Наш друг (сэмпл) - дропает файлик (тоже не маленький)
Мы его ловим - Trojan.Siggen18.28728 (CoinMiner)
Так как у автора DrWeb не установлен - увы и ах, он тоже там живет ((
file path="C:\ProgramData\RealtekHD\taskhost.exe"
attrib hidden="true"
45 ответов в этой теме
#22
VVS
-
- Moderators
- 19 387 Сообщений:
The Master
Отправлено 28 Август 2022 - 21:45
На форуме малварь публиковать нельзя.
Тому, кому нужно, ссылку отправил.
Модератор.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#23
Smart_D15
-
- Posters
- 604 Сообщений:
Advanced Member
Отправлено 28 Август 2022 - 21:49
ссылку отправил.
В "MS" можете отправить?
#24
VVS
-
- Moderators
- 19 387 Сообщений:
The Master
Отправлено 28 Август 2022 - 21:54
Это куда?В "MS" можете отправить?ссылку отправил.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#25
Smart_D15
-
- Posters
- 604 Сообщений:
Advanced Member
Отправлено 28 Август 2022 - 21:58
Это куда?
Имелось в виду в Microsoft, для Windows Defender. Но, наверное, смысла нет, т. к. файл под паролем.
#26
Dmitry Shutov
-
- Virus Hunters
- 1 686 Сообщений:
Poster
Отправлено 28 Август 2022 - 22:11
скачал Unlocker и даже с ним не дает зайти в эти папки и забрать файл
(Пробовал через безопасный режим и в таком случае он дает заходить на сайт dr web, но к папкам доступ не открывается )
Пока что попытаюсь что-то сделать с этим SFX под паролем (install.exe), а вы попробуйте собрать дамп потенциально вредоносных процессов (taskhost.exe, audiodg.exe), утилитой ProcDump (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) и пришлите сюда дампы.
Через cmd:
procdump.exe -ma taskhost.exe
procdump.exe -ma audiodg.exe
Я открыл )) но там еще квест...((
1.exe и 2 (это rar и он тоже под паролем)
Прикрепленные файлы:
-
3.jpg 27,81К
1 Скачано раз
#27
sirvelat
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 29 Август 2022 - 06:48
скачал Unlocker и даже с ним не дает зайти в эти папки и забрать файл
(Пробовал через безопасный режим и в таком случае он дает заходить на сайт dr web, но к папкам доступ не открывается )
Пока что попытаюсь что-то сделать с этим SFX под паролем (install.exe), а вы попробуйте собрать дамп потенциально вредоносных процессов (taskhost.exe, audiodg.exe), утилитой ProcDump (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) и пришлите сюда дампы.
Через cmd:
procdump.exe -ma taskhost.exe
procdump.exe -ma audiodg.exe
закрывает командную строку
#28
pr4da
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 29 Август 2022 - 11:16
скачал Unlocker и даже с ним не дает зайти в эти папки и забрать файл
(Пробовал через безопасный режим и в таком случае он дает заходить на сайт dr web, но к папкам доступ не открывается )
Пока что попытаюсь что-то сделать с этим SFX под паролем (install.exe), а вы попробуйте собрать дамп потенциально вредоносных процессов (taskhost.exe, audiodg.exe), утилитой ProcDump (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) и пришлите сюда дампы.
Через cmd:
procdump.exe -ma taskhost.exe
procdump.exe -ma audiodg.exe
закрывает командную строку
Сразу, или только после ввода команд?
Assembly programmer (x86, x86-64)
Malware researcher
#29
VVS
-
- Moderators
- 19 387 Сообщений:
The Master
Отправлено 29 Август 2022 - 11:20
pr4da, если Вас интересует дамп, то может попытаться снять его через процэксп?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#30
pr4da
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 29 Август 2022 - 11:24
pr4da, если Вас интересует дамп, то может попытаться снять его через процэксп?
Да любыми способами. Можно и через него.
sirvelat, попробуйте переименовать procdump.exe в что-то другое и снова попробуйте сделать дамп. Если не получится, попробуйте этой утилитой -- https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer (ПКМ по процессу и "Create dump"->"Full dump").
Сообщение было изменено pr4da: 29 Август 2022 - 11:27
Assembly programmer (x86, x86-64)
Malware researcher
#31
Alexander007
-
- Posters
- 1 018 Сообщений:
Poster
Отправлено 29 Август 2022 - 13:57
Хорошая новость , мне удалось найти taskhost.exe -номер тикеты #10507595 , вирлаб отправил .
Как он подписан на Вирустотал -audiodg.exe ?
Как он подписан на Вирустотал -audiodg.exe ?
Сообщение было изменено Alexander007: 29 Август 2022 - 14:02
Global Malware Hunting.
#32
sirvelat
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 29 Август 2022 - 14:57
Сразу, или только после ввода команд?закрывает командную строкуПока что попытаюсь что-то сделать с этим SFX под паролем (install.exe), а вы попробуйте собрать дамп потенциально вредоносных процессов (taskhost.exe, audiodg.exe), утилитой ProcDump (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) и пришлите сюда дампы.
скачал Unlocker и даже с ним не дает зайти в эти папки и забрать файл
(Пробовал через безопасный режим и в таком случае он дает заходить на сайт dr web, но к папкам доступ не открывается )
Через cmd:
procdump.exe -ma taskhost.exe
procdump.exe -ma audiodg.exe
Сразу
#33
pr4da
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 29 Август 2022 - 16:59
Хорошая новость , мне удалось найти taskhost.exe -номер тикеты #10507595 , вирлаб отправил .
Как он подписан на Вирустотал -audiodg.exe ?
Разобрал, всё что он делает это ищет процессы антивирусов и процесс taskhostw.exe, если не находит -- запускает его (файл уже должен быть в папке). Сам он дропается в ProgramData\RealtekHD под именем taskhost.exe. Ну и ещё проверяет автозапуск и скрывает файлик hosts.
Неплохо бы ещё остальные получить, они там наверное все друг друга прикрывают и обратно подгружают в систему.
Вообще, если процессы не защищены никак, я бы скриптом сразу убил их всех, потом уже почистить систему. Ну может утилита для этого есть какая? Я тут новичок на форуме, не знаю))
Сообщение было изменено pr4da: 29 Август 2022 - 17:03
Assembly programmer (x86, x86-64)
Malware researcher
#34
sirvelat
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 29 Август 2022 - 18:40
pr4da, если Вас интересует дамп, то может попытаться снять его через процэксп?
Да любыми способами. Можно и через него.
sirvelat, попробуйте переименовать procdump.exe в что-то другое и снова попробуйте сделать дамп. Если не получится, попробуйте этой утилитой -- https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer (ПКМ по процессу и "Create dump"->"Full dump").
вариант с переименовать не получился, но proces exp помог дампы прилагаю
https://disk.yandex.ru/d/t8s4JRwQ7I02CQ
#35
Ivan Korolev
-
- Virus Analysts
-
- 1 369 Сообщений:
Poster
#36
sirvelat
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 29 Август 2022 - 19:42
Утилита для лечения: https://drw.sh/npdacx
отчет: https://disk.yandex.ru/d/IgVhTKYT9MR6UQ
Утилита не нашла вирусов (проблема все так же осталась)
#37
Ivan Korolev
-
- Virus Analysts
-
- 1 369 Сообщений:
Poster
Отправлено 29 Август 2022 - 19:57
>Утилита не нашла вирусов (проблема все так же осталась)
Нашла она то, что искала. Браузеры закрываются или только ав сайты не открываются?
\Device\HarddiskVolume2\ProgramData\RealtekHD\taskhost.exe - deleted
\Device\HarddiskVolume2\ProgramData\RealtekHD\taskhostw.exe - deleted
\Device\HarddiskVolume2\ProgramData\WindowsTask\audiodg.exe - deleted
#38
Ivan Korolev
-
- Virus Analysts
-
- 1 369 Сообщений:
Poster
#39
sirvelat
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 29 Август 2022 - 20:11
Я цитировал программу>Утилита не нашла вирусов (проблема все так же осталась)
Нашла она то, что искала. Браузеры закрываются или только ав сайты не открываются?
\Device\HarddiskVolume2\ProgramData\RealtekHD\taskhost.exe - deleted
\Device\HarddiskVolume2\ProgramData\RealtekHD\taskhostw.exe - deleted
\Device\HarddiskVolume2\ProgramData\WindowsTask\audiodg.exe - deleted
Сейчас заходит на сайты ав
Проблема с подменой адресов криптокошельков тоже решилась
#40
pr4da
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 29 Август 2022 - 20:43
Может быть оффтоп, но из дампов восстановил PE и вытянул исходные коды taskhost, taskhostw и audiodg (обфусцирован).
Скидывать надо куда-то, или без разницы?
(В сумме больше 20 000 строк кода, в открытом доступе нет. Интересная вещь)
https://i.imgur.com/jANiMYU.png
Сообщение было изменено pr4da: 29 Август 2022 - 20:45
Assembly programmer (x86, x86-64)
Malware researcher
Also tagged with one or more of these keywords: вирус
 |
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Прошу помощи в излечении системы!Автор: OrgFrize , 02 апр 2024  Trojan, Вирус, Закрытие окон
|
|
|
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
NET:MALWARE.URL не могу удалить вирусАвтор: ArtemL , 20 фев 2024 вирус, троян
|
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Помогите с Trojan.Siggen22Автор: Mihaillapin , 02 фев 2024 вирус
|
|
|
||
|
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Нужна помощь с хитрым майнеромАвтор: Reo194 , 05 дек 2023 Майнер, вирус
|
|
|
|
|
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
доктор веб не лечит мой компАвтор: vomnedragi , 26 сен 2023 вирус, повершелл, povershell и еще 1…
|
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
