Перейти к содержимому


Фото
- - - - -

csrss.exe&CloudNet

csrss.exe CloudNet

  • Please log in to reply
27 ответов в этой теме

#21 Antonye

Antonye

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 30 Май 2018 - 16:57

Вобщем, я эту шнягу вроде убил. Уже часов 12 вирусных признаков не наблюдаю.

Плохо только, что не отследил точный порядок действий.

Что делал:

- нашел еще одного "участника": C:\windows\windefender.exe. Пропустил его поначалу, посчитав Защитником винды. Потом шерстя Програмфайлес обнаружил там настоящего "защитника" - настоящий живет там, а кроме того и сигнатуры мелкомягких у C:\windows\windefender.exe нет. Кстати, сканеры на него вообще никак не реагировали.

- постоянно убивал задачи и удалял таски  - ну типа, чем меньше работает, тем меньше, возможно, нагадит

- в политики добавил запрет на запуск этих процессов. Поначалу думал, что не помогло, т.к. минимум некоторые процессы все равно запускались и вот тут я точно не помню - кажется стало запускаться одним процессом меньше - возможно он запускался под пользовательскими привилегиями, а остальные запускались под System.

- в очередной раз прочистил реестр - зачистил все упоминания на места размещения вредоносное программное обеспечениеа.

 

В определенный момент процессы перестали запускаться, таски в планировщике восстанавливаться. Удалил/скопировал каталоги и файлы вредоносное программное обеспечениеа.

Что интересно, обнаружил новые каталоги, с похоже недокачаными частями вредоносное программное обеспечениеа - видимо результат регулярного убийства процессов. У центрального файла (csrss.exe) видимо была попытка мимикрировать - имя другое, а иконка та же.

И вот тут есть предположение, что удачно был прерван процесс новой маскировки/мимикрии -  старая схема не была восстановлена, а новая не успела установится и прописаться в запуск.

____________________

Тикет не пришел. Видимо запрос без серийника дрВеба ни фига не отправляется, вопреки уверениям формы.

Части вируса похраню несколько дней -  если надо вышлю, только скажите куда. Потом грохну.

Всем спасибо! Ну, за моральную поддержку и участие! :)

____________________

ЗЫ: Пак обновлений установил. Не без проблем: в этот пак входит несколько проблемных обновлений, которые вызывают иногда проблемы и через Центр обновлений. Ну, тем не менее обновился.



#22 maxic

maxic

    Keep yourself alive

  • Moderators
  • 11 707 Сообщений:

Отправлено 30 Май 2018 - 17:12

Тикет не пришел. Видимо запрос без серийника дрВеба ни фига не отправляется, вопреки уверениям формы.

Всегда отправляю без серийника и всегда приходит.



#23 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 134 Сообщений:

Отправлено 30 Май 2018 - 17:56

Тикет не пришел. Видимо запрос без серийника дрВеба ни фига не отправляется, вопреки уверениям формы.

Отправьте повторно, но выбирайте категорию => "Подозрение на вирус"


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#24 fetch

fetch

    Member

  • Posters
  • 322 Сообщений:

Отправлено 30 Май 2018 - 19:50

А почему нельзя было просто свежий cureit запустить? Там этот windowsdefender.exe детектировался, как и остальные трои из вашего случая.

#25 Saint-Petersburg

Saint-Petersburg

    Newbie

  • Posters
  • 71 Сообщений:

Отправлено 30 Май 2018 - 19:54

Если проблематично через форму, отправьте на почту vms@rt-web.dev.drweb.com ,номер тикета получите на почту. 

Запакуйте файлы в архив с паролем "virus". 


ip9.gif

3fadbf9ddc56.gif

 


#26 Antonye

Antonye

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 31 Май 2018 - 03:14

А почему нельзя было просто свежий cureit запустить? Там этот windowsdefender.exe детектировался, как и остальные трои из вашего случая.

Ну тут, написали, что скачать свежий нужно после отправки и получения тикета, чего не произошло.

Кроме того сам csrss и cloudnet замечательно детектировался, но не вычищался, так что детектирование это полдела.

Что касается "остальные трои" -  похоже что они работали в связке, так что на мой взгляд это один пакет, а не разные "трои". Потому что, csrss и cloudnet то я вычищал руками, но пока не добрался до дефендера толку не было.



#27 sl4y3r

sl4y3r

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 31 Май 2018 - 08:21

 

А почему нельзя было просто свежий cureit запустить? Там этот windowsdefender.exe детектировался, как и остальные трои из вашего случая.

Ну тут, написали, что скачать свежий нужно после отправки и получения тикета, чего не произошло.

Кроме того сам csrss и cloudnet замечательно детектировался, но не вычищался, так что детектирование это полдела.

Что касается "остальные трои" -  похоже что они работали в связке, так что на мой взгляд это один пакет, а не разные "трои". Потому что, csrss и cloudnet то я вычищал руками, но пока не добрался до дефендера толку не было.

У меня все тоже самое. Вчера скачал куреита, сделал 1 прогон. Перезагрузил. Сделал еще 1 прогон в котором было 40+ файлов зараженных и все. Пока работает.



#28 fetch

fetch

    Member

  • Posters
  • 322 Сообщений:

Отправлено 01 Июнь 2018 - 01:32

 

А почему нельзя было просто свежий cureit запустить? Там этот windowsdefender.exe детектировался, как и остальные трои из вашего случая.

Ну тут, написали, что скачать свежий нужно после отправки и получения тикета, чего не произошло.

Кроме того сам csrss и cloudnet замечательно детектировался, но не вычищался, так что детектирование это полдела.

Что касается "остальные трои" -  похоже что они работали в связке, так что на мой взгляд это один пакет, а не разные "трои". Потому что, csrss и cloudnet то я вычищал руками, но пока не добрался до дефендера толку не было.

 

 

Вы не правильно поняли. Отправка в вирлаб и скачивание свежего cureit не были никак связаны. 

 

В некоторых случаях, аналитики могут получить образцы трояна просто по вашему отчету, что в данном случае и произошло с троем, который косил под дефендера.




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых