Перейти к содержимому


Dmitry Shutov

Дата рег: 14 Сен 2009
Оффлайн Был(а) онлайн: Вчера, 15:54
*****

Сообщения пользователя

В теме:Поймал вирусняк Вэб не выручил. Нужно лечить комп

21 Ноябрь 2019 - 18:31

 

1. Удалите ссылку в ярлыке Firefox - какую ссылку ? где она?

В свойстве ярлыка FF

 

Не, это не ярлык. В темпе сидит малвара и запускает

2019-Nov-21 12:06:20.194201 [ 4484] [INF] [arkdll] [3548]

id: 15516, timestamp: 12:06:20.193, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-21-257086860-606834416-2504153226-1000, cid: 4340/8820:\Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-D5HVG.tmp\Bchichla.tmp
context: start addr: 0x74cb42ed, image: 0x74ca0000:\Device\HarddiskVolume2\Windows\SysWOW64\shlwapi.dll
  created process: \Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-D5HVG.tmp\Bchichla.tmp:4340 => \Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe:7392
  sid: S-1-5-21-257086860-606834416-2504153226-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
  curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "https://thegoodcaster.com/redirect/57a764d042bf8/"
  fileinfo: size: 577568, easize: 0, attr: 0x20, buildtime: 30.10.2019 07:43:48.000, ctime: 01.11.2019 20:05:51.041, atime: 01.11.2019 20:05:51.041, mtime: 01.11.2019 20:05:57.282, descr: Firefox, ver: 70.0.1, company: Mozilla Corporation, oname: firefox.exe
  signer: C=US|ST=California|L=Mountain View|O=Mozilla Corporation|OU=Release Engineering|CN=Mozilla Corporation, timestamp: 30.10.2019 08:19:32.000, thumbprint: 74b2e146a82f2b71f8eb4b13ebbb6f951757d8c2
  hash: dd1cf5447dc85dad1f5a7dd4f2d1c9f22d97a16c status: db_cert_white_list, signed, pe64, db_cert_protected / signed / unknown / unknown
id: 15516 ==> undefined [1], time: 0.863456 ms

2019-Nov-21 12:06:20.196202 [ 4484] [INF] [arkdll] [3548]

id: 15517, timestamp: 12:06:20.196, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-21-257086860-606834416-2504153226-1000, cid: 4436/3020:\Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-NS5Q7.tmp\050lanib3ys.tmp
context: start addr: 0x74cb42ed, image: 0x74ca0000:\Device\HarddiskVolume2\Windows\SysWOW64\shlwapi.dll
  created process: \Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-NS5Q7.tmp\050lanib3ys.tmp:4436 => \Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe:8176
  sid: S-1-5-21-257086860-606834416-2504153226-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
  curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "https://thegoodcaster.com/redirect/57a764d042bf8/"
  fileinfo: size: 577568, easize: 0, attr: 0x20, buildtime: 30.10.2019 07:43:48.000, ctime: 01.11.2019 20:05:51.041, atime: 01.11.2019 20:05:51.041, mtime: 01.11.2019 20:05:57.282, descr: Firefox, ver: 70.0.1, company: Mozilla Corporation, oname: firefox.exe
  signer: C=US|ST=California|L=Mountain View|O=Mozilla Corporation|OU=Release Engineering|CN=Mozilla Corporation, timestamp: 30.10.2019 08:19:32.000, thumbprint: 74b2e146a82f2b71f8eb4b13ebbb6f951757d8c2
  hash: dd1cf5447dc85dad1f5a7dd4f2d1c9f22d97a16c status: db_cert_white_list, signed, pe64, db_cert_protected / signed / unknown / unknown
id: 15517 ==> undefined [1], time: 0.644500 ms

 

 

Какая то adware и ее производные.

 

 

<file path="C:\Users\Andrey\AppData\Local\Temp\is-OTBFS.tmp\Bchichla.exe" size="653142" links="1" ctime="21.11.2019 07:21:47.551" atime="21.11.2019 07:21:47.551" wtime="19.11.2019 16:47:58.000" buildtime="20.06.1992 02:22:17.000">

<attrib archive="true" not_content_indexed="true" value="2020" security="O:BAG:S-1-5-21-257086860-606834416-2504153226-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-257086860-606834416-2504153226-1000)" />
<hash sha1="4f49d0b26ee497d999c77ec638b5cae4be6b110d" sha256="9b4718a7b09de828cfa830b46ba6120146bf516351d3b1bc00a09b8d5cdb72d4" />
<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
<verinfo company="                                                            " descr="Souleym Setup                                               " origname="" version="                    " product_name="Souleym 

 

https://www.virustotal.com/gui/file/9b4718a7b09de828cfa830b46ba6120146bf516351d3b1bc00a09b8d5cdb72d4/detection

https://www.virustotal.com/gui/file/d991833fc8e2a9db57c7388a6f5cf3c77e4603b812a51c9e002dbef9e1a02d8e/detection


В теме:Шифровальщик фото. Можно ли вылечить?

18 Ноябрь 2019 - 22:41

js не ловим (оформил - drweb.com #8971125)

 

Сам ресурс от куда тянет Энкодера - в базе и сам троянец тоже.

 

https://www.virustotal.com/gui/file/6556303d76c57a172c38ce49630acbceb6b5fb9f033a9ff0c3d1ad5668269c32/detection

 

#Shade #TROLDESH


В теме:Запустил подозрительный файл

18 Ноябрь 2019 - 20:49

default_wallet2.dat - Угроза: Trojan.PWS.Siggen2.38823

 

svchust.exe - Угроза: Trojan.PWS.Siggen2.38824


В теме:Запустил подозрительный файл

18 Ноябрь 2019 - 18:35

PREDATOR ----->>>> https://urlscan.io/result/b622858b-0d09-4ff6-a746-25db1fe11fd3#summary

 

https://www.virustotal.com/gui/url/a172eb9a5cfb3ea04e8045c2d3b79c146cffdcb6febf0c9348f3651b4fedb97b/detection


В теме:Запустил подозрительный файл

18 Ноябрь 2019 - 18:21

 

Дропает svchust.exe

 

 

https://app.any.run/tasks/9d00fca5-ec50-4c22-a16a-5696f49b0721- PREDATOR was detected

 

https://www.virustotal.com/gui/file/ef1df48db1b69af8c70251978f3b05917bab1612d3b8ae1d71aa7acb733c61df/detection

 

Оформил 3 сэмпла (.lnk , дроппер и spy