Злобный вирус прокрался незаметно
#1
Отправлено 19 Декабрь 2018 - 02:12
#2
Отправлено 19 Декабрь 2018 - 02:12
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 19 Декабрь 2018 - 06:43
Сообщение было изменено ДобрыйВолшебник: 19 Декабрь 2018 - 06:44
#4
Отправлено 19 Декабрь 2018 - 06:51
#5
Отправлено 19 Декабрь 2018 - 06:59
#6
Отправлено 19 Декабрь 2018 - 07:52
Нужен лог вот этой штуки: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe
#7
Отправлено 19 Декабрь 2018 - 16:52
#8
Отправлено 19 Декабрь 2018 - 19:08
Doctor Web, Ltd.
#9
Отправлено 19 Декабрь 2018 - 19:14
Doctor Web, Ltd.
#10
Отправлено 19 Декабрь 2018 - 21:12
#12
Отправлено 19 Декабрь 2018 - 22:38
<file path="C:\Users\Cosmos\AppData\Roaming\uTorrent\uTorrent.exe" size="1738936" links="1" ctime="27.07.2018 01:27:15.788" atime="27.07.2018 01:27:15.788" wtime="17.11.2018 21:20:28.400" buildtime="31.10.2018 19:30:56.000">
<attrib archive="true" value="20" /><hash sha1="707e4b7348d04ee1853f1345e10ada132a04a59d" sha256="7313e5538b4a1f6a046e95b7e3cdb5753a7450f6df1dacb97739c8af5bd963cd" /><arkstatus file="signed, pe32" cert="signed" cloud="unknown" type="unknown" /><verinfo company="BitTorrent Inc." descr="ВµTorrent" origname="uTorrent.exe" version="3.5.4.44846" product_name="ВµTorrent" product_version="3.5.4.44846" file_version_ls="306990" file_version_ms="196613" product_version_ls="306990" product_version_ms="196613" /><certinfo timestamp="31.10.2018 19:32:48.000"><item subject="C=US|ST=California|L=San Francisco|O=BitTorrent Inc|CN=BitTorrent Inc" issuer="C=US|O=Symantec Corporation|OU=Symantec Trust Network|CN=Symantec Class 3 SHA256 Code Signing CA" thumbprint="7ba078d02030b5f520cec1d9232864495a8f5da0" sn="0cf35369a9710762c36f6805fc9e45d6" from="18.08.2016 03:00:00.000" to="13.10.2019 02:59:59.000" /><item subject="C=US|O=Symantec Corporation|OU=Symantec Trust Network|CN=Symantec Class 3 SHA256 Code Signing CA" issuer="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=© 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" thumbprint="007790f6561dad89b0bcd85585762495e358f8a5" sn="3d78d7f9764960b2617df4f01eca862a" from="10.12.2013 03:00:00.000" to="10.12.2023 02:59:59.000" /><item subject="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=© 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" issuer="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=© 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" thumbprint="4eb6d578499b1ccf5f581ead56be3d9b6744a5e5" sn="18dad19e267de8bb4a2158cdcc6b3b4a" from="08.11.2006 03:00:00.000" to="17.07.2036 02:59:59.000" /></certinfo>
Не совсем уверен ...но странный торрент (( с сертификатом от Symantec.
https://www.reverse.it/sample/ec2c086ff784b06e4ff05243164ddb768b81ee32096afed6d5e574ff350b619e?environmentId=120 (utorrent_2.2.1.exe) - укачивает - Cosmos\AppData\Roaming\uTorrent\uTorrent.exe
drweb.com #8495411 - ждем вердикта.
#13
Отправлено 19 Декабрь 2018 - 23:22
Тут все оч плохо, вирус (руткит) меняет права админа, меняет ключи в реестре, перезапускается с системой, я так понял он себе виртуальную машину поставил, встроенный майнер вроде как есть и даже не один. Блокирует соединение в сеть мне а сам я так понял делает себе какое то блютус соединение, я вытащил кабель из сети дабы изолироваться. Сижу мониторю тему и жду помощи. Антивирусы не видят его в упор так как поменяет системные файлы своими копиями. Если смотреть в свойства файлов то видно что там все не совсем стандартно. Плюс софтина маскируется под драйвера nvidia (оч старой версии) плюс фейковые процессы експлорер и сервисес,помледний насоздавал кучу svhost и чето они все делают постоянно. В общем я тут на связи если надо чего пишите. Софта накачал с трубы для сбора статистики достаточно.Ждем вердикта
Сообщение было изменено ДобрыйВолшебник: 19 Декабрь 2018 - 23:26
#14
Отправлено 19 Декабрь 2018 - 23:29
[quote name="Dmitry Shutov" post="862799" timestamp="1545248339"][quote]
Ждем вердикта.
Тут все оч плохо, вирус (руткит) меняет права админа, меняет ключи в реестре, перезапускается с системой, я так понял он себе виртуальную машину поставил, встроенный майнер вроде как есть и даже не один. Блокирует соединение в сеть мне а сам я так понял делает себе какое то блютус соединение, я вытащил кабель из сети дабы изолироваться. Сижу мониторю тему и жду помощи. Антивирусы не видят его в упор так как поменяет системные файлы своими копиями. Если смотреть в свойства файлов то видно что там все не совсем стандартно. Плюс софтина маскируется под драйвера nvidia (оч старой версии) плюс фейковые процессы експлорер и сервисес,помледний насоздавал кучу svhost и чето они все делают постоянно. В общем я тут на связи если надо чего пишите. Софта накачал с трубы для сбора статистики достаточно.
Логи вы собрали, завтра аналитики посмотрят.
AlternateDataStreams: C:\Users\Cosmos\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [362]
AlternateDataStreams: C:\Users\Cosmos\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]AlternateDataStreams: C:\Users\Cosmos\AppData\Local\Temp:$DATA [16]
Еще у многих если по гуглить вот такая проблема (из лога FRST).
#15
Отправлено 20 Декабрь 2018 - 00:49
Если по заражённым файлам ковыряться то там частенько эти маршруты встречаются. Зараза активно разбрасывает себя по всему пк. Так же вопрос есть, надо ли будет телефон galaxy s8 (android) проверять на вирусы? Качал через него софт и подключал к пк как внешний хдд и логи обратно заливал сюда через трубу. На ней тоже др веб стоит. Есть подозрение что угроза могла скопировать себя в него для дальнейшей миграции на другие пк.
#16
Отправлено 20 Декабрь 2018 - 08:19
>Если смотреть в свойства файлов то видно что там все не совсем стандартно.
>Плюс софтина маскируется под драйвера nvidia (оч старой версии)
>плюс фейковые процессы експлорер и сервисес,помледний насоздавал кучу svhost и чето они все делают постоянно
Конкретно про какие файлы речь?
Пока что все, что вы присылали (включая "сэмплы"), говорит о том, что система ничем не заражена.
Сообщение было изменено Ivan Korolev: 20 Декабрь 2018 - 08:19
#17
Отправлено 20 Декабрь 2018 - 08:27
#18
Отправлено 20 Декабрь 2018 - 08:33
Для начала поясните эти два момента:
>Если смотреть в свойства файлов то видно что там все не совсем стандартно.
>Плюс софтина маскируется под драйвера nvidia (оч старой версии)
#19
Отправлено 24 Декабрь 2018 - 16:39
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых