Перейти к содержимому


Фото
- - - - -

Trojan.downloader

Trojan.downloader

  • Закрыто Тема закрыта
17 ответов в этой теме

#1 Mikhail6667

Mikhail6667

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 26 Июнь 2019 - 00:15

Добрый вечер! Прошу помощи как победить пачку вредоносного ПО. А именно:

Trojan.downloader25.18347

Trojan.downloader23.53793

Trojan.downloader24.54933

Trojan.downloader25.43296

Trojan.downloader25.31643

Trojan.downloader19.29528

Backdoor.PCClient.6595

MULDROP.trojan

Trojan.DnsAmp.3

 

Очень сильно тормозит сервак(

Как то пытался лечить CureIT, после этого приходилось восстанавливать систему.

Архив программы dwsysinfo не прикрепляет (53мб)

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 26 Июнь 2019 - 00:15

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Mikhail6667

Mikhail6667

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 26 Июнь 2019 - 00:23

Архив программы dwsysinfo не прикрепляет (53мб), ссылка:

https://drive.google.com/open?id=1BGcb8hPXgAPVGAuZiNcpd7rmaAwTv-d0

Добрый вечер! Прошу помощи как победить пачку вредоносного ПО. А именно:

Trojan.downloader25.18347

Trojan.downloader23.53793

Trojan.downloader24.54933

Trojan.downloader25.43296

Trojan.downloader25.31643

Trojan.downloader19.29528

Backdoor.PCClient.6595

MULDROP.trojan

Trojan.DnsAmp.3

 

Очень сильно тормозит сервак(

Как то пытался лечить CureIT, после этого приходилось восстанавливать систему.

Архив программы dwsysinfo не прикрепляет (53мб)

 



#4 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 26 Июнь 2019 - 00:47

У Вас прямо рассадник.

 

Как то пытался лечить CureIT, после этого приходилось восстанавливать систему.

 

Боюсь без CureIt-а/антивируса будет сложно вычистить всю малварь руками. Надо пролечить и отсеить хотя бы то, что знаем. Помните, какой конкретно файл после лечения был причиной неработоспособности системы?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#5 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 26 Июнь 2019 - 01:10

Перво-наперво - у Вас в системном каталоге живет Radmin. Если не Вы его устанавливали, то надо снести, ибо сервером может кто-то управлять

<file path="C:\Windows\SysWOW64\rserver30\wsock32.dll" size="30720" links="1" ctime="13.01.2010 21:54:24.000" atime="19.07.2016 00:59:56.597" wtime="13.01.2010 21:54:24.000" buildtime="20.06.1992 01:22:17.000">
		<attrib archive="true" value="20" security="O:BAG:S-1-5-21-2369663591-961208738-1451916285-513D:(A;;0x1200a9;;;WD)(A;;FA;;;BA)(A;;FA;;;SY)" />
		<hash sha1="968da067c976004de73087e641217c204b20ab3f" sha256="d7d35019ce0c03d97c32ab25a145371806ca2d1572af1e5146ea886d41818850" />
		<arkstatus file="ts_white_list, unsigned, pe32, dll" cert="unsigned" cloud="clean" type="unknown" />
		<verinfo company="Famatech Fan Club" descr="Famatech Radmin Server Expansion" origname="" version="2.3.0.0" product_name="NTS" product_version="2.3.0.0" file_version_ls="0" file_version_ms="131075" product_version_ls="0" product_version_ms="131075" />
	</file>

То же самое с RDP Wrapper-ом. Уже не первый раз вижу его на замалваренной машине
 

<file path="C:\Program Files\RDP Wrapper\rdpwrap.dll" size="116736" links="1" ctime="06.08.2016 22:29:09.145" atime="06.08.2016 22:29:09.145" wtime="06.08.2016 22:29:09.145" buildtime="10.12.2014 23:17:30.000">
		<attrib archive="true" value="20" security="O:BAG:S-1-5-21-2369663591-961208738-1451916285-513D:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)" />
		<hash sha1="b3892eef846c044a2b0785d54a432b3e93a968c8" sha256="798af20db39280f90a1d35f2ac2c1d62124d1f5218a2a0fa29d87a13340bd3e4" />
		<arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" />
		<verinfo company="Stas'M Corp." descr="Terminal Services Wrapper Library" origname="rdpwrap.dll" version="1.5.0.0" product_name="RDP Host Support" product_version="1.5.0.0" file_version_ls="0" file_version_ms="65541" product_version_ls="0" product_version_ms="65541" />
	</file>

Сообщение было изменено RomaNNN: 26 Июнь 2019 - 01:32

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#6 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 26 Июнь 2019 - 01:21

Этих в вирлаб на анализ, номер тикета сюда:

<file path="C:\Windows\lpk.dll" size="53248" links="1" ctime="15.10.2017 10:53:22.421" atime="15.10.2017 10:53:22.421" wtime="15.10.2017 10:16:01.742" buildtime="30.07.2017 16:25:18.000">
		<attrib readonly="true" hidden="true" system="true" value="7" security="O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)" />
		<hash sha1="2ebb97fbb3de110027da3b3204df68f9eed34d6b" sha256="fbd898f2eb01a0704f7d5a8f5e8a8aff1d9aaf76ed799b4573ac21298d321bdd" />
		<arkstatus file="unsigned, pe32, dll" cert="unsigned" cloud="unknown" type="unknown" />
	</file>


<file path="C:\Windows\pizpok.exe" size="269087" links="1" ctime="17.10.2017 13:22:00.011" atime="17.10.2017 13:22:00.011" wtime="16.10.2017 08:31:17.724" buildtime="15.10.2017 08:42:47.000">
		<attrib archive="true" value="20" security="O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)" />
		<hash sha1="a930d2181b543fb9002fe250971435c49fc58c1a" sha256="e1aabedea2769fc55f79a9dfab9c33a4393d7d77b407f9cff7b0e7e691391324" />
		<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
		<verinfo company="powershadow" descr="" origname="" version="7.0.0.1" product_name="PowerShadow2011" product_version="7.0.0.1" file_version_ls="1" file_version_ms="458752" product_version_ls="1" product_version_ms="458752" />
	</file>


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#7 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 26 Июнь 2019 - 01:25

В основном куча однотипных файлов с описанием:

"NewServers 应用程序"

"MYSQL code by Ctrl"

 

Но их, насколько я вижу, мы уже знаем и CureIt предлагает удалить


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#8 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 27 Июнь 2019 - 14:39

>C:\Windows\pizpok.exe

 

Этот детектим.

 

>C:\Windows\lpk.dll

 

Этот высылайте в вирлаб (vms.drweb.com/sendvirus/)



#9 Mikhail6667

Mikhail6667

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 27 Июнь 2019 - 20:40

 

Перво-наперво - у Вас в системном каталоге живет Radmin. Если не Вы его устанавливали, то надо снести, ибо сервером может кто-то управлять

<file path="C:\Windows\SysWOW64\rserver30\wsock32.dll" size="30720" links="1" ctime="13.01.2010 21:54:24.000" atime="19.07.2016 00:59:56.597" wtime="13.01.2010 21:54:24.000" buildtime="20.06.1992 01:22:17.000">
		<attrib archive="true" value="20" security="O:BAG:S-1-5-21-2369663591-961208738-1451916285-513D:(A;;0x1200a9;;;WD)(A;;FA;;;BA)(A;;FA;;;SY)" />
		<hash sha1="968da067c976004de73087e641217c204b20ab3f" sha256="d7d35019ce0c03d97c32ab25a145371806ca2d1572af1e5146ea886d41818850" />
		<arkstatus file="ts_white_list, unsigned, pe32, dll" cert="unsigned" cloud="clean" type="unknown" />
		<verinfo company="Famatech Fan Club" descr="Famatech Radmin Server Expansion" origname="" version="2.3.0.0" product_name="NTS" product_version="2.3.0.0" file_version_ls="0" file_version_ms="131075" product_version_ls="0" product_version_ms="131075" />
	</file>

То же самое с RDP Wrapper-ом. Уже не первый раз вижу его на замалваренной машине
 

<file path="C:\Program Files\RDP Wrapper\rdpwrap.dll" size="116736" links="1" ctime="06.08.2016 22:29:09.145" atime="06.08.2016 22:29:09.145" wtime="06.08.2016 22:29:09.145" buildtime="10.12.2014 23:17:30.000">
		<attrib archive="true" value="20" security="O:BAG:S-1-5-21-2369663591-961208738-1451916285-513D:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)" />
		<hash sha1="b3892eef846c044a2b0785d54a432b3e93a968c8" sha256="798af20db39280f90a1d35f2ac2c1d62124d1f5218a2a0fa29d87a13340bd3e4" />
		<arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" />
		<verinfo company="Stas'M Corp." descr="Terminal Services Wrapper Library" origname="rdpwrap.dll" version="1.5.0.0" product_name="RDP Host Support" product_version="1.5.0.0" file_version_ls="0" file_version_ms="65541" product_version_ls="0" product_version_ms="65541" />
	</file>

Radmin ставил и пользую сам...

RDP Wrapper - незнаю что это, но RDP винды используют пользователи сервера



#10 Mikhail6667

Mikhail6667

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 27 Июнь 2019 - 20:47

>C:\Windows\pizpok.exe

 

Этот детектим.

 

>C:\Windows\lpk.dll

 

Этот высылайте в вирлаб (vms.drweb.com/sendvirus/)

Детектим - это удаляем?



#11 Mikhail6667

Mikhail6667

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 27 Июнь 2019 - 21:27

>C:\Windows\pizpok.exe

 

Этот детектим.

 

>C:\Windows\lpk.dll

 

Этот высылайте в вирлаб (vms.drweb.com/sendvirus/)

Добрый день,


Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:
1) вирусная база Dr.Web на Вашем компьютере обновлена;
2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.
Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: Trojan.DnsAmp.3


Спасибо за сотрудничество.

To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com

-- 
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

Категория: SUSPICIOUS FILE
-------------------Запрос--------------------------------------

Hello,

User sent us a suspicious file.
User ip: 77.239.243.39
User agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0
User comment: Добрый день!
Посоветовали на форуме отправить данный файл на проверку
User language: ru
User email: smagea@gmail.com
Original file name: lpk.rar
File size: 18463
File time: 2019-06-27 20:54:21
File mime type: application/x-rar
MD5: a6957c14e0209de3e2f7b4a11bb1f7b0
SHA1: f8f401ecb18f49038c1c18a5bc0dc402e857461b



#12 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 28 Июнь 2019 - 01:22

Теперь лечитесь CureIt-ом


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#13 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 28 Июнь 2019 - 11:13

>Детектим - это удаляем?

 

Да.

 

>Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

 

Ожидаемо. Просто конкретно этого файла не было ни у нас, ни на просторах интернета, поэтому без вашей помощи проверить точно ли мы его детектим было не возможно.

 

Как сказал, RomaNNN, качайте свежий cureit и лечите систему. Кроме того, что-то мне подсказывает, что у вас не установлено обновление безопасности ОС MS17-010.



#14 Mikhail6667

Mikhail6667

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 30 Июнь 2019 - 11:32

если буду лечить винда больше не загрузится (проделывал так давненько)...8(

 

удалось без потери винды убрать частично (далее боюсь, т.к. работаю на удаленке), вот что осталось:

 

https://1drv.ms/u/s!AgIW1D3ZZfTkjiDHZDoJxJgDPtfm

 

>Детектим - это удаляем?

 

Да.

 

>Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

 

Ожидаемо. Просто конкретно этого файла не было ни у нас, ни на просторах интернета, поэтому без вашей помощи проверить точно ли мы его детектим было не возможно.

 

Как сказал, RomaNNN, качайте свежий cureit и лечите систему. Кроме того, что-то мне подсказывает, что у вас не установлено обновление безопасности ОС MS17-010.



#15 Mikhail6667

Mikhail6667

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 30 Июнь 2019 - 12:21

обновление поставил, его не было вы правы

>Детектим - это удаляем?

 

Да.

 

>Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

 

Ожидаемо. Просто конкретно этого файла не было ни у нас, ни на просторах интернета, поэтому без вашей помощи проверить точно ли мы его детектим было не возможно.

 

Как сказал, RomaNNN, качайте свежий cureit и лечите систему. Кроме того, что-то мне подсказывает, что у вас не установлено обновление безопасности ОС MS17-010.



#16 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 01 Июль 2019 - 13:46

Mikhail6667, так не пойдет. Проделывал давненько - CureIt, как и остальные продукты, постоянно фиксится и улучшается, возможно с того момента этот баг был починен, а может это был какой-то странный эффект/конфликт. Это ручные ковыряния сейчас будут долгие. Давайте так, сделайте бекап/резервную копию на сервере, скачайте актуальный CureIt и пролечитесь. Если система сломается - восстановитесь с копии, а мы будем воспроизводить у себя и чинить, чтобы польза была всем. Я понимаю, что это сервер, но надо выяснить что происходит.

 

Ну или второй вариант, на верочку - склонировать системный раздел сервера в виртуалку со снепшотами и проделать процесс лечения там, чтобы не ставить эксперименты на рабочей машине. Если этот вариант интересен, дам подробные инструкции.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#17 Mikhail6667

Mikhail6667

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 04 Июль 2019 - 22:19

второй вариант более интересен конечно

Mikhail6667, так не пойдет. Проделывал давненько - CureIt, как и остальные продукты, постоянно фиксится и улучшается, возможно с того момента этот баг был починен, а может это был какой-то странный эффект/конфликт. Это ручные ковыряния сейчас будут долгие. Давайте так, сделайте бекап/резервную копию на сервере, скачайте актуальный CureIt и пролечитесь. Если система сломается - восстановитесь с копии, а мы будем воспроизводить у себя и чинить, чтобы польза была всем. Я понимаю, что это сервер, но надо выяснить что происходит.

 

Ну или второй вариант, на верочку - склонировать системный раздел сервера в виртуалку со снепшотами и проделать процесс лечения там, чтобы не ставить эксперименты на рабочей машине. Если этот вариант интересен, дам подробные инструкции.



#18 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 07 Июль 2019 - 23:48

Mikhail6667, отписал в ЛС.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых