Всем Доброго дня!
Начиная с 9 октября 2023 года на пк появился майнер.
Вирус создает Папку майнера в Program data при перезагрузке и спустя некоторое время "простоя пк", и запускает сам майнер.
Причем один раз папка обновилась и у нее сменилось название.
я выловил и заархивировал старую версию папки.
Майнинг идет через процесс tcpsvcs.exe
dr. web отлавливает попытку майнинга и пресекает ее
До появления др. веба, я сам убивал процесс через лассо
не могу никак выловить вирус который каждый раз пересоздает папку майнера, ни один антивир его не видит.
помогите пожалуйста!
Прилагаю ссылку на отчет и папку майнера с паролем (пароль 1598)
Ссылка на отчет: https://disk.yandex.ru/d/JPIP-EartsTEsg
Ссылка на архив папки майнера: https://disk.yandex.ru/d/BK8nRhxkC_U-hQ
#1
Отправлено 05 Декабрь 2023 - 12:05
#2
Отправлено 05 Декабрь 2023 - 12:05
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
#3
Отправлено 05 Декабрь 2023 - 12:52
VideoHarmony.exe
https://www.virustotal.com/gui/file/9554fbbb6ec1b9d721e31c031fc9b54e135c7a4c36a191065ee526b5345adf30?nocache=1
драйвер WinRing0x64.sys
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5?nocache=1
отправил в вирлаб
#11064895
#11064899
#4
Отправлено 05 Декабрь 2023 - 13:09
VideoHarmony.exe
https://www.virustotal.com/gui/file/9554fbbb6ec1b9d721e31c031fc9b54e135c7a4c36a191065ee526b5345adf30?nocache=1
драйвер WinRing0x64.sys
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5?nocache=1
отправил в вирлаб
#11064895
#11064899
Спасибо
Но как быть с вирусом пересоздающим папку майнера на пк после перезагрузки и простоя?
#5
Отправлено 05 Декабрь 2023 - 13:17
И это ещё: C:\WINDOWS\SysWOW64\mobsync.dll https://www.virustotal.com/gui/file/52d43f72c5a71ab8dd4aa0506f0957810c21fad823a5435067e46bbdd054cc77?nocache=1
Эта служба и восстанавливает майнер, видимо.
Сообщение было изменено Vvvyg: 05 Декабрь 2023 - 13:18
#6
Отправлено 05 Декабрь 2023 - 13:20
И это ещё: C:\WINDOWS\SysWOW64\mobsync.dll https://www.virustotal.com/gui/file/52d43f72c5a71ab8dd4aa0506f0957810c21fad823a5435067e46bbdd054cc77?nocache=1
Эта служба и восстанавливает майнер, видимо.
мне с ней что-то необходимо сделать?
#7
Отправлено 05 Декабрь 2023 - 13:38
мне с ней что-то необходимо сделать?
В вирлаб отправить файл.
#8
Отправлено 05 Декабрь 2023 - 15:04
мне с ней что-то необходимо сделать?В вирлаб отправить файл.
подскажите, пожалуйста, как это сделать ?
#10
Отправлено 05 Декабрь 2023 - 15:23
Отправил Файл в вирлаб
#11065028
#11
Отправлено 05 Декабрь 2023 - 15:35
Подскажите, мне теперь просто ожидать пока отпишут на почту ответ ?
какие мои дальнейшие действия?
#12
Отправлено 07 Декабрь 2023 - 07:14
Файл уже отправлен за вас в Вирлаб, поэтому вам остается только дождаться решения проблемы. Поддержка здесь работает очень быстро, так что не волнуйтесь слишком сильно.
#13
Отправлено 07 Декабрь 2023 - 11:12
драйвер WinRing0x64.sys
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5?nocache=1
#11064899
По этому - дали ответ, что в базе чистых файлов.
Сообщение было изменено maxic: 07 Декабрь 2023 - 11:13
#15
Отправлено 07 Декабрь 2023 - 12:32
Системный файл в вирлаб ? Из-за одного детекта ?
Он не системный, а маскируется под него. mobsync.dll или evntagnt.dll с разными хэшами сопутствуют этому майнеру. В чистых системах, Windows 10/11, по тому же пути таких файлов нет.
#16
Отправлено 07 Декабрь 2023 - 15:26
Наличие файла не означает его вредоносность. Однако, нельзя исключить, что злоумышленники нашли уязвимость/необходимый код в файл, поэтому используют его в своих целях. https://learn.microsoft.com/ru-ru/windows/win32/api/mobsync/nf-mobsync-isyncmgrsynchronizecallback-synchronizecompleted
В Интернете, на форуме обсуждения другого антивируса, одноимённый файл упоминается в связке с другими приложениями и драйверами. Как раз EXE+DLL+SYS.
Думаю, что имеет смысл заархивировать этот файл и удалить из системной папки. Затем понаблюдать создаётся ли он самостоятельно или при запуске какого-либо ПО, наблюдаются ли сбои (ошибки) с отсылкой к этому файлу.
Reo194, в настоящее время, после проверки системы актуальной версией антивируса, наблюдаются какие-либо признаки заражения?
#17
Отправлено 07 Декабрь 2023 - 21:11
Думаю, что имеет смысл заархивировать этот файл и удалить из системной папки
Майнер под MsMpEng.exe или find.exe - недавняя тема с тем же майнером. Обратие внимание, ТС пишет:
Создается папка невидимая.Удалял но она появляется опять
C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4
Папка и сам майнер другие, файл evntagnt.dll не просто так лежит в системной папке, она запускается через сервис:
R2 EvntAgntSvc_b9ac91; C:\WINDOWS\SysWOW64\evntagnt.dll [106512 2023-11-19] (Microsoft Corporation) [Файл не подписан]
И время создания dll на минуту меньше, чем папки с майнером:
2023-11-19 01:59 - 2023-11-19 13:53 - 000000000 __SHD C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4 2023-11-19 01:58 - 2023-11-19 01:58 - 000106512 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\evntagnt.dll
Ну и папка с майнером перестала восстанавливаться именно после удаления службы и evntagnt.dll.
Просто встречаю этот майнер не 2-й и не 3-й раз. А то, что детекта по evntagnt.dll и mobsync.dll нет - это недоработка антивирусных вендоров. Кстати, несколько вариантов с разными хэшами попадалось, все загружал на VT.
#18
Отправлено 08 Декабрь 2023 - 04:44
Reo194, утилита лечения для вашего компьютера: https://drw.sh/ncfasf
#19
Отправлено 08 Декабрь 2023 - 13:51
Просто встречаю этот майнер не 2-й и не 3-й раз. А то, что детекта по evntagnt.dll и mobsync.dll нет - это недоработка антивирусных вендоров. Кстати, несколько вариантов с разными хэшами попадалось, все загружал на VT.
Теперь есть )) - ловим как Trojan.Loader.1907
#20
Отправлено 08 Декабрь 2023 - 14:25
Теперь есть )) - ловим как Trojan.Loader.1907
ЗдорОво )
Also tagged with one or more of these keywords: Майнер, вирус
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
taskhost.exe майнер появляется каждый раз после перезагрузкиАвтор: Medicoments , 01 сен 2024 майнер, taskhos, taskhostw |
|
|
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
net:malware.url Грузит ноутАвтор: Steplyx , 17 авг 2024 Вирус |
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Скрытый майнерАвтор: event111 , 13 июл 2024 майнер |
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Подозрение на майнер но это не точно.Автор: Ursus , 30 май 2024 майнер |
|
|
||
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Прошу помощи в излечении системы!Автор: OrgFrize , 02 апр 2024 Trojan, Вирус, Закрытие окон |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых