Перейти к содержимому


Фото
- - - - -

Злобный вирус прокрался незаметно


  • Закрыто Тема закрыта
18 ответов в этой теме

#1 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 19 Декабрь 2018 - 02:12

Сто лет вирусов не видел и тут на тебе) такое чудо юдо. Со встроенными майнерами, блочит интернет когда я активен. И не проявляет активности. А когда отдыхаешь он начинает работать. Насоздавал кучу папок и сервисов. Задания в планировщике задач. Взял себе права админа и потихому отключает мне возможности к его удалёнию. В 10ке системных файлов всех не знаю поэтому пришел к вам за помощью.

#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 19 Декабрь 2018 - 02:12

<p>1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу &lt;Enter&gt;. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу &lt;Enter&gt;, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу &lt;Enter&gt;, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.</p>

#3 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 19 Декабрь 2018 - 06:43

https://yadi.sk/d/5ulXLIDTr2z-CA- образцы

Сообщение было изменено ДобрыйВолшебник: 19 Декабрь 2018 - 06:44


#4 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 19 Декабрь 2018 - 06:51

Всевозможные логи

#5 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 19 Декабрь 2018 - 06:59

Всевозможные логи

https://yadi.sk/d/1oxqdv7i0lV6NQ

Пароль от архива drweb

#6 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 19 Декабрь 2018 - 07:52

Нужен лог вот этой штуки: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe



#7 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 19 Декабрь 2018 - 16:52

Готово)

#8 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 19 Декабрь 2018 - 19:08

где готово?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 19 Декабрь 2018 - 19:14

только не собирайте отчет в сейф моде
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 19 Декабрь 2018 - 21:12

Странно вроде прикреплялся лог.

#11 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 19 Декабрь 2018 - 21:21

https://yadi.sk/d/XkXCrxGfWBpZlg

#12 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 19 Декабрь 2018 - 22:38

 

<file path="C:\Users\Cosmos\AppData\Roaming\uTorrent\uTorrent.exe" size="1738936" links="1" ctime="27.07.2018 01:27:15.788" atime="27.07.2018 01:27:15.788" wtime="17.11.2018 21:20:28.400" buildtime="31.10.2018 19:30:56.000">

<attrib archive="true" value="20" />
<hash sha1="707e4b7348d04ee1853f1345e10ada132a04a59d" sha256="7313e5538b4a1f6a046e95b7e3cdb5753a7450f6df1dacb97739c8af5bd963cd" />
<arkstatus file="signed, pe32" cert="signed" cloud="unknown" type="unknown" />
<verinfo company="BitTorrent Inc." descr="ВµTorrent" origname="uTorrent.exe" version="3.5.4.44846" product_name="ВµTorrent" product_version="3.5.4.44846" file_version_ls="306990" file_version_ms="196613" product_version_ls="306990" product_version_ms="196613" />
<certinfo timestamp="31.10.2018 19:32:48.000">
<item subject="C=US|ST=California|L=San Francisco|O=BitTorrent Inc|CN=BitTorrent Inc" issuer="C=US|O=Symantec Corporation|OU=Symantec Trust Network|CN=Symantec Class 3 SHA256 Code Signing CA" thumbprint="7ba078d02030b5f520cec1d9232864495a8f5da0" sn="0cf35369a9710762c36f6805fc9e45d6" from="18.08.2016 03:00:00.000" to="13.10.2019 02:59:59.000" />
<item subject="C=US|O=Symantec Corporation|OU=Symantec Trust Network|CN=Symantec Class 3 SHA256 Code Signing CA" issuer="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=© 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" thumbprint="007790f6561dad89b0bcd85585762495e358f8a5" sn="3d78d7f9764960b2617df4f01eca862a" from="10.12.2013 03:00:00.000" to="10.12.2023 02:59:59.000" />
<item subject="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=© 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" issuer="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=© 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" thumbprint="4eb6d578499b1ccf5f581ead56be3d9b6744a5e5" sn="18dad19e267de8bb4a2158cdcc6b3b4a" from="08.11.2006 03:00:00.000" to="17.07.2036 02:59:59.000" />
</certinfo>

 

https://www.virustotal.com/#/file/7313e5538b4a1f6a046e95b7e3cdb5753a7450f6df1dacb97739c8af5bd963cd/detection

 

Не совсем уверен ...но странный торрент (( с сертификатом от Symantec.

 

https://www.reverse.it/sample/ec2c086ff784b06e4ff05243164ddb768b81ee32096afed6d5e574ff350b619e?environmentId=120 (utorrent_2.2.1.exe) - укачивает - Cosmos\AppData\Roaming\uTorrent\uTorrent.exe

 

drweb.com #8495411 - ждем вердикта.

 



#13 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 19 Декабрь 2018 - 23:22

Ждем вердикта

Тут все оч плохо, вирус (руткит) меняет права админа, меняет ключи в реестре, перезапускается с системой, я так понял он себе виртуальную машину поставил, встроенный майнер вроде как есть и даже не один. Блокирует соединение в сеть мне а сам я так понял делает себе какое то блютус соединение, я вытащил кабель из сети дабы изолироваться. Сижу мониторю тему и жду помощи. Антивирусы не видят его в упор так как поменяет системные файлы своими копиями. Если смотреть в свойства файлов то видно что там все не совсем стандартно. Плюс софтина маскируется под драйвера nvidia (оч старой версии) плюс фейковые процессы експлорер и сервисес,помледний насоздавал кучу svhost и чето они все делают постоянно. В общем я тут на связи если надо чего пишите. Софта накачал с трубы для сбора статистики достаточно.

Сообщение было изменено ДобрыйВолшебник: 19 Декабрь 2018 - 23:26


#14 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 19 Декабрь 2018 - 23:29

[quote name="Dmitry Shutov" post="862799" timestamp="1545248339"][quote]
Ждем вердикта.
Тут все оч плохо, вирус (руткит) меняет права админа, меняет ключи в реестре, перезапускается с системой, я так понял он себе виртуальную машину поставил, встроенный майнер вроде как есть и даже не один. Блокирует соединение в сеть мне а сам я так понял делает себе какое то блютус соединение, я вытащил кабель из сети дабы изолироваться. Сижу мониторю тему и жду помощи. Антивирусы не видят его в упор так как поменяет системные файлы своими копиями. Если смотреть в свойства файлов то видно что там все не совсем стандартно. Плюс софтина маскируется под драйвера nvidia (оч старой версии) плюс фейковые процессы експлорер и сервисес,помледний насоздавал кучу svhost и чето они все делают постоянно. В общем я тут на связи если надо чего пишите. Софта накачал с трубы для сбора статистики достаточно.

 

Логи вы собрали, завтра аналитики посмотрят.

 

 

AlternateDataStreams: C:\Users\Cosmos\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [362]

AlternateDataStreams: C:\Users\Cosmos\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]
AlternateDataStreams: C:\Users\Cosmos\AppData\Local\Temp:$DATA​ [16]

 

Еще у многих если по гуглить вот такая проблема (из лога FRST).



#15 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 20 Декабрь 2018 - 00:49


Если по заражённым файлам ковыряться то там частенько эти маршруты встречаются. Зараза активно разбрасывает себя по всему пк. Так же вопрос есть, надо ли будет телефон galaxy s8 (android) проверять на вирусы? Качал через него софт и подключал к пк как внешний хдд и логи обратно заливал сюда через трубу. На ней тоже др веб стоит. Есть подозрение что угроза могла скопировать себя в него для дальнейшей миграции на другие пк.

#16 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 20 Декабрь 2018 - 08:19

>Если смотреть в свойства файлов то видно что там все не совсем стандартно.

>Плюс софтина маскируется под драйвера nvidia (оч старой версии)

>плюс фейковые процессы експлорер и сервисес,помледний насоздавал кучу svhost и чето они все делают постоянно

 

Конкретно про какие файлы речь?

 

Пока что все, что вы присылали (включая "сэмплы"), говорит о том, что система ничем не заражена.


Сообщение было изменено Ivan Korolev: 20 Декабрь 2018 - 08:19


#17 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 20 Декабрь 2018 - 08:27

А что тогда меняет мне настройки днс? И сети? Откуда у меня в системе блютус устройство? Я больше 20 лет пользуюсь пк и убеждён что словил какую-то новую заразу, вижу что моя система работает не так как должна. В общем я так понимаю что без форматирования тут не обойтись видимо (. Ну или просите какие файлы вам скинуть?

#18 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 20 Декабрь 2018 - 08:33

Для начала поясните эти два момента:

 

>Если смотреть в свойства файлов то видно что там все не совсем стандартно.

>Плюс софтина маскируется под драйвера nvidia (оч старой версии)



#19 ДобрыйВолшебник

ДобрыйВолшебник

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 24 Декабрь 2018 - 16:39

Система пришла в негодность и была отформатирована. Благодарю.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых