Перейти к содержимому


Фото
- - - - -

Вирус, проникающий в Windows Defender (MsMpEng.exe)

Windows Defender MsMpEng.exe Ramnit RAM-only

  • Закрыто Тема закрыта
6 ответов в этой теме

#1 blackwater

blackwater

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 19 Июль 2021 - 03:04

Здравствуйте, дорогие специалисты!

Прошу помочь найти и обезвредить вирус, который уже долгие годы терроризирует все мои устройства на Windows.
Первые признаки начали проявляться много лет назад, ещё на Windows 7 - в невозможности остановки и безопасного извлечения внешних носителей информации.

Dr.Web CureIt не находил никаких проблем, как не находит и сейчас.

Проблема решалась установкой утилит, принудительно останавливающих устройства.
Процессами, препятствующими остановке дисков были MsMpEng.exe и System?. Если необходимо, могу протестировать ещё раз.

В какой-то момент при подключении заражённых жёстких дисков, уже на Windows 10, Windows Defender начал обнаруживать вирус Ramnit.B.

В момент написания данной статьи добавился вирус Wacapew.C!ml, обнаруженный защитником, а также замечено, что процесс MsMpEng.exe, препятствующий извлечению, каждый раз обращается к разным исполняемым файлам на зараженном диске, преимущественно неподписанным.

 

Помимо этого, постоянно были проблемы с производительностью системы, но т.к. все зараженные устройства были со слабым или устаревшим железом, казалось, что это нормально.

Сейчас уже появились проблемы с загруженностью памяти процессом MsMpEng.exe у двух новых ноутбуков, один из которых ввиду малого количества оперативной памяти становится непригодным к работе. При этом, на нём ещё возможно принудительное завершение процесса через диспетчер задач и временное решение проблемы. А на другом ноутбуке при попытке завершить процесс появляется сообщение об отказе в доступе, даже после отключении задачи в планировщике и последующей перезагрузке. Также и при отключении мониторинга защитника через параметры и редактор реестра потребление памяти не меняется, что навевает на мысли о заведомо фальшивом процессе.
Потребляет около 150Мб памяти, если не работают никакие программы, что похоже на фоновую индексацию.

Все угрозы, обнаруженные Windows Defender при последней проверке зараженного диска: Virus:VBS/Ramnit.B, PUA:Win64/NiceHashMiner, Virus:Win32/Ramnit!remnants, Virus:Win32/Ramnit.B и A (очень много раз, причем в самых разных типах файлов, от html до dll и exe), Trojan:Win32/Wacatac.B!ml.

 

Собрать логи по инструкции из темы "Правила раздела Помощь по лечению" не смог, т.к. forum_drweb.cmd по какой-то причине не может найти переименованный в scanner.exe CureIt, и ссылка на Хайджек недействительна. Поэтому я скачал его с github и собрал логи вручную, правда не уверен, что корректно. В остальном (dwsysinfo и cureit) всё нормально.
Прикрепляю архив с логами к сообщению и оставляю ссылку ниже:

https://dropmefiles.com/EhJEJ



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 085 Сообщений:

Отправлено 19 Июль 2021 - 03:04

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 19 Июль 2021 - 15:40

Соберите отчет этой утилитой: https://drw.sh/supwze


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 blackwater

blackwater

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 20 Июль 2021 - 20:44

Готово!
https://dropmefiles.com/6CRdX

Соберите отчет этой утилитой: https://drw.sh/supwze

 


Сообщение было изменено RomaNNN: 20 Июль 2021 - 20:53
Убрал пароль


#5 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 20 Июль 2021 - 22:27

Детекты defender-а по активным в системе объектам затрагивают лишь кряки, активаторы, utorrent, CheatEngine, в общем все то что осознанно запускается в руками. Детекты Ramit-а и бекдоров есть в "_E:\Notebook\All\*", но это неактивные тушки, похоже на скопированные с другой системы файлы. Ramnit это вообще файловый вирус и если бы он активничал в системе, были бы сотни детектов.

 

Собственно, MsMpEng.exe это процесс дефендера, возможно его скан по расписанию и будит диски. Попробуйте поиграться с его настройками сканирования по расписанию.


Сообщение было изменено RomaNNN: 20 Июль 2021 - 22:29

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#6 blackwater

blackwater

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 22 Июль 2021 - 14:17

Будит - то есть мешает извлечению? А разве он не должен останавливаться при попытке извлечения?
И больше никакой подозрительной активности со стороны этого процесса замечено не было?

Детекты defender-а по активным в системе объектам затрагивают лишь кряки, активаторы, utorrent, CheatEngine, в общем все то что осознанно запускается в руками. Детекты Ramit-а и бекдоров есть в "_E:\Notebook\All\*", но это неактивные тушки, похоже на скопированные с другой системы файлы. Ramnit это вообще файловый вирус и если бы он активничал в системе, были бы сотни детектов.

 

Собственно, MsMpEng.exe это процесс дефендера, возможно его скан по расписанию и будит диски. Попробуйте поиграться с его настройками сканирования по расписанию.



#7 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 23 Июль 2021 - 18:28

MsMpEng.exe - это и есть встроенный в винду антивирус Дефендер. Он и должен мешать извлечению, если находит вирусы. И останавливаться он не должен никогда.





Also tagged with one or more of these keywords: Windows Defender, MsMpEng.exe, Ramnit, RAM-only

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых