январь 2024 - 16:55