Перейти к содержанию

Майнеры и KVRT


Рекомендуемые сообщения

21.06.2023 в 14:40, Viktor сказал:
21.06.2023 в 10:22, Friend сказал:

1. Пытаются ли разработчики продукта решить проблему с установкой антивируса после действия майнера, чтобы пользователи лишний раз не обращались в поддержку и антивирус сам удалял все последствия майнера после успешной установки, пример, одной темы на форуме? Или же майнер сильнее?

Решение проблемы есть – это Kaspersky Virus Removal Tool. На вопрос на форуме наш сотрудник сегодня ответит. Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 1 month later...

Да, было бы неплохо доработать AV block remover так, чтобы он удалял задачи на запуск вредоносного батника, восстанавливающего майнер через PowerShell, и сам батник вместе с самораспаковывающимися архивами. Ну и KVRT, соответственно, тоже. Пока-что только Miner Search более-менее нормально удаляет этот майнер.

Хотя и с ним есть некоторые проблемы.

22 минуты назад, Friend сказал:

Да, кажись майнер еще начал создавать ветки ключей, которые мешают установки антивируса.

Как мне кажется, возникшая у того человека проблема была не из-за майнера, а из-за чего-то другого. Хотя рано ещё делать какие-либо выводы.

Но, если это окажется действительно так, то это печально.

Изменено пользователем NikitaDob
Ссылка на комментарий
Поделиться на другие сайты

  • 5 weeks later...
On 22.08.2023 at 01:39, NikitaDob said:

Как мне кажется, возникшая у того человека проблема была не из-за майнера, а из-за чего-то другого. Хотя рано ещё делать какие-либо выводы.

Но, если это окажется действительно так, то это печально.

Столкнулся в конце августа с подобным случаем. Там были вынесены все пользователи из подветок антивирусов в HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node.

 

Из активных зловредов в системе был известный кейс с апдейтером Google Chrome:

C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

https://www.virustotal.com/gui/file/6e9b3d4db604e79c053e69230ba3fe2981a045796566f729c5dd782322d8ff2b/behavior

 

Quote

Полное имя                  C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла                   UPDATER.EXE
Тек. статус                 ?ВИРУС? ВИРУС в автозапуске
                            
Обнаруженные сигнатуры      
Сигнатура                   Win64/GenKryptik.GIIA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-08-28
                            
www.virustotal.com          2023-07-13 17:23 [2023-07-13]
K7AntiVirus                 Trojan ( 005a508c1 )
Symantec                    ML.Attribute.HighConfidence
ESET-NOD32                  a variant of Win64/GenKryptik.GIIA
Kaspersky                   Trojan.Win64.Reflo.caf
BitDefender                 Gen:Variant.Barys.382682
Avast                       Win64:Evo-gen [Trj]
Emsisoft                    Gen:Variant.Barys.382682 (B)
Microsoft                   Trojan:Win32/Wacatac.B!ml
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     647305189F0000
Linker                      2.38
Размер                      10381312 байт
Создан                      04.06.2023 в 12:10:53
Изменен                     16.06.2023 в 18:07:21
                            
TimeStamp                   28.05.2023 в 07:39:04
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Версия файла                70,0,3538,110
Описание                    Google Chrome
Производитель               Google Inc.
                            
Доп. информация             на момент обновления списка
SHA1                        F646E84DC91A32D2C06CC36E6FC7DF1F6C3D0D87
MD5                         CBF41D5AA487E94FE7F1DBF6C1AE2ABB
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task                        \GoogleUpdateTaskMachineQC
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88932E95-EB12-423E-8FEB-B562CDB83B62}\Actions
Actions                     "C:\Program Files\Google\Chrome\updater.exe"
Задача создана              04.06.2023 в 12:10:53
Последний запуск            28.08.2023 в 11:14:07
Код ошибки                  0x0
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{88932E95-EB12-423E-8FEB-B562CDB83B62}\

После очистки системы, установка по теперь уже понятной причине не пошла.

Добавить пользователя в подветку реестра не получилось, возможно по причине того что regedit запускался с правами Администратора. Удаляли ветки вручную, но regedit запускался уже с правами Системы. psexec -i -d -s c:\windows\regedit.exe.

 

Далее, уже установка прошла успешно.

 

Не факт, конечно, что блокировка была выполнена  именно данным зловредом, но других активных зловредов уже не было, оставались только следы.

                           

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

21.08.2023 в 21:39, NikitaDob сказал:

Да, было бы неплохо доработать AV block remover так, чтобы он удалял задачи на запуск вредоносного батника, восстанавливающего майнер через PowerShell, и сам батник вместе с самораспаковывающимися архивами.

скоро

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kiperenok
      От kiperenok
      Добрый вечер ! Та же проблема. Выполнил первые 2 пункта со скриптами а AVZ. Вот файл карантина 2024.12.22_Quarantine_27237554ca4507fb7f620afc014cd433.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • November 11
      От November 11
      Я не знаю от куда появился майнер. Пк был не у меня какое-то время
      Но это точно что-то из этого так как начался сильный нагрев, а также сайты с антивирусом закрывает
      Доступа к сайту нет
      4.zip
    • Марко32
      От Марко32
      Начал замечать, что без ничего видеокарта работает на 20 процентов. Но когда открываю диспетчер задач оно сразу же пропадает (но видно на долю секунду).
      Сделал анализ в FRST. Пожалуйста, помогите.
      Addition.txt FRST.txt
    • Luxory
      От Luxory
      то ли после скачивания программы или чего-то ещё. у меня стал шуметь ноутбук в простых задачах. для большего понимания вот мои характеристики: Lenovo LegionY540-15irh i7-9750HF / GTX 1660Ti/ Windows 10 pro / он стал шуметь в простых задачах от нагрузки. которая появлялась из неоткуда. как открываю диспетчер задач. нагрузка на процессор сразу же падает до 0-5 процентов. а в играх нагрузка добавляется на 20-30 процентов. перестали открываться такие приложения как (реестр. msi afterbutner. msconfig.) и иногда во время игры открывается командная строка на миллисекунду каждые 10 секунд. что очень мешает. проводил проверки разными антивирусами. вирусы нашёл только KVRT и Malware. но они нашли всякие трояны и рекламные вирусы. т.е. мне с моей проблемой не помогли. пробовал отключать задачи в планировщике. не помогло. пробовал в командной строке 2 проверки для восстановления чего-то. они помогли лишь на время. потом снова начала вылезать командная строка в играх. первые 10 минут игры всё нормально. и после первого открытия командной строки они уже выскакивает каждые 10 секунд и исчезает. многие жаловались на процесс sihost.exe но я его пробовал отключать. так же безрезультатно. не знаю что делать. может быть проще будет переустановить ОС?
    • bebrov228228
      От bebrov228228
      Здравствуйте помогите пожалуйста скачивал всякие чит программы и в итоге скачал вновь какой то майнер пытался удалить через malwerbytes, Rogue killer, FRST тут может у меня руки не с того места выросли но может вы поможете грузит проц на 50%
×
×
  • Создать...