24 ответов в этой теме

[Markst]

создаётся файл btrwq.exe и ещё какой-то файл в папке appdata-local-temp,после удаления появляется снова,на VT 32 декта,доктор веб не помечает его как вирус,прошу помочь удалить эту дрянь
так же обнаружился вирус powershell.exe удаление не сработало
файлы : https://cloud.mail.ru/public/KcZs/nHbUKotH9
отчёты : https://cloud.mail.ru/home/logi

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Dmitry_rus]

Подозрительные файлы - в вирлаб. https://vms.drweb.ru/sendvirus/

Сообщение было изменено Dmitry_rus: 10 Декабрь 2023 - 23:55

[Dmitry Shutov]

Если что...залил - drweb.com #11071602

 

https://www.virustotal.com/gui/file/8d9581375f70a7a8fdbae0c38514f9c8a569dd9984c43cc554833e02bef4633b/detection

[Dmitry Shutov]

Угроза: Trojan.StarterNET.22 - Скоро будет в базе

[Markst]

Файлик удалился,но появился заново
https://cloud.mail.ru/public/eLG1/qAQfEUJ7D

[Vvvyg]

Файлик удалился,но появился заново

Проверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.

[Markst]

 

Файлик удалился,но появился заново

Проверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.

 

Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097

[Alexander007]

 

 

Файлик удалился,но появился заново

Проверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.

 

Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097

 

Отправьте vms.drweb.ru и укажите номер тикет ...  

[Markst]

 

 

 

Файлик удалился,но появился заново

Проверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.

 

Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097

 

Отправьте vms.drweb.ru и укажите номер тикет ...  

 

[drweb.com #11073405] Trojan.MulDrop24.33176

[Alexander007]

 

 

 

 

Файлик удалился,но появился заново

Проверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.

 

Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097

 

Отправьте vms.drweb.ru и укажите номер тикет ...  

 

[drweb.com #11073405] Trojan.MulDrop24.33176

 

Отлично , Должно прийти детект, через 2-3 часа , то выполните новую свежую Dr.Web Sysinfo .  Может быть еще симптомы остались где то в системе..

 

Что пишет система Вирлаб?

Сообщение было изменено Alexander007: 12 Декабрь 2023 - 22:24

[Vvvyg]

[drweb.com #11073405] Trojan.MulDrop24.33176

И новые логи Farbar Recovery Scan Tool, пожалуйста.

[Markst]

 

[drweb.com #11073405] Trojan.MulDrop24.33176

И новые логи Farbar Recovery Scan Tool, пожалуйста.

 

https://cloud.mail.ru/public/2HMn/VHEBCVbWr

[Markst]

 

 

 

 

 

Файлик удалился,но появился заново

Проверьте файл C:\Users\TechP\AppData\Roaming\Google\Chrome\CacheSncHandler\cachesync.exe на virustotal.com и дайте ссылку. Его же в вирлаб.

 

Отправил, файл на VT : https://www.virustotal.com/gui/file/0b934f98bb435603ab43d75b40204a9ca44dbd4df92db076e98193bd7f741097

 

Отправьте vms.drweb.ru и укажите номер тикет ...  

 

[drweb.com #11073405] Trojan.MulDrop24.33176

 

Отлично , Должно прийти детект, через 2-3 часа , то выполните новую свежую Dr.Web Sysinfo .  Может быть еще симптомы остались где то в системе..

 

Что пишет система Вирлаб?

 

Эти файлы появляются заново к сожалению,так же появляется заново powershell exe (его по много раз заново блокирует антивирус)
https://cloud.mail.ru/public/2HMn/VHEBCVbWr

Угроза: Trojan.MulDrop24.33176
Original file name: cachesync.exe
File size: 24215552
File time: 2023-12-12 20:30:31
File mime type: application/x-ms-dos-executable
MD5: 35b2542756073159682457ab18e0e919
SHA1: 5cda66cd0fd79f808267e31a0da2d38ae6e89099

Сообщение было изменено Markst: 13 Декабрь 2023 - 20:13

[Alexander007]

Тогда Dr.Web антивирус реагирует это хорошо , а появляется в новь , возможно вирус прописан powershell .. Собрали логи , подождите Vvvyg или аналитик найдет ,  некоторые драйверы могут быть легитимные  и не заметно для антивируса , т.е вирус специально создан для обхода. Пожалуйста ожидайте ответа и терпение...

Сообщение было изменено Alexander007: 13 Декабрь 2023 - 20:31

[Dolmatov]

Подозрительная задача "CommView for WiFi Update", не похожая на часть игры:

D:\privet sosed\sss\Updater.exe

Имеет смысл выключить задачу, отправить файл на анализ. После перезагрузки ПК посмотреть за наличием симптомов.

Сообщение было изменено Dolmatov: 13 Декабрь 2023 - 21:08

[Markst]

Подозрительная задача "CommView for WiFi Update", не похожая на часть игры:

D:\privet sosed\sss\Updater.exe

Имеет смысл выключить задачу, отправить файл на анализ. После перезагрузки ПК посмотреть за наличием симптомов.

я к сожалению ту папку удалил давно,в теории то не должен быть вирус,это программы для пентеста wifi,ну может я чего-то не знаю

[Markst]

Так-с,файл btwrq.exe исчез и powershell больше не дедектит,вирусы умерли?

Сообщение было изменено Markst: 13 Декабрь 2023 - 22:08

[Vvvyg]

возможно вирус прописан powershell

В журнале powershell видно, что он запускается и прописывает в исключения защитника корень C:, профиль пользователя и ProgramFiles:

HostApplication=powershell set-mppreference -exclusionpath C:\
HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force

Вот кто его запускает - это очень интересно.

Подозрительная задача "CommView for WiFi Update"

Отсутствует файл Updater.exe, не должна быть опасной.

[Vvvyg]

Так-с,файл btwrq.exe исчез и powershell больше не дедектит,вирусы умерли?

FRST запускали после лечения? В логах cachesync.exe был.