Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
21.06.2023 в 14:40, Viktor сказал:
21.06.2023 в 10:22, Friend сказал:

1. Пытаются ли разработчики продукта решить проблему с установкой антивируса после действия майнера, чтобы пользователи лишний раз не обращались в поддержку и антивирус сам удалял все последствия майнера после успешной установки, пример, одной темы на форуме? Или же майнер сильнее?

Решение проблемы есть – это Kaspersky Virus Removal Tool. На вопрос на форуме наш сотрудник сегодня ответит. Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

 

  • 1 месяц спустя...
  • Ответов 33
  • Создана
  • Последний ответ

Топ авторов темы

  • thyrex

    7

  • Viktor

    6

  • Friend

    4

  • andrew75

    4

Опубликовано (изменено)

Да, было бы неплохо доработать AV block remover так, чтобы он удалял задачи на запуск вредоносного батника, восстанавливающего майнер через PowerShell, и сам батник вместе с самораспаковывающимися архивами. Ну и KVRT, соответственно, тоже. Пока-что только Miner Search более-менее нормально удаляет этот майнер.

Хотя и с ним есть некоторые проблемы.

22 минуты назад, Friend сказал:

Да, кажись майнер еще начал создавать ветки ключей, которые мешают установки антивируса.

Как мне кажется, возникшая у того человека проблема была не из-за майнера, а из-за чего-то другого. Хотя рано ещё делать какие-либо выводы.

Но, если это окажется действительно так, то это печально.

Изменено пользователем NikitaDob
  • 5 недель спустя...
Опубликовано (изменено)
On 22.08.2023 at 01:39, NikitaDob said:

Как мне кажется, возникшая у того человека проблема была не из-за майнера, а из-за чего-то другого. Хотя рано ещё делать какие-либо выводы.

Но, если это окажется действительно так, то это печально.

Столкнулся в конце августа с подобным случаем. Там были вынесены все пользователи из подветок антивирусов в HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node.

 

Из активных зловредов в системе был известный кейс с апдейтером Google Chrome:

C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

https://www.virustotal.com/gui/file/6e9b3d4db604e79c053e69230ba3fe2981a045796566f729c5dd782322d8ff2b/behavior

 

Quote

Полное имя                  C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла                   UPDATER.EXE
Тек. статус                 ?ВИРУС? ВИРУС в автозапуске
                            
Обнаруженные сигнатуры      
Сигнатура                   Win64/GenKryptik.GIIA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-08-28
                            
www.virustotal.com          2023-07-13 17:23 [2023-07-13]
K7AntiVirus                 Trojan ( 005a508c1 )
Symantec                    ML.Attribute.HighConfidence
ESET-NOD32                  a variant of Win64/GenKryptik.GIIA
Kaspersky                   Trojan.Win64.Reflo.caf
BitDefender                 Gen:Variant.Barys.382682
Avast                       Win64:Evo-gen [Trj]
Emsisoft                    Gen:Variant.Barys.382682 (B)
Microsoft                   Trojan:Win32/Wacatac.B!ml
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     647305189F0000
Linker                      2.38
Размер                      10381312 байт
Создан                      04.06.2023 в 12:10:53
Изменен                     16.06.2023 в 18:07:21
                            
TimeStamp                   28.05.2023 в 07:39:04
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Версия файла                70,0,3538,110
Описание                    Google Chrome
Производитель               Google Inc.
                            
Доп. информация             на момент обновления списка
SHA1                        F646E84DC91A32D2C06CC36E6FC7DF1F6C3D0D87
MD5                         CBF41D5AA487E94FE7F1DBF6C1AE2ABB
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task                        \GoogleUpdateTaskMachineQC
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88932E95-EB12-423E-8FEB-B562CDB83B62}\Actions
Actions                     "C:\Program Files\Google\Chrome\updater.exe"
Задача создана              04.06.2023 в 12:10:53
Последний запуск            28.08.2023 в 11:14:07
Код ошибки                  0x0
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{88932E95-EB12-423E-8FEB-B562CDB83B62}\

После очистки системы, установка по теперь уже понятной причине не пошла.

Добавить пользователя в подветку реестра не получилось, возможно по причине того что regedit запускался с правами Администратора. Удаляли ветки вручную, но regedit запускался уже с правами Системы. psexec -i -d -s c:\windows\regedit.exe.

 

Далее, уже установка прошла успешно.

 

Не факт, конечно, что блокировка была выполнена  именно данным зловредом, но других активных зловредов уже не было, оставались только следы.

                           

 

 

Изменено пользователем safety
Опубликовано
21.08.2023 в 21:39, NikitaDob сказал:

Да, было бы неплохо доработать AV block remover так, чтобы он удалял задачи на запуск вредоносного батника, восстанавливающего майнер через PowerShell, и сам батник вместе с самораспаковывающимися архивами.

скоро

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Yann
      Автор Yann
      Добрый день!
      Проблема с вирусом/майнером, нагружал CPU до максимальных значений и система в целом была нестабильна.
      При открытии диспетчера задач несколько раз автоматически закрывал его или сбрасывал нагрузку на процессор, впрочем через другие утилиты мониторинга нагрузку можно было наблюдать постоянно.
      Попытался скачать Dr.Web что бы провести скан, поскольку защитник винды ничего не показал, но вирус не дал запустить экзешник установщика из за отсутствия прав администратора.
      После этого я не на шутку перепугался и полностью снес винду, отформатировал/удалил каждый раздел на дисках и установил новую.
      Первым же делом скачал Dr.Web, в этот раз установка прошла без проблем и я провел полный скан который ничего не нашёл, посчитав что проблемы окончены начал скачивать гугл хром, но при попытке установки его экзешника антивирус заругался на угрозу и поместил экзешник и ещё один файл,в карантин и брэндмауер указал что процесс updater.exe пытается выйти в сеть и разумеется я запретил ему это, при этом я снова получил ошибку об отсутствии необходимых прав.
      После этого система кажется стабильной, ошибки с правами и повышенной нагрузки я не наблюдаю, провел ещё проверку с помощью Kaspersky Virus Removal tool и все было чисто, но я совершенно не уверен в том что так будет всегда и хотел бы получить экспертное мнение.
      Прикладываю логи автологера и скриншот файлов попавших в карантин:

      CollectionLog-2025.08.22-04.48.zip
    • Amurkin
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Isik
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Vovkaproshka
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • wekai
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
×
×
  • Создать...