Очень странное и необычное заражение вирусом удалённого доступа

[couitatg]

В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.

После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.

Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.

Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.

Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.

Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.

Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

CollectionLog-2024.12.15-13.23.zip

[safety]

Можете предоставить отчеты по обнаружениям из Касперского?

[couitatg]

@safety@safety

Прикрепляю скриншот Касперского на тот момент времени заражения.

 

К сожалению, не могу прикрепить все отчёты, потому что их очень много.

[safety]

Нужны отчеты по обнаружению угроз и отчет о сканировании.

Если размер файлов большой, можно добавить их в архив, если архив будет все еще большим, загрузить на облачный диск и дать ссылку на скачивание здесь.

[safety]

+

дополнительно сделайте, пожалуйста, образ автозапуска системы в uVS с включенным отслеживанием процессов и задач:

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог

3. и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора)
4. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

5.  Заходим в меню - дополнительно - твики - включить твик 39.

     перегружаем систему, после перезагрузки еще раз выполняем п. 3, 4, и далее, 6, 7, 8.

6. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

7. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
8. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

сделайте дополнительно логи FRST

[couitatg]

@safety

К сожалению, в силу определённых обстоятельств, я смогу прикрепить отчёты только на следующей неделе.

 

Заранее уточню: Подскажите, а как собрать отчёты по Касперскому? Где они находятся?

[thyrex]

@couitatg, а Вы по какой причине установили Kaspersky Technical Preview? Бета-тестер?

[couitatg]

@thyrex

Ну, можно и так сказать, установил бета-версию для теста

[safety]

11 минут назад, couitatg сказал:

Заранее уточню: Подскажите, а как собрать отчёты по Касперскому? Где они находятся?

Обычно отчеты в Касперском создаются через интерфейс антивируса в разделе Отчеты. можно указать формат файлов. Лучше в виде txt.

13 минут назад, couitatg сказал:

К сожалению, в силу определённых обстоятельств, я смогу прикрепить отчёты только на следующей неделе.

С отчетами было бы удобнее анализовать степень зараженности системы.

Пока можно сделать дополнительные логи.

[thyrex]

@couitatg, ну это Вы сами себя записали в тестеры... Настройки по умолчанию меняли в антивирусе?

 

1 час назад, couitatg сказал:

Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.

как обнаружили? Или это снова антивирус подсказал?

[couitatg]

@thyrex

Настройки по умолчанию почти не менялись, кроме фильтрации трафика (отключил), так как из-за нее невозможно было пользоваться каким-либо сайтом, просто не пускало.

Вредоносные объекты были обнаружены также антивирусом.

[thyrex]

Тогда давно пора уже выполнить

3 часа назад, safety сказал:

Пока можно сделать дополнительные логи

Заодно и отчеты давно нашли бы и прикрепили.

 

А Вы тратите время впустую на переписку.