0 / 0 / 0
Регистрация: 03.07.2021
Сообщений: 8
|
|
1 | |
Скрытый майнер в процессе lsass.exe03.07.2021, 08:33. Показов 2282. Ответов 12
Метки нет (Все метки)
Доброго времени суток, проблема следующая:
В поисках одной программы установил себе скрытый майнер и кучу другой разной дряни. Помимо майнера Дроппером были установлены всякие яндекс шляпы и разная рекламная дрянь, от которой я избавился, ибо понимал, что возможно тот софт, что я качаю - вирусный. Сделал заранее бэкап системы и откатился на него, но в результате всё равно были украдены пароли от разных аккаунтов, которые я уже восстановил, пароли сменил (думал, что самый умный, но кодер вируса оказался умнее). Вирусом были загружены видео на мой YT канал, которые я тут же удалил, была удалена двухфакторная аутентификация с Google-аккаунта, тоже восстановил. В общем с помощью бэкапа удалилось всё, кроме самого майнера. Прогонял сканы различными программами, в числе которых: AVG Antivirus, HitmanPro, Malwarebytes, RogueKiller, SpyHunter 5, Kaspersky Interner Security, NOD32, ни один из них не определил майнер как вирус. Пробовал сканировать в Safe Mode, но майнер активен даже в этом случае. Пробовал сканировать с помощью Kaspersky Rescue Disc, безрезультатно. Утилита, опять же, не распознаёт майнер как угрозу. Поведение майнера следующее: запускается он не сразу, а спустя минуту-две после входа в систему. При попытке удаления файла tDEx1u.sys (а именно этот файл был создан в каталоге C:/Windows/System32/drivers в то время, когда я ставил этот софт, я запомнил время) - он сам себя восстанавливает, сразу же. При открытии Диспетчера задач майнер приостанавливает свою деятельность, но т.к. у меня постоянно на втором мониторе открыт MSI Afterburner - я вижу скачки загруженности процессора в диапазоне 15-80%, график во вложениях. Пробовал заархивировать файл, не даётся, ошибка с правами доступа. Ни переименовать, ни скопировать себя так же не даёт, те же права доступа. Судя по всему, гадёныш как-то защищает себя от сканирования, т.к. при попытке ручного сканирования именно этого файла любым вышеперечисленным способом мне выдаёт "Угроз не обнаружено, просканировано файлов: 0". Искал файлы по дате создания за 26.06.2021, в списке найденных именно за промежуток времени, когда я запускал этот софт есть только этот файл (между 23:40 и 23:50). Через AnVir в потоках процесса lsass.exe нашёл 8 потоков, нагружающих процессор. При их убийстве нагрузка снижается до нормальных в простое значений (3-10%). После длительного сна и перезагрузки потоки возвращаются к работе. Прикрепляю логи с работающим майнером и изображения графика загрузки ЦП, а так же скриншот потоков, если последнее вдруг будет полезно. Не пойму как же его убрать. Он вроде и не сильно мешает, т.к. нагрузку я понял как убрать, но сам факт наличия его в моей системе меня не устраивает. Знаю что сам дурак, поэтому прошу помощи, заранее благодарю.
0
|
03.07.2021, 08:33 | |
Ответы с готовыми решениями:
12
Скрытый майнер в системном процессе lsass.exe Скрытый майнер в процессе SVChost.exe Скрытый майнер svchost.exe скрытый майнер MicrosoftHost.exe |
0 / 0 / 0
Регистрация: 03.07.2021
Сообщений: 8
|
|
03.07.2021, 08:51 [ТС] | 2 |
Забыл запустить логгер от имени админа, прикладываю новый лог. Кстати, в моей винде отключен дефолтный защитник (прям с потрохами выпилен), как и Центр Обновлений.
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,035
|
|
04.07.2021, 10:10 | 3 |
Здравствуйте!
Дополнительно: Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы. Подготовьте лог uVS.
1
|
0 / 0 / 0
Регистрация: 03.07.2021
Сообщений: 8
|
|
04.07.2021, 13:33 [ТС] | 4 |
Готово. По поводу Autoruns, там ведь не графическая версия, которая не создаёт логов (по ссылке, что вы мне дали). Я запустил и эту версию, она сделала свои дела и закрылась, потом скачал ещё графическую версию и на всякий случай прикрепил лог от неё.
0
|
0 / 0 / 0
Регистрация: 03.07.2021
Сообщений: 8
|
|
04.07.2021, 13:43 [ТС] | 5 |
И ещё кое-что забыл, нашёлся ещё один файл под названием C_32770.NLS в каталоге C:\Windows\System32, созданный 26.06.2021 23:46, то есть через 5 минут после создания tDEx1u.sys. Этот файл уже сканится, Касперский угроз не обнаружил. На Virustotal он не загружается, по архивации/копированию и т.д. ведёт себя точно так же, как и tDEx1u.sys. В каталоге имеются другие файлы .NLS, но все они за 2019 год.
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,035
|
|
04.07.2021, 14:38 | 6 |
Внимание! Рекомендации написаны специально для пользователя Николай_Иванов. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Выполните скрипт в UVS. Код
;uVS v4.11.6 [[url]http://dsrt.dyndns.org:8888][/url] ;Target OS: NTv10.0 v400c regt 39 restart Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер может быть перезагружен. Соберите образ автозапуска uVS по этой инструкции.
1
|
0 / 0 / 0
Регистрация: 03.07.2021
Сообщений: 8
|
|
05.07.2021, 12:47 [ТС] | 7 |
Есть ли какая-то альтернатива создания загрузочной флешки? Я не могу понять, как интегрировать драйвера в образ. Пытался делать по инструкции через команду Dism /image:C:\winpe\mount /Add-Driver /Driver:Путь к .inf, но что скачанные в сети драйвера, что вытащенные из Win7 с помощью Dism++, в которой эти драйвера были уже зашиты изначально не интегрируются, всегда ошибка 2, не удалось установить пакет драйверов.
В логах вот это: Кликните здесь для просмотра всего текста
DISM Driver Manager: PID=4308 Driver C:\Users\�������\Desktop\drivers\1\amdhub31.inf is boot-critical. - CDriverPackage::FillInPackageDetails
2021-07-05 12:26:31, Info IsDriverPackageSigned: File [C:\Users\Николай\Desktop\drivers\1\amdhub31.inf] is signed by a catalog [C:\Users\Николай\Desktop\drivers\1\amdhub31.cat] 2021-07-05 12:26:31, Info DISM DISM Driver Manager: PID=4308 Signature status of driver C:\Users\�������\Desktop\drivers\1\amdhub31.inf is: SIGNED - CDriverPackage::InitSignatureStatus 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 Failed to install the driver package 'C:\Users\�������\Desktop\drivers\1\amdhub31.inf'. - CDmiDriverStore::Import(hr:0x80070002) 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 Failed to install the driver package 'C:\Users\�������\Desktop\drivers\1\amdhub31.inf'. - CDriverPackage::InternalInstall(hr:0x80070002) 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 d:\w7rtm\base\ntsetup\opktools\dism\providers\dmiprovider\dll\driverpackage.cpp: 433 - CDriverPackage::Install(hr:0x80070002) 2021-07-05 12:26:31, Info DISM DISM Driver Manager: PID=4308 Driver package C:\Users\�������\Desktop\drivers\1\amdhub31.inf failed to install. (hr:0x80070002). - CDriverManager::AddDriverPackagesFromCollection 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 d:\w7rtm\base\ntsetup\opktools\dism\providers\dmiprovider\dll\drivermanager.cpp: 1063 - CDriverManager::Internal_DoAddDriverPackage(hr:0x80070002) 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 d:\w7rtm\base\ntsetup\opktools\dism\providers\dmiprovider\dll\drivermanager.cpp: 519 - CDriverManager::ExecuteCmdLine(hr:0x80070002) 2021-07-05 12:26:31, Info DISM DISM Driver Manager: PID=4308 Further logs for driver related operations can be found in the target operating system at %WINDIR%\inf\setupapi.offline.log - CDriverManager::ExecuteCmdLine 2021-07-05 12:26:31, Error DISM DISM.EXE: DriverManager processed the command line but failed. HRESULT=80070002 Эти драйвера для USB 3.0, с чипсетом х370 от AMD ни один USB-порт на 7 не работает, если только в неё уже не зашиты драйвера. Я сделал загрузочную флешку, поставил всё как надо, загрузился в Win PE, всё хорошо, вижу меню, вот только сделать я ничего там не могу, ни одно устройство ввода не работает. В плате нет PS/2, нет эмуляции PS/2 в UEFI, нет BIOSa, только этот самый UEFI, отключение XHCI не помогает. Перекинуть хранилище с заражённой системой на другой ПК не вариант, нет плат на старых чипсетах под рукой со слотами под SSD M.2 (моё системное хранилище). Второй день ковыряюсь, не знаю что делать уже. Хотел было уже форматнуть SSD и накатить систему по новой, да ведь не факт, что майнер удалится, они ведь и после форматирования могут выжить.
0
|
0 / 0 / 0
Регистрация: 03.07.2021
Сообщений: 8
|
|
06.07.2021, 07:06 [ТС] | 8 |
С горем пополам сделал, спасибо человеку, который скинул в ЛС образ, созданный из-под Win10. Делал так: вытащил все накопители, контактировавшие с заражённой системой, поставил семёрку на чистый накопитель и делал на ней все манипуляции с записью образа и т.д.. Потом подключил все накопители обратно, отключил с чистой семёркой и просканил. Лог скидываю так же с семёрки.
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,035
|
|
06.07.2021, 16:58 | 9 |
Сообщение было отмечено Николай_Иванов как решение
Решение
Выполните этот скрипт:
Код
;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %Sys32%\DRIVERS\TDEX1U.SYS addsgn 9AB03EF37D82AEA06FD4AEB165C216052FFEFEF68CCE1E7885C397C83C9114387572B124573AF3492B80CDF001733DBE18A98111309BC4584C14CC42A2685631 64 Win32/Agent.ABZW.gen 7 chklst delvir apply deltmp czoo quit В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Убедитесь, что лог выполнения и карантин у вас сохранены на флешке. Далее загружаетесь в нормальном режиме и соберите новый образ автозапуска uVS.
1
|
0 / 0 / 0
Регистрация: 03.07.2021
Сообщений: 8
|
|
07.07.2021, 09:15 [ТС] | 10 |
Спасибо большое, майнер вроде бы кончился. Прикрепляю лог и образ автозапуска, карантин отправил.
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,035
|
|
07.07.2021, 20:19 | 11 |
Отлично! В завершение:
1
|
0 / 0 / 0
Регистрация: 03.07.2021
Сообщений: 8
|
|
08.07.2021, 10:24 [ТС] | 12 |
Готово.
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,035
|
|
08.07.2021, 20:48 | 13 |
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.329.19041.0 Внимание! Скачать обновления Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено ------------------------------- [ HotFix ] -------------------------------- HotFix KB5003637 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ NVIDIA GeForce Experience 3.22.0.32 v.3.22.0.32 Внимание! Скачать обновления Wireshark 3.2.6 64-bit v.3.2.6 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- K-Lite Codec Pack 15.2.6 Basic v.15.2.6 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Opera GX Stable 76.0.4017.208 v.76.0.4017.208 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Читайте Рекомендации после удаления вредоносного ПО
0
|
08.07.2021, 20:48 | |
08.07.2021, 20:48 | |
Помогаю со студенческими работами здесь
13
Скрытый майнер в svchost.exe Скрытый Майнер в разделе MicrosoftHost.exe Скрытый майнер замаскирован под Notepad.exe Процесс svchost.exe грузит процессор после подключения к интернету с ноутбука , Svchost.exe, скрытый майнер, узел универ Скрытый майнер Скрытый майнер? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |