Перейти к содержанию
Правила раздела

Очень странное и необычное заражение вирусом удалённого доступа

couitatg

От couitatg
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

couitatg Новичок

couitatg

Опубликовано
Опубликовано

В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.

После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.

Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.

Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.

Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.

Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.

Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

photo_2024-12-15_14-00-46.jpg

CollectionLog-2024.12.15-13.23.zip

Ссылка на комментарий
Поделиться на другие сайты
couitatg Новичок

couitatg

Опубликовано
  • Автор
Опубликовано

@safety@safety

Прикрепляю скриншот Касперского на тот момент времени заражения.

 

К сожалению, не могу прикрепить все отчёты, потому что их очень много.

IMG_20241215_142033_969.jpg

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Нужны отчеты по обнаружению угроз и отчет о сканировании.

Если размер файлов большой, можно добавить их в архив, если архив будет все еще большим, загрузить на облачный диск и дать ссылку на скачивание здесь.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

+

дополнительно сделайте, пожалуйста, образ автозапуска системы в uVS с включенным отслеживанием процессов и задач:

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог

3. и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора)
4. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

5.  Заходим в меню - дополнительно - твики - включить твик 39.

     перегружаем систему, после перезагрузки еще раз выполняем п. 3, 4, и далее, 6, 7, 8.

6. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

7. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
8. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

сделайте дополнительно логи FRST

Ссылка на комментарий
Поделиться на другие сайты
couitatg Новичок

couitatg

Опубликовано
  • Автор
Опубликовано

@safety

К сожалению, в силу определённых обстоятельств, я смогу прикрепить отчёты только на следующей неделе.

 

Заранее уточню: Подскажите, а как собрать отчёты по Касперскому? Где они находятся?

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
11 минут назад, couitatg сказал:

Заранее уточню: Подскажите, а как собрать отчёты по Касперскому? Где они находятся?

Обычно отчеты в Касперском создаются через интерфейс антивируса в разделе Отчеты. можно указать формат файлов. Лучше в виде txt.

13 минут назад, couitatg сказал:

К сожалению, в силу определённых обстоятельств, я смогу прикрепить отчёты только на следующей неделе.

С отчетами было бы удобнее анализовать степень зараженности системы.

Пока можно сделать дополнительные логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

@couitatg, ну это Вы сами себя записали в тестеры... Настройки по умолчанию меняли в антивирусе?

 

1 час назад, couitatg сказал:

Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.

как обнаружили? Или это снова антивирус подсказал?

Ссылка на комментарий
Поделиться на другие сайты
couitatg Новичок

couitatg

Опубликовано
  • Автор
Опубликовано

@thyrex

Настройки по умолчанию почти не менялись, кроме фильтрации трафика (отключил), так как из-за нее невозможно было пользоваться каким-либо сайтом, просто не пускало.

Вредоносные объекты были обнаружены также антивирусом.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Тогда давно пора уже выполнить

3 часа назад, safety сказал:

Пока можно сделать дополнительные логи

Заодно и отчеты давно нашли бы и прикрепили.

 

А Вы тратите время впустую на переписку.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Сергей194
      Вирус шифровальщик, нет доступа к базе 1с
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • Даниил342432
      Здравствуйте, у меня при попытки установки удаленного доступа на компьютер попал вирус, предположительно neshta и зашифровал все файлы в формат KASPER.
      От Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
    • alandish
      Удалённый доступ / adware?
      От alandish
      Здравствуйте.

      Довольно давно уже я обратил внимание, что система работает медленнее, но не придавал этому значения.
      А на днях совершенно неожиданно в моих наушниках раздался голос постороннего человека. Из программ были открыты только telegram (в трее) и браузер с единственной вкладкой хорошо знакомого мне сайта. На пролезшую рекламу голос был не похож.
       
      В установленных приложениях обнаружил программу Remote Desktop Connection, возможно прилетела с одним из обновлений Windows. Эту программу я удалил.
       
      Из другого, заметил в Event Viewer-е что журнал приложений очищен до даты когда раздался голос, а системные процессы svchost.exe MpDefenderCoreService.exe MsMpEng.exe устанавливают соединение с ip-адресами, имеющими негативный рейтинг на virustotal и которые находятся в базе abuseipdb, такими как    224.0.0.252    239.255.255.250    52.113.194.132    204.79.197.203
       
      Помогите пожалуйста разобраться, установлено ли вредоносное ПО на моём компьютере.
      CollectionLog-2024.05.29-15.10.zip
    • flow
      Майнер и удалённый доступ
      От flow
      Здравствуйте, поймал Майнер, обнаружил когда увидел нового пользователя John, AVbr скачать не удалось, просто не пускает на сайт, а FRST скачал, логи ниже. Что можно сделать, чтобы избавиться от него?
       
       
       
      Downloads.zip
    • Андрей1423
      Вирус не дает запустить Антивирус и отказывает в доступе к папке антивируса
      От Андрей1423
      Столкнулся с вирусом  как я понял маининг как в статье "https://forum.kasperskyclub.ru/topic/81535-resheno-virusyvozmozhno-trojan-blokiruet-zapusk-ustanovki-antivirusa-kasperskij/" не могу удалить с компьютера при запуски антивируса дает приложиную ошибку  

×
×
  • Создать...