17 ответов в этой теме

[dimanov911]

Добрый день.

Поймал майнера taskhost. Пытался лечить своими силами - проходил утилитой DrWeb CureIT, загружался с флешки и через MSDaRT удалял все относящиеся к вирусу папки из C:\ProgramData.

Но это не помогает, после перезагрузки по прежнему Windows ругается на невозможность загрузить файл C:\ProgramData\RealtekHD\taskhost.exe и C:\ProgramData\RealtekHD\taskhostw.exe

Также при попытке открыть папку C:\ProgramData\ она автоматически закрывается через 1-5 сек. Видимо вирус по прежнему активен.

В приложенных файлах есть отчеты, которые указаны в правилах раздела.

Ссылка на отчет DrWeb-Sysinfo https://disk.yandex.ru/d/BhaFup41ktasXQ

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[dimanov911]

Вот еще логи FRST64 на всякий. Еле запустил ее, также утилита автоматически закрывается буквально через секунду

https://disk.yandex.ru/d/Y8bOkVTTBoBvow

[dimanov911]

лог cureit не прикрепился почему-то в первом сообщении.

Прикрепленные файлы:

•  cureit.log   17,34Мб   1 Скачано раз

[Dmitry Shutov]

C:\programdata\microsoft\drm\dcolgjx15ggw4b3q\checkglobalu.bat - батник который стартует 

 

и тянет вот это 

 

C:\programdata\microsoft\drm\dcolgjx15ggw4b3q\game.exe

https://www.virustotal.com/gui/file/b03ab5749e998025ef313d6c5040df9145bd923a7d9aa0848c76e9972013b206/detection

 

Если можно оба файла в вирлаб

https://vms.drweb.ru/sendvirus/?lng=ru

[Dmitry_rus]

RDP Wrapper (доступ к удаленному раб. столу) сами устанавливали?

[dimanov911]

Благодарю за иинформацию.

Файлы отправил.

С компьютера могу их удалить уже?

RDP Wrapper (доступ к удаленному раб. столу) сами устанавливали?

нет, не ставил

[Alexander007]

Благодарю за иинформацию.
Файлы отправил.
С компьютера могу их удалить уже?

RDP Wrapper (доступ к удаленному раб. столу) сами устанавливали?

нет, не ставил

Укажите пожалуйста тикет номер , для аналитиков . Чтобы его смотрел тикет , а затем вирусный аналитик выдаст вам утилиту лечение ( или же вы его пролечитесь .

Сообщение было изменено Alexander007: 15 Сентябрь 2023 - 11:57

[dimanov911]

а где этот тикет номер найти? Я уже закрыл страничку с отправкой файлов

[Dmitry Shutov]

Благодарю за иинформацию.

Файлы отправил.

С компьютера могу их удалить уже?

RDP Wrapper (доступ к удаленному раб. столу) сами устанавливали?

нет, не ставил

 

 

Dmitry_rus я думаю вам подскажет, а так нужно еще удалить Таски и сами файлы 

 

 

Task: {043443CC-0760-4416-AB61-C73F616CD942} - System32\Tasks\Microsoft\Windows\CheckGlobalU\RecoveryHosts => C:\ProgramData\Microsoft\DRM\DColgJx15gGW4b3q\CheckGlobalU.bat

Task: {403D1CCC-E2ED-4433-8E25-83A06B16B00C} - System32\Tasks\Microsoft\Windows\Wininet\Hor => C:\ProgramData\Microsoft\DRM\DColgJx15gGW4b3q\Game.exe

Сообщение было изменено Dmitry Shutov: 15 Сентябрь 2023 - 12:08

[dimanov911]

Спасибо, сейчас удалю и файлы, и задачи

[Dmitry_rus]

Вдогонку к удалению задач:

https://forum.drweb.com/index.php?showtopic=337142&p=907980

[Dmitry_rus]

См. ЛС

[dimanov911]

Вдогонку к удалению задач:

https://forum.drweb.com/index.php?showtopic=337142&p=907980

 

Спасибо. Там у меня пусто.

[Dmitry Shutov]

В свою очередь выслал в Вирлаб таски, их добавляют с детектом Trojan.Host.

 

drweb.com #10971001

drweb.com #10971000

 

 

Когда вы отправляли семплы на анализ в Вирлаб, вам тоже на почту должны были прийти вот такие тикеты что я указал выше, если не трудно...можно их тут тоже указать.

Сообщение было изменено Dmitry Shutov: 15 Сентябрь 2023 - 12:49

[dimanov911]

Когда вы отправляли семплы на анализ в Вирлаб, вам тоже на почту должны были прийти вот такие тикеты что я указал выше, если не трудно...можно их тут тоже указать.

на почту что-то ничего такого не пришло. В спаме тоже нет.

Сообщение было изменено dimanov911: 15 Сентябрь 2023 - 12:55

[Alexander007]

Task: {043443CC-0760-4416-AB61-C73F616CD942} - System32\Tasks\Microsoft\Windows\CheckGlobalU\RecoveryHosts => C:\ProgramData\Microsoft\DRM\DColgJx15gGW4b3q\CheckGlobalU.bat
Task: {403D1CCC-E2ED-4433-8E25-83A06B16B00C} - System32\Tasks\Microsoft\Windows\Wininet\Hor => C:\ProgramData\Microsoft\DRM\DColgJx15gGW4b3q\Game.exe

Дмитрий привет , это файлы с номер тикета , совсем другие ? Или он тот самый по файлу - который вы показал список ?
По пути каталоги , вы уже нашли или пользователь должен отправить вручную , которая не в списке ?

В свою очередь выслал в Вирлаб таски, их добавляют с детектом Trojan.Host.[/size]

drweb.com #10971001
drweb.com #10971000

Сообщение было изменено Alexander007: 15 Сентябрь 2023 - 13:10

[dimanov911]

Огромное спасибо 

Dmitry_rus

 

После отработки скрипта, который он прислал в ЛС, все стало работать в штатном режиме. Вирус удалили.