Перейти к содержанию

[РЕШЕНО] Поймал вредоносное ПО


hu553in

Рекомендуемые сообщения

Проблема схожая с соседними темами.

  • C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic
  • ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует
  • в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0

Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.

Помогите пожалуйста.

Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.

DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт очистки в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.


 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply
deltmp
delref %SystemDrive%\USERS\SERGI\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ154\CPUZ154_X64.SYS
delref %Sys32%\DRIVERS\HSSTAP.SYS
delref %SystemDrive%\USERS\SERGI\APPDATA\LOCAL\TEMP\HWINFO64A_180.SYS
delref %SystemDrive%\USERS\SERGI\APPDATA\ROAMING\VK TEAMS\BIN\VKTEAMS.EXE
;-------------------------------------------------------------
restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска для контроля

+

добавьте все логи по правилам.

Порядок оформления запроса о помощи».

 

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

@safety

 

Сделал, спасибо большое, прикрепляю лог и образ от uVS.

 

Прошу прощения за неверное оформление - так же прикрепляю логи от AutoLogger (уже после очистки).

DESKTOP-CIJDVRS_2024-09-23_15-18-46_v4.99.1v x64.7z 2024-09-23_15-12-14_log.txt CollectionLog-2024.09.23-15.28.zip

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, hu553in сказал:

Сделал, спасибо большое, прикрепляю лог и образ от uVS.

Судя по логу, и новому образу, майнер успешно защищается от удаления.

 

Этот же скрипт выполните в uVS только из безопасного режима системы (с поддержкой сети)

после выполнения скрипта загружаемся в нормальный режим,

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска для контроля.

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Отлично,

Теперь система очищена от майнера и его вредоносных потоков.

Активности Dialer.exe, которая была в предыдущем образе

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DIALER.EXE [8384]

в текущем образе нет.

Множественных потоков, внедренных в системные процессы нет.

Службы HKLM\System\CurrentControlSet\Services\GoogleUpdateTaskMachineQC\ImagePath, защищенной от удаления, которая запускала файл C:\ProgramData\Google\Chrome\updater.exe,  нет.

C:\ProgramData\Google\Chrome\updater.exe - удален.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

по возможности обновите данное ПО:

 

NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.128.0.2739.79 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.20 (64-разрядная) v.6.20.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9024 Внимание! Скачать обновления
Slack v.4.39.95 Внимание! Скачать обновления
Zoom v.5.17.0 (28375) Внимание! Скачать обновления

AmneziaVPN v.4.6.0.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.47134 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent v.4.6.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 381 (64-bit) v.8.0.3810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.18 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.7.3.1081 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.128.0.6613.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • ipostnov
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • xSmashQQQ
      От xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
    • grammer91
      От grammer91
      Добрый день!
       
      Проблема в следующем: после запуска системы примерно через 30 секунд запускается и сразу закрывается Powershell, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Проверку на вирусы запускал дважды, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему, пожалуйста
      CollectionLog-2024.11.14-11.33.zip
    • vlanzzy
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
×
×
  • Создать...