Перейти к содержимому


Фото
* * - - - 1 Голосов

Майнер

Tool.BtcMine.389

  • Please log in to reply
115 ответов в этой теме

#1 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 25 Июнь 2017 - 13:32

Добрый день

 

Появился процесс svchost.exe который грузит половину проца, по началу он убивался в диспетчере задач, а с недавнего времени это стало приводить к перезагрузке ОС. CureIt его находит только как файл на диске, а что он висит в памяти не видит и определяет как Tool.BtcMine.389, но запускается он не как написано тут https://vms.drweb.ru/virus/?i=4195547. Есть подозрение на уязвимость в ОС, обновления все установлены.

 

Логи с  DrWeb SysInfo --------- https://yadi.sk/d/llE5wSxk3KRtoR

 

Заранее благодарю.

Прикрепленные файлы:

  • Прикрепленный файл  hijackthis.log   8,34К   13 Скачано раз
  • Прикрепленный файл  1.ZIP   1,74Мб   0 Скачано раз


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 383 Сообщений:

Отправлено 25 Июнь 2017 - 13:32

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Dmitry_rus

Dmitry_rus

    Massive Poster

  • Helpers
  • 2 413 Сообщений:

Отправлено 25 Июнь 2017 - 19:41

Вот это что такое? Фиксить в HJ.

D:\Users\Admin\AppData\Local\Temp\2\94D05450-3DC58011-EF26F535-A3F38694\3nDMdQWJeBXWD86.exe
D:\Users\Admin\AppData\Local\Temp\2\94D05450-3DC58011-EF26F535-A3F38694\uf8fEZ38OTbM78F.exe

И вообще рекомендую темпы (юзерские и системные) почистить.



#4 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 020 Сообщений:

Отправлено 25 Июнь 2017 - 20:01

Вот это что такое? Фиксить в HJ.

D:\Users\Admin\AppData\Local\Temp\2\94D05450-3DC58011-EF26F535-A3F38694\3nDMdQWJeBXWD86.exe
D:\Users\Admin\AppData\Local\Temp\2\94D05450-3DC58011-EF26F535-A3F38694\uf8fEZ38OTbM78F.exe

И вообще рекомендую темпы (юзерские и системные) почистить.

 

Это Cureit! 

 

 

<File Path="D:\Users\Admin\AppData\Local\Temp\2\94D05450-3DC58011-EF26F535-A3F38694\3nDMdQWJeBXWD86.exe" Size="2369688" CreationTime="25.06.2017 08:21:13" LastAccessTime="25.06.2017 08:21:13" LastWriteTime="25.06.2017 08:21:13">

<Attributes Archive="true" Value="00000020" />
<Hash MD5="32C16B0F3DE31542E4230E449324CD19" SHA256="A5DB0B837E8804AD06751BDC123CEECDF0EE2B37B67140CD531E4B2C79DF6608" SHA1="27FBC379698BFCF327D9E7539D2B97017D5AFF3B" />
<ArkStatus File="signed_drweb, pe32 (0x101000)" Cert="signed_drweb (0x4)" TStorm="unknown (0xFFFFFFFF)" />
 
<File Path="D:\Users\Admin\AppData\Local\Temp\2\94D05450-3DC58011-EF26F535-A3F38694\uf8fEZ38OTbM78F.exe" Size="7495400" CreationTime="25.06.2017 08:21:12" LastAccessTime="25.06.2017 08:21:12" LastWriteTime="25.06.2017 08:21:12">
<Attributes Archive="true" Value="00000020" />
<Hash MD5="680791784C9C3C0B446E7010B803BB03" SHA256="BD48E59D00214DA2EDF73BAA449E969CFB9AEFED37F30A39AEA246A0127A479E" SHA1="CFA24B55DF64F68E196118BEE55816A5455B3665" />
<ArkStatus File="signed_drweb, pe32 (0x101000)" Cert="signed_drweb (0x4)" TStorm="unknown (0xFFFFFFFF)" />


#5 Dmitry_rus

Dmitry_rus

    Massive Poster

  • Helpers
  • 2 413 Сообщений:

Отправлено 25 Июнь 2017 - 20:05

Dmitry Shutov, тоже была такая идея. Хм, а мы уже начали в темпах подкаталоги создавать и туда писаться? Раньше вроде не...


Сообщение было изменено Dmitry_rus: 25 Июнь 2017 - 20:06


#6 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 020 Сообщений:

Отправлено 25 Июнь 2017 - 20:08

А штатный Антивирус Node32 как себя ведет? Сэмпл известен .....у вас вкл обнаружение потенциально опасных программ.

 

https://virustotalcloud.appspot.com/nui/index.html#/file/eb1b2723c47f487437bf10ee3fdedc779d3a9c17e9283fad28d0a644773fc082/detection



#7 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 020 Сообщений:

Отправлено 25 Июнь 2017 - 20:14

Dmitry Shutov, тоже была такая идея. Хм, а мы уже начали в темпах подкаталоги создавать и туда писаться? Раньше вроде не...

 

Не могу ответить на этот вопрос (( ...разработчики скажут, но из лога видно это мы (Cureit).



#8 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 26 Июнь 2017 - 05:43

А штатный Антивирус Node32 как себя ведет? Сэмпл известен .....у вас вкл обнаружение потенциально опасных программ.

 

https://virustotalcloud.appspot.com/nui/index.html#/file/eb1b2723c47f487437bf10ee3fdedc779d3a9c17e9283fad28d0a644773fc082/detection

Обнаружение включено, антивирус ничего не видит, и как выяснилось по причине что все диски были добавлены в исключение (скрины в приложении), после удаления исключений файл svchost.exe видится и удаляется. Но остается открытый вопрос от куда это лезет ???

Прикрепленные файлы:

  • Прикрепленный файл  1.jpg   121,18К   0 Скачано раз
  • Прикрепленный файл  2.jpg   120,61К   0 Скачано раз


#9 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 501 Сообщений:

Отправлено 26 Июнь 2017 - 09:14

А патч из MS17-010 точно стоит? Если память не изменяет, этот майнер ставится дропером, который через эксплойт самбы прилетает. 


Сообщение было изменено Ivan Korolev: 26 Июнь 2017 - 09:34


#10 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 27 Июнь 2017 - 16:31

А патч из MS17-010 точно стоит? Если память не изменяет, этот майнер ставится дропером, который через эксплойт самбы прилетает. 

Патча и в правду не было поставил патч, все почистил, майнер пропал но сегодня опять появился.....



#11 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 501 Сообщений:

Отправлено 28 Июнь 2017 - 15:23

 

А патч из MS17-010 точно стоит? Если память не изменяет, этот майнер ставится дропером, который через эксплойт самбы прилетает. 

Патча и в правду не было поставил патч, все почистил, майнер пропал но сегодня опять появился.....

 

Тогда предлагаю по новой собрать все логи по правилам + autoruns от Руссиновича, будем искать чего у вас еще осталось.


Сообщение было изменено Ivan Korolev: 28 Июнь 2017 - 17:10


#12 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 29 Июнь 2017 - 05:40

 

 

А патч из MS17-010 точно стоит? Если память не изменяет, этот майнер ставится дропером, который через эксплойт самбы прилетает. 

Патча и в правду не было поставил патч, все почистил, майнер пропал но сегодня опять появился.....

 

Тогда предлагаю по новой собрать все логи по правилам + autoruns от Руссиновича, будем искать чего у вас еще осталось.

 

Ссылка с логами https://yadi.sk/d/sWK5D28-3KakU7



#13 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 020 Сообщений:

Отправлено 29 Июнь 2017 - 07:20

Path="\device\harddiskvolume2\users\administrator\appdata\roaming\drpsu\drvupdater.exe   - https://drw.sh/jkhslk  

 

Это ваше? 

 

 

https://www.hybrid-analysis.com/sample/574d0ca9cda56cd8dd6398baf3e1cdcf56e9ca4f71d85d9155fac4325444ea25?environmentId=100

 

 

 

<Signature Subject="C=RU|ST=Moscow|L=Moscow|O=Kuzyakov Artur Vyacheslavovich IP|CN=Kuzyakov Artur Vyacheslavovich IP" Issuer="C=GB|ST=Greater Manchester|L=Salford|O=COMODO CA Limited|CN=COMODO Code Signing CA 2" Thumbprint="f19e8477fba1f3dac2752e511b3ec1d506d74c1f" SerialNumber="8ed5ee3d985b31936da24e4a4cc34419" NotBeforeTime="28.02.2012 00:00:00" NotAfterTime="27.02.2015 23:59:59" />

<Signature Subject="C=GB|ST=Greater Manchester|L=Salford|O=COMODO CA Limited|CN=COMODO Code Signing CA 2" Issuer="C=US|ST=UT|L=Salt Lake City|O=The USERTRUST Network|OU=http://www.usertrust.com|CN=UTN-USERFirst-

 

Цифровая подпись COMODO  (((



#14 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 020 Сообщений:

Отправлено 29 Июнь 2017 - 07:28

И можно проверить на VT C:\conslocaluserdata\svchost.exe

 

По логу вроде ловит.....а по хешем на VT нет.



#15 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 29 Июнь 2017 - 07:48

И можно проверить на VT C:\conslocaluserdata\svchost.exe

 

По логу вроде ловит.....а по хешем на VT нет.

Проверил C:\conslocaluserdata\svchost.exe ---- https://virustotalcloud.appspot.com/nui/index.html#/file/d08f25afb9d8f1ef035b660708c3f79ffad2f3d19539122c50b3007fcb3ebf74/detection

 

Что значит "Цифровая подпись COMODO  (((" ??



#16 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 020 Сообщений:

Отправлено 29 Июнь 2017 - 08:26

 

И можно проверить на VT C:\conslocaluserdata\svchost.exe

 

По логу вроде ловит.....а по хешем на VT нет.

Проверил C:\conslocaluserdata\svchost.exe ---- https://virustotalcloud.appspot.com/nui/index.html#/file/d08f25afb9d8f1ef035b660708c3f79ffad2f3d19539122c50b3007fcb3ebf74/detection

 

Что значит "Цифровая подпись COMODO  (((" ??

 

 

Да файл не понятный.....он явно не от продуктов компании COMODO. 

 

Он Вам знаком (этот файл)?...может это какие то обновления....

 

Это какой типа....DriverPack - hххps://drp.su 

 

https://virustotalcloud.appspot.com/nui/index.html#/file/90146839a1e0282f30902eda98062c090b4452f337f80477a1d8e59fb58b6a39/detection - инстоляшка от него


Сообщение было изменено Dmitry Shutov: 29 Июнь 2017 - 08:32


#17 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 501 Сообщений:

Отправлено 29 Июнь 2017 - 10:33

Пришлите "%windows%\system32\rasauto.dll" в vms.drweb.com/sendvirus/ категория подозрительный файл. Как получите номер тикета, напишите его здесь

 

"c:\windows\system32\gathernetworkinfo.vbs" - туда же, если не ваш.

 

В "\Device\HarddiskVolume2\ConsLocalUserData\" кроме svchost.exe есть что-то?


Сообщение было изменено Ivan Korolev: 29 Июнь 2017 - 10:37


#18 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 29 Июнь 2017 - 10:58

Пришлите "%windows%\system32\rasauto.dll" в vms.drweb.com/sendvirus/ категория подозрительный файл. Как получите номер тикета, напишите его здесь

 

"c:\windows\system32\gathernetworkinfo.vbs" - туда же, если не ваш.

 

В "\Device\HarddiskVolume2\ConsLocalUserData\" кроме svchost.exe есть что-то?

"номер тикета" ? это номер идентификатора? 

если да то то это  #7711687 и #7711690

 

в ConsLocalUserData так же находятся файлы с консультанта, но не только они появляются вместе с майнером (во вложении)



#19 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 29 Июнь 2017 - 11:16

 

Пришлите "%windows%\system32\rasauto.dll" в vms.drweb.com/sendvirus/ категория подозрительный файл. Как получите номер тикета, напишите его здесь

 

"c:\windows\system32\gathernetworkinfo.vbs" - туда же, если не ваш.

 

В "\Device\HarddiskVolume2\ConsLocalUserData\" кроме svchost.exe есть что-то?

"номер тикета" ? это номер идентификатора? 

если да то то это  #7711687 и #7711690

 

в ConsLocalUserData так же находятся файлы с консультанта, но не только они появляются вместе с майнером (во вложении)

 

Чего то не нашел как отредактировать сообщение, вложение будет тогда в этом посте 

Прикрепленные файлы:

  • Прикрепленный файл  mainer.jpg   72,88К   0 Скачано раз


#20 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 29 Июнь 2017 - 11:25

 

 

Пришлите "%windows%\system32\rasauto.dll" в vms.drweb.com/sendvirus/ категория подозрительный файл. Как получите номер тикета, напишите его здесь

 

"c:\windows\system32\gathernetworkinfo.vbs" - туда же, если не ваш.

 

В "\Device\HarddiskVolume2\ConsLocalUserData\" кроме svchost.exe есть что-то?

"номер тикета" ? это номер идентификатора? 

если да то то это  #7711687 и #7711690

 

в ConsLocalUserData так же находятся файлы с консультанта, но не только они появляются вместе с майнером (во вложении)

 

Чего то не нашел как отредактировать сообщение, вложение будет тогда в этом посте 

 

По файлу "%windows%\system32\rasauto.dll" пришло что это Угроза: Tool.BtcMine.389

А по "c:\windows\system32\gathernetworkinfo.vbs что -- Присланный Вами файл находится в базе доверенных (чистых) файлов Dr.Web и не представляет угрозы.




Читают тему: 1

1 пользователей, 0 гостей, 0 скрытых