Перейти к содержимому


Фото
- - - - -

Прошу помощи в излечении системы!

Trojan Вирус Закрытие окон

  • Закрыто Тема закрыта
47 ответов в этой теме

#1 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 02 Апрель 2024 - 12:42

Здравствуйте! Пишу Вам с надеждой в сердце.  :(

Краткая история проблемы. В последнее время стал замечать, что при нагрузке компьютера, в нём что-то иногда щёлкает, при этом запущенная программа подвисает. Решил проверить жесткие диски викторией, которая показала, что диску скоро придёт конец. Приобрёл самсунговский ссд диск, профильной программой перенёс систему на него, однако из-за этого почему-то слетела лицензия виндовс. По совету поддержки своего оператора сети, попробовал обновить лицензию при помощи KMS (сопутствующий ключ почему-то не подошел). В процессе восстановления заметил, что на рабочем столе пропали часы (гаджет рабочего стола win7). Позже заметил, что нагрузка на процессор и его температура возросли. Помудохавшись над поиском решения возникшей проблемы, решил прогнать систему через dr.web cureit (благо удалось скачать). Что он выявил, видно на скрине ниже. Проделав несколько проверок в обычном режиме, так и в безопасном, даже при информировании об обезвреживании всех уроз, проблема не была устранена.
Основные симптомы: гаджеты рабочего стола при попытке открыть - сразу закрываются; При попытке зайти в папку Program Data или открыть файл hosts, - сразу закрываются; При попытке зайти на сайт, где упоминаются любые проги, похожие на антивирус - браузер (любой) сразу закрываются. Диспетчер задач - закрывается через минуту-две. Альтернативные диспетчеры задач либо не открываются вовсе, либо закрываются сразу при открытии. Возможно есть ещё симптомы, но сейчас их вспомнить не представляется возможным.

Переустанавливать Windows 7 очень не хочется во избежании потери важных программ (если нет альтернативы, то...).

Что ещё можно сделать, я уже ума не приложу. Если есть возможность помочь в решении сложившейся ситуации, буду очень благодарен.  :unsure:

 

I-bivtleyBU.jpg?size=1049x609&quality=96

 

 

Прикрепляю логи программ.

HiJackThis - https://cloud.mail.ru/public/XSAz/W6YaWHjoY

CureIt - https://cloud.mail.ru/public/UgTC/JwX9FcrqR

DrWeb SysInfo(?) - https://cloud.mail.ru/public/NsYF/yFc7XVEJY



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 201 Сообщений:

Отправлено 02 Апрель 2024 - 12:42

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];



#3 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 955 Сообщений:

Отправлено 02 Апрель 2024 - 13:01

Вам не приходило в голову, что у вас система дырявая и по ней ходит кто угодно и как хочет? (утрирую, но по факту такая дырявость примерно это и обозначает).

(Лирическое отступление. Вот эти гордые "я никогда не ставлю никаких обновлений и у меня всё прекрасно" - и есть дорога в ад  ^_^ )



#4 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 655 Сообщений:

Отправлено 02 Апрель 2024 - 13:45

RDPWrapper сами устанавливали, пользуетесь удаленным рабочим столом? \ProgramData\Reaitek (i вместо l) - видно, что злoврeды вовсю резвятся...


Сообщение было изменено Dmitry_rus: 02 Апрель 2024 - 13:46


#5 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 02 Апрель 2024 - 14:30

RDPWrapper сами устанавливали, пользуетесь удаленным рабочим столом? \ProgramData\Reaitek (i вместо l) - видно, что злoврeды вовсю резвятся...

 

Нет, подобным не пользуюсь.



#6 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 02 Апрель 2024 - 14:36

Вам не приходило в голову, что у вас система дырявая и по ней ходит кто угодно и как хочет? (утрирую, но по факту такая дырявость примерно это и обозначает).

(Лирическое отступление. Вот эти гордые "я никогда не ставлю никаких обновлений и у меня всё прекрасно" - и есть дорога в ад  ^_^ )

 

В каком смысле дырявая? Как залатать?
По поводу обновлений, всегда ставлю обновления, которые предлагает windows update 



#7 Vvvyg

Vvvyg

    Member

  • Posters
  • 114 Сообщений:

Отправлено 02 Апрель 2024 - 14:55

RDPWrapper сами устанавливали, пользуетесь удаленным рабочим столом?

Это в комплекте с майнером идёт. Эти настройки тоже от него:

O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Как и все блокировки в разделе O7 - Policy: HiJackThis+,  всё это, по хорошему, надо фиксить в HiJackThis+.



#8 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 02 Апрель 2024 - 15:19

А можно ли получить пошаговую инструкцию, что со всем этим делать? (для не особо сведущих) f09f98b0.pngf09fa790.png



#9 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 655 Сообщений:

Отправлено 02 Апрель 2024 - 15:25

А можно ли получить пошаговую инструкцию
Можно.

https://forum.drweb.com/index.php?showtopic=337602&p=911142



#10 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 02 Апрель 2024 - 15:54

 

А можно ли получить пошаговую инструкцию
Можно.

https://forum.drweb.com/index.php?showtopic=337602&p=911142

 

 

Эм. С работы домой приду, прогоню FRSTом и отвечу сюда.

 

 

 

RDPWrapper сами устанавливали, пользуетесь удаленным рабочим столом?

Это в комплекте с майнером идёт. Эти настройки тоже от него:

O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Как и все блокировки в разделе O7 - Policy: HiJackThis+,  всё это, по хорошему, надо фиксить в HiJackThis+.

 

 

Я так понимаю, надо пофиксить указанные строчки?
 

 

RDPWrapper сами устанавливали, пользуетесь удаленным рабочим столом? \ProgramData\Reaitek (i вместо l) - видно, что злoврeды вовсю резвятся...

 

Попробовать удалить эту программу? Или есть способ запретить ей в сеть выходить...?


Сообщение было изменено OrgFrize: 02 Апрель 2024 - 15:56


#11 Vvvyg

Vvvyg

    Member

  • Posters
  • 114 Сообщений:

Отправлено 02 Апрель 2024 - 16:29

Я так понимаю, надо пофиксить указанные строчки?

Запустите  HiJackThis+, нажмите "Только проверить систему". В списке отметьте только эти пункты:

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (not signed - Realtek Semiconductor - 85ECF0EFC957D9E12C4DFD6611B57FB3CCE804D3)
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Tasks: \Microsoft\Windows\RecoveryManagerN\hmsKKtq - C:\Programdata\ReaItekHD\taskhost.exe (not signed - Microsoft Corporation - FF471FDEC37CCB9AE3881495C2C73D59B412C1AF)
O22 - Tasks: \Microsoft\Windows\RecoveryManagerN\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (not signed - Realtek Semiconductor - 85ECF0EFC957D9E12C4DFD6611B57FB3CCE804D3)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\ExpressCheckUP - C:\Programdata\ReaItekHD\taskhost.exe (not signed - Microsoft Corporation - FF471FDEC37CCB9AE3881495C2C73D59B412C1AF)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\ManagerService - C:\Programdata\ReaItekHD\taskhostw.exe (not signed - Realtek Semiconductor - 85ECF0EFC957D9E12C4DFD6611B57FB3CCE804D3)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (not signed - Realtek Semiconductor - 85ECF0EFC957D9E12C4DFD6611B57FB3CCE804D3)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (not signed - Microsoft Corporation - FF471FDEC37CCB9AE3881495C2C73D59B412C1AF)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 и нажмите "Пофиксить". Программа предложит перезагрузку.

 

После перезагрузки делайте логи Farbar Recovery Scan Tool, как просили, в нём уже контроль и дочистка.

 

Да, и для сведения, комплект троянов, майнеров, бэкдоров явно с KMS получили.



#12 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 02 Апрель 2024 - 16:37

 

Я так понимаю, надо пофиксить указанные строчки?

Запустите  HiJackThis+, нажмите "Только проверить систему". В списке отметьте только эти пункты:

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (not signed - Realtek Semiconductor - 85ECF0EFC957D9E12C4DFD6611B57FB3CCE804D3)
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Tasks: \Microsoft\Windows\RecoveryManagerN\hmsKKtq - C:\Programdata\ReaItekHD\taskhost.exe (not signed - Microsoft Corporation - FF471FDEC37CCB9AE3881495C2C73D59B412C1AF)
O22 - Tasks: \Microsoft\Windows\RecoveryManagerN\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (not signed - Realtek Semiconductor - 85ECF0EFC957D9E12C4DFD6611B57FB3CCE804D3)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\ExpressCheckUP - C:\Programdata\ReaItekHD\taskhost.exe (not signed - Microsoft Corporation - FF471FDEC37CCB9AE3881495C2C73D59B412C1AF)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\ManagerService - C:\Programdata\ReaItekHD\taskhostw.exe (not signed - Realtek Semiconductor - 85ECF0EFC957D9E12C4DFD6611B57FB3CCE804D3)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (not signed - Realtek Semiconductor - 85ECF0EFC957D9E12C4DFD6611B57FB3CCE804D3)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (not signed - Microsoft Corporation - FF471FDEC37CCB9AE3881495C2C73D59B412C1AF)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 и нажмите "Пофиксить". Программа предложит перезагрузку.

 

После перезагрузки делайте логи Farbar Recovery Scan Tool, как просили, в нём уже контроль и дочистка.

 

Да, и для сведения, комплект троянов, майнеров, бэкдоров явно с KMS получили.

 

 

Принято. Как проделаю предложенные действия, сообщу о результатах сюда.
 

У меня тоже были мысли на KMS. До этого всё работало нормально.



#13 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 413 Сообщений:

Отправлено 02 Апрель 2024 - 17:12

Эх, Курейт , Dr.Web Security Space -оставили следы после лечение ( нету методические лечение для реестра , которые могут следы оставлена майнером для дальнейшего повторного заряжение  ), а ведь должен быть вылечен реестр , а он вновь запустилась повторная =(  O_o


Сообщение было изменено Dr.Web Ransom Hunter.: 02 Апрель 2024 - 17:14

Global Malware Hunting.


#14 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 02 Апрель 2024 - 17:44

Эх, Курейт , Dr.Web Security Space -оставили следы после лечение ( нету методические лечение для реестра , которые могут следы оставлена майнером для дальнейшего повторного заряжение  ), а ведь должен быть вылечен реестр , а он вновь запустилась повторная =(  O_o

 

А как вручную регистр почистить от остатков?



#15 Vvvyg

Vvvyg

    Member

  • Posters
  • 114 Сообщений:

Отправлено 02 Апрель 2024 - 18:00

Эх, Курейт , Dr.Web Security Space -оставили следы после лечение

Проблема в том, что CureIt не детектирует майнер в файлах:

C:\ProgramData\WindowsTask\audiodg.exe - Ok
C:\ProgramData\ReaItekHD\taskhostw.exe - Ok
C:\ProgramData\WindowsTask\AppHost.exe - Ok
C:\ProgramData\WindowsTask\MicrosoftHost.exe - Ok
 

Эвристик только на процессы ругается:

\Process\3496\Device\HarddiskVolume5\ProgramData\ReaItekHD\taskhost.exe - probably infected with DPH:Process.ExecMimic
\Process\3496\Device\HarddiskVolume5\ProgramData\ReaItekHD\taskhost.exe - infected
\Process\3904\Device\HarddiskVolume5\ProgramData\ReaItekHD\taskhostw.exe - probably infected with DPH:Process.ExecMimic
\Process\3904\Device\HarddiskVolume5\ProgramData\ReaItekHD\taskhostw.exe - infected

На C:\ProgramData\ReaItekHD\taskhost.exe детекта на VT нет.


А как вручную регистр почистить от остатков?

Спокойно, в FRST почистим.



#16 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 413 Сообщений:

Отправлено 02 Апрель 2024 - 18:07

Эх, Курейт , Dr.Web Security Space -оставили следы после лечение

Проблема в том, что CureIt не детектирует майнер в файлах:
C:\ProgramData\WindowsTask\audiodg.exe - Ok
C:\ProgramData\ReaItekHD\taskhostw.exe - Ok
C:\ProgramData\WindowsTask\AppHost.exe - Ok
C:\ProgramData\WindowsTask\MicrosoftHost.exe - Ok
 
Эвристик только на процессы ругается:
\Process\3496\Device\HarddiskVolume5\ProgramData\ReaItekHD\taskhost.exe - probably infected with DPH:Process.ExecMimic
\Process\3496\Device\HarddiskVolume5\ProgramData\ReaItekHD\taskhost.exe - infected
\Process\3904\Device\HarddiskVolume5\ProgramData\ReaItekHD\taskhostw.exe - probably infected with DPH:Process.ExecMimic
\Process\3904\Device\HarddiskVolume5\ProgramData\ReaItekHD\taskhostw.exe - infected

На C:\ProgramData\ReaItekHD\taskhost.exe детекта на VT нет.

А как вручную регистр почистить от остатков?

Спокойно, в FRST почистим.

Согласен , пишу в ТС , сообщу эту проблемную ситуацию . Спасибо за объяснение .

Global Malware Hunting.


#17 VVS

VVS

    The Master

  • Moderators
  • 19 659 Сообщений:

Отправлено 02 Апрель 2024 - 19:26

Эх, Курейт , Dr.Web Security Space -оставили следы после лечение ( нету методические лечение для реестра , которые могут следы оставлена майнером для дальнейшего повторного заряжение  ), а ведь должен быть вылечен реестр , а он вновь запустилась повторная =(  O_o

 
А как вручную регистр почистить от остатков?
Окропить комп предлагающего святой водой.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#18 VVS

VVS

    The Master

  • Moderators
  • 19 659 Сообщений:

Отправлено 02 Апрель 2024 - 19:45

 
Да, и для сведения, комплект троянов, майнеров, бэкдоров явно с KMS получили.

Ну, если быть честными, а не законопослушными, то хочется сказать:
1.Часть утилит от Ратиборуса вполне можно использовать, если скачивать их с сайта разработчика.
2. Другую часть этих утилит использовать нельзя "по определению", ибо для их работы нужно собственными руками превратить защиту винды в труху.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#19 Vvvyg

Vvvyg

    Member

  • Posters
  • 114 Сообщений:

Отправлено 02 Апрель 2024 - 21:40

если скачивать их с сайта разработчика

Именно. Но ходит по торрентам и форумам сборки активатора размером под 200 мб, может, уже и более, с ними и получают пациенты всё это. с чем боремся.



#20 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 695 Сообщений:

Отправлено 02 Апрель 2024 - 22:00

 

если скачивать их с сайта разработчика

Именно. Но ходит по торрентам и форумам сборки активатора размером под 200 мб, может, уже и более, с ними и получают пациенты всё это. с чем боремся.

 

 

Вечер добрый! А нет возможности эти 2 файла как то выслать в Вирлаб? Возможно у Вас есть возможность забрать с VT или еще как то )) 

 

https://www.virustotal.com/gui/file/d079cfc0687050d9ff79f4b8b2bfaef6f9690f3ab65a456cb17712e20fdc6f99/detection

https://www.virustotal.com/gui/file/ee6ce6d7b854a98a9c8b8154ba0d75d86c510eb4d4e252b7dc29ade63330912e/detection





Also tagged with one or more of these keywords: Trojan, Вирус, Закрытие окон

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых