Вирус (бэкдор) DoublePulsar и Майнер (WINSec.exe/msiexev.exe)

Сперва важная информция которую мне удалось выяснить после детального исследования проблемы. Майнер - лишь симптом. Попадает на компьютер он через Backdoor DOUBLEPULSAR. Сам DOUBLEPULSAR появился в Сети 12-го апреля 2017 года, когда произошла утечка в Сеть утилит для взлома используемых Национальным Агенством Безопасности США. На эти утилиты тут же наложили лапы все кому не лень, и уже к 15-му апреля насчитывалось 1,951,075 серверов инфицированных Backdoor DOUBLEPULSAR. Майнер о котором пойдёт речь в этой теме использует именно этот бэкдор. Но через сам бэкдор на компьютере может появится всё что угодно, так что ждём дальнейшего развития событий.
У меня вирус пережил формат жёсткого диска, удаление разделов жёсткого диска, перепрошивку БИОСа и роутера, формат флэшки с Виндой, попытку установить Винду с другого образа - всё без толку. До сих пор, 2 недели спустя, никто не нашёл источник появления этого бэкдора на компьютере. Поэтому если у вас появился описанный в теме майнер, то более чем вероятно появился и бэкдор через который этот майнер скачивается.

Решение на данный момент есть только одно: срочно обновить Винду до самых последних обновлений, и по возможности закрыть 445 порт. Microsoft писали, что в недавнем обновлении эксплоит ETERNALBLUE, использующийся этим бэкдором, убрали. Сам бэкдор стучится через 445 порт.

И обратите внимание - в последней версии скачиваемого майнера, его файлы помечены как системные. Так что чтобы их увидеть, не забудьте включить просмотр системных файлов в Свойствах Папки.

Вот ссылка на один из использованных мною источников:
http://www.theregister.co.uk/2017/04/21/windows_hacked_nsa_shadow_brokers/
На русском варианта нет, но всю важную инфу я уже привёл выше.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Вот здесь вы можете провериться инфицированы ли вы этим бэкдором:
www.binaryedge.io/doublepulsar.html
(спасибо Embrace Futility)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Пока точно неизвестно гуляет ли этот (изначально серверный) бэкдор на серваках интернет-провайдеров, или просто кочует по сети в поисках жертв.


----------------------------

Такая ситуация: стоит мне отойти от компьютера минут на... ну, скажем 10, и нагрузка проца (Core i5 3570 @4.2 GHz) взлетает до 90% по всем ядрам. Но стоит открыть Task Manager или Process Explorer - и нагрузка магическим образом падает до нуля (майнер просекает и останавливает работу?).

Также комп самопроизвольно перезагружается когда меня за ним нет минут 30. Перегрева нет, точно. Даже когда нагрузка под 90% (темпеература поднимается вплоть до 65, но до реального перегрева это очень далеко).

И только что заметил что открытый (свёрнутый) Task Manager внезапно самопроизвольно выключился.

--------------

Итог: да, думаю что по всем признакам это какой-то очень хитрожопый майнер. Но вот беда - я только вчера форматнулся. Проблема была что до формата, что после. А я ни свой софт, ни свои игры не апдейтил уже месяц. И ничего нового не качал. Так что откуда он мог взяться - непонятно.

Есть какие предложения по ловле этого чуда?

UPDATE:
Сейчас обнаружил что:

C:\Windows\Security\WINSec.exe

Жрёт 70-75% проца. За всю жизнь такого не видел. Cейчас буду гуглить. Но подозреваю что "счастье" в нём.

UPDATE 2:
VirusTotal скан файла:

https://www.virustotal.com/en/file/450cb5593d2431d00455cabfecc4d28d42585789d84c25d25cdc5505189b4f9f/analysis/1493461158/

P.S. Если кто может найти внятную инфу по этой чебурашке, буду признателен. А то в Google только какие-то невнятные обрывки.

Комментарии: 240
Ваш комментарий

Почитал я вас тут и моя паранойя сразу же затребовала генеральную проверку.
Извините за оффтоп.

7

Прочти здесь https://www.bleepingcomputer.com/startups/Winsec.exe-18481.html
походу это вирус какой-то.

6

zuuc

Спасибо, полезно. Разве что несоответствие в том, что в описании файл находится в %System%, а у меня в Windows\Security. Но судя по всему это в любом случаме вирус.

Сейчас копнул install.wim своего образа Винды, так там вообще файла WINSec нет как такового. Похоже что файл пришёл не из установки.

zuuc написал:
в чистой винде такого файла нет

Да, как раз только что это заметил.

P.S. Сейчас удалил файл - тут же восстановился. Process Explorer показывает что "папа" у него C:\Windows\Prefetch\secscan.exe.

1

в чистой винде такого файла нет

6

Привет, камрады.
Подцепил тоже этот майнер несколько дней назад судя по всему. Сначала в сервисах обнаружил DHSWIQU, в процессах обнаружил фальшивый wininit.exe. Самый хороший вариант это запустить поиск файлов на диске С по ( датасоздания: 26. 04. 2017 .. 01. 05. 2017 ) - ну или даты, кто когда заметил активность/подцепил. Дальше отсортировать по типу и посмотреть, что за exe-шники и bat-ники появились за это время и какие новые файлы создались в \windows. Посмотреть какие папки подозрительно обновились по дате. Так удалось выявить большинство левых файлов и изменений. В корне windows я нашел start.bat, который создает
%windir%\db.sdb
%windir%\Prefetch\secscan.exe
%windir%\security\WINSec.exe
соответственно надо их удалить/вырезать. Еще в поиске нашлись в корне \Windows csrss.exe (оригинал должен жить в system32), un.exe, winsxslog.rar (который собственно и есть майнер) и папку winsxslog с файлами из которых он запускается. И еще во временных файлах браузера 1[1].exe, который возможно и являлся источником этого мусора. winsxslog.rar касперский ловит как майнер (RiskTool.Win64.BitCoinMiner), drweb ничего не поймал (была версия от 29.04, когда первый раз обнаружил, первомайская уже всё ловит).
Внутри архива winsxslog.rar SystemIISSec.exe, SystemIIS.exe, которые могут еще где-то выскочить во временных файлах.
В Windows\Temp постоянно создаются новые файлы формата s1kk.exe и тп. В реестре нашел secscan.exe в службах.
После внезапной неправильной перезагрузки заметил подозрительный процесс secscan.exe через Process Explorer, который тут же закрывался, если открыть диспетчер задач. А благодаря этому топику стал искать, спасибо.

По "winsxslog майнер" в поисковике ищется статья
odminblog.ru/cpu-miner-exploit-windows/

update
Свежий CureIT ловит secscan.exe и 1[1].exe как BackDoor.Spy.422,
а WINSec.exe Tool.BtcMine.948

5

oscarbin

Продолжение интриги. Вот вся информация чисто из моего опыта с этим майнером.

1) Майнер переживает формат.
2) Не похоже что он в каких-либо моих файлах, ибо модифицировал я их давно и ничего (абсолютно ничего) не качал.
3) Майнер маскируется под службы Windows И переименовывает себя. Раньше у меня был secscan.exe (процесс-папа) и WINSec.exe. После формата стал wuaupdate.exe процесс-папа; называется как-то так, точно не помню) и msiexev.exe. Хотя майнер и папа абсолютно те же.
4) Этот майнер отключается при вызове task manager'а чтобы избежать обнаружения. Но если task manager остаётся открытым, то примерно через пять минут процесс-папа его закроет и перезапустит майнер. Но к process explorer это не относится.
5) Процесс-папа зачем-то перезагружает комп через полчаса-час отсутствия юзера за компом. Крайне редко он может перезагрузить комп во время работы. В таком случае появляется критическая ошибка с сообщением о том, что компьютер будет перезапущен через минуту.

А теперь главная интрига. Я перекопал абсолютно все свои файлы и вируса не обьнаружил, хотя он пережил аж два формата. Но как только resetнул роутер, уже на протяжении 24 часов не восстанавливался ни файл процесса-папы, ни сам майнер. Из чего делаю вывод что как вариант, что-то пробралось в роутер и переадресовало его на скачивание этого майнера.
В пользу этого говорит ещё и то, что файлы на моём настольном компе и на ноуте совершенно идентичны, включая абсолютно все установленные программы и игры. А на ноуте вируса нет. И ноут подключён через Wi-Fi (не знаю имеет это отношение к скачке майнера или нет).

И последнее. У меня постоянно вылетает Overwatch с различными кодами ошибок (и только он) даже после реформата, даже на старых версиях дров. Причём вылетает в промежутках времени от нескольких минут до нескольких секунд. Ещё пару дней назад такого не было. Это не проблема игры (т.к. ни у кого с такой переодичностью не вылетает) и не проблема драйверов. Как ни крути, а похоже это так же относится к вирусу. Только не представляю зачем бы он запустил лапу в Overwatch. Быть может процесс-папа качает ещё какой-то вирус. Сложно сказать. Но вылетает и после удаления майнера и процесса-папы.

oscarbin написал:
start.bat
db.sdb
csrss.exe
un.exe
winsxslog.rar
winsxslog

У меня всего это нет... И не было.

Кстати в последнее время очень актуальный майнер. Из того что я нарыл в гугле, многие поймали его именно в последние несколько дней.

0

Ничесе
Автор скажи только, как считаешь это связано с твоей деятельностью или у тебя какое-то другое заболевание имеется?
Мне 30 и тоже у компа много времени провожу..

5

Если все работает "вроде" нормально), чем лучше проверить свою систему для выявления этой гадости?

5
rambling написал:
Как это объясняет появление вируса на чистой системе после формата?

Вирус без проблем переживет форматирование, если находится в MBR секторе диска, с выполнения которого начинается загрузка Windows.
Решать такие проблемы лучше всего не форматированием, а полным удалением всех разделов диска и созданием новых (при этом создается новый MBR). А еще чисто теоретически, может помочь конвертация раздела в FAT32, а затем обратно в NTFS.

4

А вот теперь, ребята, все идем сюда и проверяемся:
https://www.binaryedge.io/doublepulsar.html
Я вот выиграл в лотерею (всего 3500 зараженных компов в РФ).
Та же история была с майнером, еще дюжиной вирусов, которые накачивались раз в несколько дней, попытками редиректа на левые сайты, если верить антивирусу. Пару дней назад снес все к чертям и поставил 10, пока полет нормальный.

4

Embrace Futility

Если реальный сайт, а не хрень какая-то, то у меня...

Is Doublepulsar on your IP?
128.72.237.78
Is it infected? true
Port: 445
Last Detected: 2017-04-26T14:30:02.118000


Что, насколько я понимаю, значит что на серваках моего Билайна сидит именно тот бэкдор, на который я наполз выше?
И... 26-е апреля. Точно тот день, когда у меня появился майнер. И не только у меня, а у многих.

Это что, я, конченный параноик, оказался в итоге прав? Ахах, невероятно!


Т.к. судя по этой инфе инфицированы серваки провайдеров, единственно верное решение для вас (Windows), это апдейтится до апреля 2017-го, т.к. в марте 2017-го, Microsoft закрыла эксплоит EternalBlue, используемый бэкдором DoublePulsar. Собственно, я это уже писал в первом посте. Но считаю нужным повторить.

На Windows XP апдейт не распостраняется. На всё что выше - да. XP по-прежнему может быть инфицирован.

Embrace Futility

Благодарю за инфу, оказалось весьма полезно. Сперва сомневался в подлинности сайта, т.к. бедненький он, да и инфы мало, но порыл блоги, и вроде достоверно.

6

Embrace Futility
Спасибо за ссылку. У меня пишет, что doublepulsar не найден. Интересно только, этот сайт показывает корректный результат, если сейчас закрыт 445 порт?

falsepilot написал:
6. Удалены все привнесенные правила IPsec и вычищены связанные с ними списки фильтров

Хм, сейчас заглянул в политики безопасности. Вижу некую "netbc". Время ее последнего изменения с точностью до минуты совпадает с тем, когда антивирус ругнулся на файлы майнера и произошла ошибка "Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой...." Видимо, как-то связана с этой дрянью. Можно ли ее удалить?

Вот что прописано в фильтрах.

Спойлер

Погуглил эти айпишники. Как минимум на одном ресурсе упоминаются в связи с вирусными атаками:
https://www.reddit.com/r/techsupport/comments/683xzs/bitcoin_mining_malware_removal_help/

1

dihlofos2009
А что внутри? Какое правило?

1

dihlofos2009
У меня были те же пулы адресов. Валить.
После этого закончатся "неожиданные" ребуты.

2

dihlofos2009
Еще нужно проверить фильтры:

2
Алексей Каневский написал:
объясните какой комплекс мероприятий надо провести, чтобы полностью удалить эту заразу?

Господи, уже 250 раз расписали. Закрывай 445 порт, обновляй Винду. Или ты уже подцепил, и тебе надо именно удалить? Что у тебя? Майнер или вымогатель?

- Rick Sk1mmer - написал:
думать головой, куда лезть и зачем

Ты в корне не прав. Зараза лезет напрямую через порты. Хоть вообще браузер не открывай.

4

rambling
Ты в корне не прав. Зараза лезет напрямую через порты. Хоть вообще браузер не открывай.
Ну а как по твоему эксплойт попадает на машину? Когда юзер не дружит с головой и кликает на все подряд, это же очевидно. А если юзер принадлежит к касте тех, кто считает антивирус и подобные программы пережитком прошлого, сидя на своей шинде10 - тем более, ничего удивительного.

вирус пережил формат жёсткого диска, удаление разделов жёсткого диска, перепрошивку БИОСа и роутера, формат флэшки с Виндой, попытку установить Винду с другого образа - всё без толку
Как любая программа вирус после формата диска должен исчезнуть. Ну, если уж очень хочется, можешь занулить поверхность диска.

Evermus
В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.
Описание годится для очередного фильма

rambling
Бэкдор не сидит на вашем компе или в ваших файлах. Он бьёт совершенно напрямую.
Практически любые шифровальщики можно перехватывать сразу после начала их активности, для этого есть соответствующие утилиты, правда многие ими пренебрегают, а потом начинают жаловаться. Что до портов, в файрволле изи настраивается правило, чтоб при любом межсетевом взаимодействии выскакивало информационное сообщение, и юзер далее примет решение, что с этим делать, и таким образом сформировать соответствующую базу правил и впоследствии никаких проблем.

1

- Rick Sk1mmer -
Практически любые шифровальщики можно перехватывать сразу после начала их активности, для этого есть соответствующие утилиты.

Назови какие используешь если не трудно

0

kvanch
Я использую SpyShelter AntiKeylogger. Навскидку также припомню Zemana Antilogger, продукт от MalwareBytes, у Каспера встроенная защита от шифровальщиков есть.

0

Просканируй комп вот этой прогой - Malwarebytes Anti-Malware.
Я на двух своих системах после проверки с удивлением обнаружил с десяток майнеров, хотя антивирусы упорно молчали. И на их присутствие указали другие вещи.

3

ExxErr

Уже просканировал разными прогами включая Malwarebytes. Майнер-то он ловит, а вот его источник по-прежнему неизвестен. Майнер появляется после формата практически сразу, в течении пары часов. Учитывая что я за это время буквально ничего не устанавливал и даже не запускал, источник майнера найти сложно. И нет, он точно не на флешке с Виндой. Я её форматнул и переделал с образа Винды 2016-го года.
Так что как я написал в предыдущем посте, подозрение падает на роутер.

1

rambling
Ты еще прогой Dr.Web CureIt просканируй обязательно. Зайди в папку AppData - Roaming - uTorrent, и удали следы торрентов. А папки Temp и Prefetch надо чистить регулярно (я ярлыки этих папок вынес на раб. стол).
А Малвер вообще должен стоять на ПК, помимо антивиря.

0

Есть ли возможность подключиться к сети минуя роутер? Это подтвердило бы твою теорию, если майнер опять засветится значит дело не в нем(роутере)

3

Весь В Белом

Так и сделаю если появится снова. После reset'а роутера уже 24 часа не появлялись файлы майнера и не перезагружался комп, даже в моём отсутствии. Обычно файлы появляются снова в течении часа-двух. Но форматировать всё равно прийдётся, т.к. почти полная уверенность в том, что за краши в Overwatch тоже отвечает вредонос. Надо полагать у меня поселилась качалка вирусов. Вот если краши снова продолжатся после реформата, буду кусать себя за задницу и искать дальше.

Ну а в целом, если роутер был переадресован на скачку вируса, то reset должен был это вылечить.

P.S. Кто-нибудь нашёл у себя источник вируса/майнера? Известно откуда он взялся? Мне бы помогла любая крупица информации об источнике, чтобы хоть приблизительно знать где копать. Репаки отпадают, т.к. появлялся буквально на чистом компе после реформата.

3

Wabmig.exe прячется в папках Windows Mail которые образуются сами в User/Appdata/Roaming замаскированные под игровые папки. Убиваю полным удалением этой дряни (через Unlocker) и удалением записи из автозагрузки / запланированых задач (спомощью CCleaner).
Это точно какая-то майня китайская, грузит мои видяхи и греет, убивал так после некоторых недавних репаков. Надеюсь инфа будет полезной кому-нибудь...

3
GG4 написал:
Установи на другой жесткий диск эту же винду и посмотри что будет.

Другой жёсткий диск у меня занят важными проектами. Установил на ноут - вирус не проявился.

BattleEffect написал:
uTorrent есть? В нём софт "бонусный" ставит майнер.

Не катит. Майнер проявляется после формата до установки uTorrent. Плюс версия uTorrent у меня весьма старая (думаю как минимум пару лет стукнуло). Да и устанавливаю я её в тихом режиме, что автоматом отключает установку любого "бонусного" софта.

Бомбардировщик написал:
Живучая шлюшка попалась

Не то слово. Думаю прийдётся форматировать хард утилитой типа Webroot, которая вытирает всё. Кэш и прочее. Всё.

3
LenivyiBob написал:
Почитал я вас тут и моя паранойя сразу же затребовала генеральную проверку.
Извините за оффтоп.

Уходом за системой надо заниматься постоянно, практически каждый день, включая CCleaner.

3

Daidjer
Ага. Ага. ;)
Пак утилит автоматика через день сама занимается реестром, памятью, et cetera + каспер.
Я про "личный досмотр" и подключение "разнокалиберной артиллерии" из интернета
Досмотр себя оправдал) Небольшую "кучку" неактивной дряни нашел + пару китайцев.

4

LenivyiBob
У меня все чисто. Тьфу-тьфу. Я забыл, что такое майнеры, трояны и всякая гадость. И да. У меня лицуха Вин 7 ПЕ х64 чистая, безо всяких обновлений.
И еще. В скаченных софтах, играх и прочего, могут быть рекламные проги, которые и не видны вроде, но через них все может просочится в систему.

LenivyiBob написал:
Пак утилит автоматика через день сама занимается реестром,

Уходом за системой я занимаюсь в ручном режиме.
))) Это только мои советы, а там - по желанию. )))

3

Ну что сказать... Снёс все разделы с диска, создав по-новой. Перепрошил БИОС. Перепрошил роутер. Отформатировал и переделал флэшку с Виндой (на другом компьютере).

После всего этого, вирус появился СНОВА. На совершенно чистой системе. Это что, фантастика?

oscarbin написал:
Что-то я не понимаю. После полного формата диска и установки чистой винды он появляется из воздуха?

У тебя после всего проделанного мною есть какие-то предложения? Я готов их выслушать.

3

rambling
Тебе с такой проблемой надо обращаться на специализированные сайты а не плейграунде искать решение проблемы.
Обратись к людям на https://www.comss.ru/ я думаю что там уж точно помогут решить твою проблему.
Там очень отзывчивая администрация да и люди в этом вопросе толковые собираются.

2

rambling
Хай. Ну если ты копаешь уже совсем глубоко. Отключить все диски (старые) и поставить на новый хард (ну любой новый, не подключавшийся к твоей системе). Винду ставить с диска, чистую оригинальную msdn-вкусю без активации.
ПС Я винду обновил сразу же после удаления вируса, так что может само тело еще где-то живет, но я закрыл дыру в винде свежим патчем.
ППС Читал пару лет назад про вирусы, которые живут в прошивке харда и выпускаются с ними уже на фабрике, но считал это всё паранойей и "заговором сионистов", если вдруг "мечта стала реальностью" и они научились проползать в прошивки то как говорят французы Jo pa.

Могу всем порекомендовать переписать всё полезное и ценное на другой хард, отключить его и хранить в ящике стола как бекап (копия всех фоток у меня живет отдельно в ящике). Что можно залить в облако. У меня все фотки живут на облаке мейл.ру, скрывать там нечего, так что за приватность не опасаюсь.

1

oscarbin

Всё это я уже сделал и протестировал, и ответы на все эти вопросы у меня уже есть. Всё расписывать не буду, т.к. вся нужная информация уже в шапке и в теме в целом. Решение всё то же: апдейтим Windows, закрываем порт. Если у кого-то есть какие-то конкретные вопросы (в твоём посте скорее предложения, а не вопросы), задавайте.

В кратце:

Embrace Futility написал:
по инету ползают боты и стучатся по портам

Это подтверждено. Помимо этого, этот бэкдор также сидит на многих серваках мира, включая серваки провайдеров интернета/мобильного интернета.

Мартовский апдейт закрывает дыру - подтверждено. Закрытие 445 порта так же закрывает дыру - подтверждено. Это я протестил.

Бэкдор не сидит на вашем компе или в ваших файлах. Он бьёт совершенно напрямую. В Винде, прошивке, на диске, ничего нет. Это я сейчас говорю про бэкдор через который ползут вирусы, а не про сами вирусы.

0

rambling
Сорян не видел, что шапка обновилась. Может быть пора создать тему на каком-нибудь тематическом форуме? sysadmins.ru или ru-board.com, например. А то люди до сих пор на PG идут за инфой, а 99% не зараженных проходят мимо.

0

Вот используемый эксплоит:
https://www.theregister.co.uk/2017/04/21/windows_hacked_nsa_shadow_brokers/

Те, кто говорят не лазить по сайтам, не качать репаки и прочее пусть сожрут свои слова. За последние несколько дней были заражены тысячи серверов разных компаний по всему миру, а не только домашние пользовательские машины.
Хорошая новость в том, что я могу просто пропатчить install.wim последними апдейтами, и судя по откликам, последние апдейты закрывают эту дыру. И всё равно хочу найти источник. Пока его никто не нашёл, даже сисадмины вышеупомянутых серверов.

Хватайтесь за задницы, ребятки. У вас стоит не майнер, а полноценный Backdoor, который переживает перепрошивки, форматы и удаление разделов. Форматнитесь - убедитесь. Майнер лишь симптом проблемы. Что ещё к вам попадёт - скоро узнаем.

JUnnAmmED написал:
У меня такая-же беда была

Не была. Есть. Как у остальных отписавшихся. Майнер ты удалил. Бэкдор нет.

Evermus написал:
Наверно его создавали в секретных лабораториях коварные русские хакеры чтоб хакнуть пентагон, но что то пошло не так и этот вирус разбежался по компам простых пользователей)

Ты будешь в шоке насколько твоя шутка попала в точку. Только утёк этот бэкдор не из Пентагона, а из Агенства Национальной Безопасности. Детали в первом посте.

3

rambling
Во дела, а в статье написано что апдейт для вин 7 есть, мне надо просто обновления скачать? и если после апдейта будут проблемы с виндой, я могу к точке восстановления вернуться, которую сейчас создам,например?

Бомбардировщик написал:
Сидя в этом треде я не подхвачу эту дрянь?

Пока не известен источник, эту хрень чтоб не поймать надо с выключенным инетом сидеть, и то не факт, что она уже не сидит в компе) так что можно не париться, прорвемся :)

2

Сидя в этом треде я не подхвачу эту дрянь?

3
Бомбардировщик написал:
значит дальше будешь играть в игры и программировать? паралич исчезает?

Буду. "Исчезает" - неподходящее слово. С процедурами, уколами и упражнениями, - отступает. Сперва мог тыкать только одим пальцем, потом потихоньку держать стакан и овладел WADS, и теперь - могу даже тыкать Shift + Alt. Но даётся очень тяжело, т.к. мышцы устают почти моментально.

Бомбардировщик написал:
Играешь в дивинити ОС?

Предполагаешь вирус в одном из репаков этой игры?

3
User85 написал:
чем лучше проверить свою систему для выявления этой гадости?

Это очень сильно зависит от того, где подцепил. У меня в образе Винды сидела, кто-то хапанул через браузер, кто-то в репаке.

Главное: не должно быть EXE в папках Windows\Prefetch или Windows Security. Часто прячутся как "системные" файлы, так что примите во внимание. Создаются либо батниками (как правило в папке Винды), либо службой наподобии "Windows Security Service" (иногда сидит под другими названиями, сейчас тяжело вспомнить какими именно).

Мне сейчас тяжеловато написать всё что я выяснил в итоге, так как обнаружил очень много разновидностей, как серверных, так и пользовательских. Но большинству инфы из темы должно хватить. Если у вас будет этот майнер и вы совсем никак не сможете его выпилить, можете писать мне лично, я уже лапу набил в обращении с ним, скорее всего смогу выпилить моментально и безвозвратно (если не сидит глубоко в образе Винды с которого вы устанавливаетесь, как сидел у меня).

Почему я написал о выпиле ручными средствами? Потому что с таким количеством методов за которыми прячется этот майнер, автоматически полноценно выпилить его скорее всего не получится - даже если софт найдёт и выпилит майнер, батник или службу он скорее всего не тронет.

Ах да, и если у вас всё работает "вроде нормально", это явно не майнер, т.к. майнинг прежде всего гонит кулеры, т.е. под такой нагрузкой комп становится куда более шумным чем обычно. Собсно я именно поэтому и зачесался, когда понял что "гонит" без причины.)

ziborov.s написал:
От чистого сердца желаю тебе скорейшего выздоравления.

Огромное спасибо, очень благодарен. Крайне приятно слышать от незнакомых людей то, чего частенько от друзей не услышишь.

------------------

P.S. "Интрига" в первом посте в общем написана правильно - но это касается серверного оборудования.

3

На Linux вирус работоспособен?

3

Коллеги, приветствую!
Ниже - моя "история болезни" и описание процедур, способствовавших выздоровлению. Хочу сразу же предупредить, что я не системный администратор.
Итак, дано: сервер на SuperMicro SYS-5017R-MTF 1×350W, процессор INTEL Xeon E5-2630 v2 2.6ГГц, RAM 96 Gb, SSD 2x256 Gb, SATA 1Tb + 2Tb, WinServ 2008 R2 Ent.Ed. Размещен в голландском дата-центре, порт 3389 был открыт, никаких антивирусных программ, брандмауэр включен, обновления ОС не устанавливались с ноября 2016.

02.05.2017 утром был замечен процесс LMS.exe, нагружающий ЦП ни много, ни мало, на 100%, путь к образу - %WINDOWS%\Fonts. Через ~30 секунд после принудительного завершения процесса - новый старт. Ручное удаление файла привело к тому, что подключиться через RDP стало невозможно ("установка параметров сеанса" и тишина). "Ребут животворящий" результатов не дал. Подключение по IPMI позволило внимательно осмотреть сервер. Обнаружилось следующее: подозрительные по дате создания файлы в корне C:\ (наименование - произвольный набор символов, без расширения), исполняемые файлы и файлы логов в %WINDOWS%\Temp (что-то типа s015.exe и s1as.log), файлы в %WINDOWS%\Prefet\secscan.exe, %WINDOWS%\security\WINsec.exe и %WINDOWS%\AppPatch, новые правила в IPsec (порт 445 открывался для любых подключений из перечисленного пула адресов), туча ссылок на secscan.exe в реестре и загрузчик батника a.bat в задаче планировщика под названием Mysa. По найденным в %WINDOWS%\Temp логам стало понятно, что мы имеем дело с майнером.

Последовательно было предпринято следующее:

1. Скачан и запущен KVRT.exe - нашлось порядка 18 зараженных объектов
2. Вручную вычищен реестр, планировщик и все перечисленные выше файлы
3. Дефолтный порт RDP изменен
4. Установлены все обновления ОС
5. Развернут и настроен Kaspersky Security 10 Для файловых серверов (до удаления правил IPsec исправно ловил и прибивал появляющиеся инфицированные объекты - не менее 15 в сутки + дважды в сутки ребут с невнятным описанием в логах)
6. Удалены все привнесенные правила IPsec и вычищены связанные с ними списки фильтров

Все мероприятия были завершены к вечеру 05.05. Полёт нормальный, админы наказаны, мониторинг пристальный.

Особенную благодарность хочется выразить rambling.

3

falsepilot

Конкретно ваш майнер более чем вероятно запускался ложной службой NET Framework. Советую её придавить, на всякий случай. В службах надо искать службу "NET Framework", в конце которой нет приписки _x86 или _x64 - это будет она. Достаточно просто отключить. Если этой службы не найдётся, можете попробовать поискать службу "Windows Security". Удачи.

Несмотря на то, что теоретически через этот бэкдор может приползти что угодно, лучшим индикатором его возможного наличия на данный момент служит именно этот майнер.
Так же возможно, что DoublePulsar'ом болеют только те, у кого майнер активируется через вышеописанные службы. Версии использующие батники вероятно более старые. Но это лишь предположение.

1

rambling
Спасибо. А бэкдор этот не придавлен свежими апдейтами ОС?

Что касается служб NET Framework, то сейчас ситуация выглядит вот так:

1

falsepilot

Придавлен мартовскими апдейтами всех систем выше Vista, включительно. Неизвестно какого числа, поэтому я советую апдейтить до апреля.

На вашем скриншоте всё в порядке с этими службами. Но на данный момент он маскируется под три службы. NET Framework, Windows Security, и название третьей я уже не помню. Возможно в последнее время добавились ещё какие-то.

Вот информация именно по вашему. Много инфы так же и в комментах.
https://www.reddit.com/r/techsupport/comments/683xzs/bitcoin_mining_malware_removal_help/

1

rambling
Только что приехал апдейт безопасности для NET Framework)

1

falsepilot
Не то. Он лишь маскируется под Виндовские службы и файлы, к ним самим он не имеет никакого отношения.

Reddit блог что я привёл выше рекомендую к прочтению любому страдальцу. Новой инфы в нём вы найдёте мало, но он в целом интересный и содержательный.

1

3 дня назад начало что-то грузить систему (ЦП - 100%). Открываешь диспетчер, смотришь на процессы - все хорошо и даже ЦП упало до нормальной отметки. Начал грешить на HDD (думал, что уже бытие сектора полезли вот и система лагает). Хотя когда открываю диспетчер - попускает. Значит Шиндовс начал умирать (уже года два стоит). Думал уже переустанавливать. Но решил сперва проверить систему прогой "Malwarebytes". Она нашла вот эту хрень - http://prnt.sc/f6brup. Увидел процесс secscan.exe и понял, что мы нашли друг друга. Это майнер (сразу вспомнил историю с первыми "смотрящими собаками" и "Механиками") и это плохо.
Прогуглив ситуацию я нашел этот пост (очередной раз спасибо "playground.ru" за помощь). Почитал и стало немного страшно. Но нужно что-то было делать. Первое - удалить эти ключи (что на скрине). Второе - пошарить по папкам на диске С.
На "С" ничего не нашел. Ключи удалил. Запустил, на всякий случай, прогу "HitmanPro" и просканил систему. Ничего не нашел (кроме пару кряков к играм которые уже стоят пару месяцев). Открыл диспетчер и увидел ЕГО - http://prnt.sc/f6bwkj (WINSec.exe). Раньше его там не было. Видимо помогло удаление ключей из реестра. Да и ЦП продолжало грузить на 100%. Я убил процесс и еще раз просканил систему и прошерстил диск С. Ничего подозрительного нет. Перезагрузился. Проблем нет.
Все хорошо (хотя еще не факт) и буду надеяться, что проблем больше не будет.

3

fbrua

Ты сделал главное - прибил рег. ключ WINSS - это служба, отвечающая за запуск майнера. В services она представлена как "Windows Security Service". Если вдруг майнер всплывёт снова, первое что тебе лучше сделать, это отключить службу и перезагрузиться. Должно сразу вылечить.

0

Короче почитал в нете про эту шнягу, все с ней ясно.
Алгоритм:
1. Кулхацкер запускает программу-сканер и сканирует диапазон IP адресов. Допустим, в их числе оказался и ваш IP.
2. Чекается, открыт ли порт 445 на вашей машине или нет: (говорят закрывать нужно и 139 порт)
a) если закрыт - то вирус проходит мимо
б) если открыт - то п.3
3. Вообще, в винде есть такой стандартный сервис SMB, который и прослушивает порт 445. Так вот в этом сервисе есть "дыра" на всех шиндоуз-осях.
Собственно, через эту дыру (которая наз-ся ETERNALBLUE) на ваш комп загружается эксплойт DOUBLEPULSAR, который в свою очередь загружает шифровальщика.

Что делать? Решение:
- установить обновление MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx , в нем МС закрыла дыру
- закрыть порт 445 (можно рубануть через реестр, но гораздо проще и быстрее скрыть через соответствующее правило в брандмауэре/антивирусе)

НО, это не все:
4. Даже если вы поставили обновление и скрыли порт, вы все еще подвержены трояну. Эксплойт DOUBLEPULSAR может попасть вам на компьютер самым очевидным путем: из интернета или с другого компьютера. Оказавшись у вас на компе, он все также скачивает шифровальщика и начинает делать свои дела.
Суть в том, что уязвимость ETERNALBLUE и DOUBLEPULSAR работают как бы "вместе", если не из нета, так через уязвимость эксплойт попадает на машину и качает код основного тела вируса.

Что делать? Решение:
- ставить защиту от шифровальщиков. Даже если у вас на компьютере окажется doublepulsar, при каждой попытке запустить скачанного шифровальщика утилита будет его рубить.
Но, это не избавит вашу систему от самого эксплойта. Впрочем, всю сетевую активность можно отмониторить и выявить исполняемый файл зловреда, а затем удалить.

Нелишним будет:
- поставить антивирь
- сделать бэкап данных

3

rambling
У меня такая-же беда была,но мне помогло нахождение процесса через диспетчер (надо очень быстро успеть нажать на сам процесс и перейти к его местоположению,пока он не пропал) и простое его удаление (правда,после удаления только одного могут начать всплывать и другие,но уже менее загружающие систему.У меня они были по тому-же пути,но в других папках и почти с таким-же названием).

2

JUnnAmmED

А что у тебя был за процесс? Я вот всё больше и больше убеждаюсь что это Winsec.exe. Как я уже писал, жрёт 75% проца, плюс нет ни FileDescription, ни CompanyName, а Microsoft как правило всегда подписывает свои файлы.

UPDATE: Остановил процесс - сразу с 75% упал до 0. У файла Modified: Today, April 29, 2017, 2 hours ago. Довольно странно, т.к. не думаю что этот компонент Винды так часто модифицируется. Да ещё и с отключённым АвтоАпдейтом.
Кстати после остановки процесс перезапустился...

2

rambling
Попробуй через Kaspersky Virus Removal Tool почистить комп, бесплатная утилитка с офф сайта компании, у меня тоже подобная проблема была, постоянно под нагрузкой видяха была, утилиткой прошел и нашёл майнер, благополучно удалил, больше проблем не было.

4

rambling
У меня они пытались под дрова от NV маскироваться.Главный назывался,по-моему,nvscp32.exe,сейчас уже точно не вспомню.Лежал он и в собственных папках (к примеру Temp183),так и в папках MS и NV.Полный путь - C-users-username-appdata-roaming.Было это полтора месяца назад.Ни переустановка винды,ни антивирусы (Каспер,Веб,Аваст) не убирали его до конца,после перезагрузки он снова появлялся.Более того,после удаления через утилиту от Веба он мог всплыть даже без перезагрузки.Проц загружался под 100% (i5-2320).К слову,появился точно так-же,буквально с ничего.

3

Вчера тоже перезагрузился комп с ошибкой, и появился процесс WINSec.exe и secscan.exe. винсек нагружает проц, антивирус авира ловил и удалял сегодня какой то майнер, но процесс все равно висит, сканирование доктор вебом cure it и касперским removal tool эффекта не принесли, malwarebytes тоже ничего не нашел,попробую zemana antimalware, что еще предпринять и как удалить врага не знаю :( и виновата ли авира что пропустила? инет через кабель напрямую,файлов новых не качал, кроме расширения frigate sdn из хром магазина расширений,так как старое приложение ( frigate без sdn) перестало работать
--Просканил систему malwarebytes и zemana antimalware , удалил что они нашли, удалил папку security
папке виндовс, так как это было месторасположения процесса, перезагрузил комп и пока майнера не видно, сканирую еще раз новой утилитой от доктора веба и утилитой касперского и думаю заменить антивирус на аваст, так как папку секьюрити я запаковал в архив и закинул на вирус тотал, там отобразился файл винсек.ехе, а так в проводнике его не было видно и из всех движков антивирусных аваст и несколько других определили зловреда

2
Evermus написал:
что еще предпринять и как удалить врага не знаю

Так в теме же написано - сперва убей процесс secscan.exe и удали:

C:\Windows\Prefetch\secscan.exe

Затем:

C:\Windows\security\WINSec.exe

WINSec.exe создаётся файлом secscan.exe. После удаления у меня вроде стало нормально. Но источника проблемы так и не нашёл. Форматнул снова - и опять на диске C: появилась качалка вирусов под названием qqss77889900.exe.
Я уже на стену лезу от того, что не могу найти источник этого дерьма.

У меня снова появились secscan.exe и WINSec.exe - но на этот раз в виде скрытых системных файлов. Что, скачалась новая версия где файлы помечены как системные? Тогда это подтверждает моё подозрение что вирус очень новый и кто-то над ним работает.

2

Жесткий какой то вирус выходит,раз для его удаления надо совершить столько телодвижений. Наверно его создавали в секретных лабораториях коварные русские хакеры чтоб хакнуть пентагон, но что то пошло не так и этот вирус разбежался по компам простых пользователей)

2

Привет.

Если это чем-то поможет, мой хард: WDC WD5003AZEX-00MK2A0 (Western Digital Black, 500 Гб, 7200).

У меня пока что эта дрянь никак заметно не проявляла себя, но обновы накатил.

2
Evermus написал:
у меня есть прога мониторинг AIDA64 там я нашел жесткий и модель

Модели в принципе достаточно. Я хочу посмотреть есть ли какая-то последовательность в действиях автора.

Evermus написал:
Barracuda 7200.12 1000DM003

У меня хард той же линейки.

dihlofos2009 написал:
У меня пока что эта дрянь никак заметно не проявляла себя

Она и не проявляется после удаления. Только после формата, когда бэкдор активируется снова. Проблема в том, что если не выпилить бэкдор, неизвестно что ещё через него может прибежать в будущем. Поэтому я настолько заинтересован в поиске источника.

2

В нулевом секторе диска эта дрянь сидит и простым форматом её не выковырять! После переустановки системы комп сам себя и заразит...
Может низкоуровневым форматирование попробовать?

2

Надо написать в АНБ США и сказать пусть высылают нам утилиты для очистки от их дерьма, раз загадили, пусть дерьмо и выгребают, чтоб неповадно было.
У меня чот сами проги некоторые стали закрываться, мси афтербернер закрылся, после перезагрузки ошибку фрапс выдал и закрылся, и перезагрузка стремная была черный рабочий стол, потом правда отлагало но походу система накрывается медным тазом, сделаю ка завтро флешку с вин 10 и апрельскими апдейтами для гарантии, а то как накачу апдейтов на свою 7ку 6ти летнюю так ей совсем поплохеет, бедной.
Еще бэкапы на внешний жесткий сделаю, бекдор и его засрет полюбому, обидка :(

2
dihlofos2009 написал:
Есть ли еще способы детекции

Присоединяюсь к вопросу

2

Судя по ссылке выше мой комп заражен, но никаких процессов и прочего как у других пользователей я на своей системе не нашел. Че делать то?!)

2

rambling Заходил через обычный мобильный интернет, провайдер мегафон.
Хм, странно все это...

2
Cмeшной написал:
Путь показан в папку Fonts со шрифтами, но там ничего нет.

Файл скрыт для проводника. Попробуй тотал командер, или другой не родной файловый менеджер, а лучше прогани систему hitmanpro.

У меня тоже был сначала winsec, потом msiexev.
Для себя решил проблему так:
-Установил все обновления Win7, благо активация адекватная стоит. (заблокировал пульсар)
-Закрыл порт 445, удалил из политики безопасности все записи с ним связанные (заблокировал скачку паразитов)
-Прогнал систему hitmanpro (выловил майнер и хвосты)
-В реестре снес раздел относящийся к prefetch (прекратилось создание папки с лоадером при загрузке винды)

Подозреваю, что хвосты еще остались, но искать их нет ни сил, ни желания. Переустонавливать систему так же.
Как итог: 48 часов в тестовом режиме, все чисто.

P.S. Зарегался исключительно что бы выразить благодарность г-ну rambling, без его информации и размышлений дело для меня скорее всего закончилось бы переустановкой системы.

2

В общем ребята, над майнером кажись дальше продолжают трудится. У меня он загрузился уже с будучи закрытым 445 портом, хотя 2 недели было все нормально, теперь они новым способом загружают его наверное. Подцепил так же как и до этого (просто играл в Overwatch) Абсолютно все кроме игры было закрыто.
Или быть может порт как то сам восстановился и через него снова эта зараза загрузилась, я уже и не знаю что думать.

2

Отдельным постом - вроде всё. Удалил "папу", и следом сам файл. Ничего не восстанавливается, всё нормально. Но меня очень беспокоит что вирус где-то в моих файлах, учитывая что он пережил формат. Делать нечего, буду копать. Всем спасибо.

1

rambling
Он может быть и не в файлах, а например какой-то сайт заражен этой херней, ты зашел и он сразу подтянулся к тебе в систему. причем он прописывается в автозагрузку. И тогда тебе надо чистить реестр, иначе после перезагрузке или следующем включении компа он снова может залезть к тебе в систему

4
zuuc написал:
Он может быть и не в файлах, а например какой-то сайт заражен этой херней, ты зашел и он сразу подтянулся к тебе в систему.

О, я об этом не подумал. Вот это очень, очень вероятно. Я через хрен какое левое зеркало захожу на Пиратскую Бухту. Там целая куча дерьма в виде открывающихся страниц, баннеров и прочей хрени. Подозреваю что оттуда. Полажу снова, посмотрю появится или нет. В любьом случае уже понял как его удалять и собираюсь форматироваться.
И в реестре нет упоминания этих файлов.

JUnnAmmED написал:
Полный путь - C-users-username-appdata-roaming

Сейчас вспомнил - да, тоже тьакое ловил и удалил раньше. Благо не всплыло.

1

rambling
попробуй поискать его и здесь HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
и здесь HKEY_CURRENT_USER\SOFTWARE \Microsoft \Windows \CurrentVersion \Run

1

zuuc
Нету. Что довольно странно, ведь он перезапускал комп (зачем?). Я в общем не озабочен его startup'ом, т.к. всё равно собирался форматнуть. Меня больше беспокоит откуда он взялся. Так что сейчас пытаюсь восстановить порядок действий со времён последнего формата (позавчера) и мониторю Prefetch\Temp.
Но на левое зеркало Бухты точно заходить больше не буду.

-1

zuuc
Спасибо, и благодарю за помощь.

1

Ну справедливости ради хочу отметить, что у меня майнер майнить так и не стал. Никаких нагрузок на проц, только один раз перезагрузил комп и я зашевелился. Роутера у меня нет, сижу через провод. Каких-то признаков самовосстановления пока не заметил. Все мои подозрительные файлы отправил дрвёбу. Обновил систему, т.к. давненько этого не делал. Возможно у некоторых из нас разные версии, так что разный набор файлов. Но в любом случае должно быть видно, какие файлы были созданы, за последние пару дней (кэш браузеров можно заранее удалить).

Evermus
Поищи файлы по дате создания - это очень помогает. Не изменения, а именно создания. Ничего нового в винде из ключевых файлов не должно создаваться. А под них он и маскируется часто. Посмотри папки, которые были изменены 1го мая. Смотри, что происходит в папке Temp, у меня там постоянно создавались новые файлы exe и это прям в реальном времени было заметно. В корне windows могут быть запущены процессы (прячущиеся под системные), которые должны жить в system32.

1

oscarbin
Поискал файлы в папке с виндой, сортировал по созданию, но там много файлов, они мне ничего не говорят, я нуб в этих файлах, и какие нужные какие ненужные, какие от майнера не разбираюсь,но файлы лога майнера удалил, они называются s4hk.7_Miner_.log и меняется цифра где у меня семерка, начало в файле следущее, время включения компа
[2017-05-02 09:50:59] Using JSON-RPC 2.0
[2017-05-02 09:50:59] Starting Stratum on stratum+tcp://xmr.crypto-pool.fr:443
[2017-05-02 09:50:59] 1 miner threads started, using 'cryptonight' algorithm.
[2017-05-02 09:50:59] Pool set diff to 18000
[2017-05-02 09:50:59] Stratum detected new block
[2017-05-02 09:51:22] Stratum detected new block
[2017-05-02 09:53:22] Stratum connection timed out
[2017-05-02 09:53:22] Stratum connection interrupted
[2017-05-02 09:53:22] Stratum detected new block
[2017-05-02 09:55:14] accepted: 1/1 (100.00%), 65.84 H/s at diff 18000 (yay!!!)
[2017-05-02 09:56:26] accepted: 2/2 (100.00%), 63.44 H/s at diff 18000 (yay!!!)
[2017-05-02 09:58:21] Stratum detected new block
[2017-05-02 09:59:53] Stratum detected new block
и заканчивается файл следующим
[2017-05-02 10:54:42] Stratum connection timed out
[2017-05-02 10:54:42] Stratum connection interrupted
[2017-05-02 10:54:42] Stratum detected new block
[2017-05-02 10:54:53] Stratum detected new block
[2017-05-02 10:56:03] Stratum detected new block
[2017-05-02 10:56:26] accepted: 13/13 (100.00%), 66.50 H/s at diff 18000 (yay!!!)
больше ничего нет в логе, в это время авира удалила какие то файоы майнера, малваребайтом я почистил и земаной, земана нашла какое то подключение и какое то изменение на прокси сервер 127.0.0.1:8888 тоже удалила, я в этом просто не особо разбираюсь, потом перезагрузился просканил утилитой веба и каспера, они ничего не нашли, сейчас пока тихо, ни процесса ни нагрузки на проц

2

Вчера тоже сражался с этой ерундой. И тоже не понял, где умудрился ее подцепить. Просто сидел в браузере в ютубе и вк, и листал безобидный форум, на который захожу почти каждый день (lingvoforum.net). Вдруг вылезает окошко с примерно таким текстом - "критическая ошибка, компьютер будет перезагружен". Сразу понял, что дело мутное, винда или браузер обычно не такие ошибки выдают. Тут и нод32 выдал сообщение о трояне "файл C:\Windows\start.bat Win32/VB.OEA троянская программа очистка невозможна Событие произошло в новом файле, созданном следующим приложением: C:\Windows\Temp\s2q8.1_.exe"

Пока комп не успел перезагрузиться сразу удалил этот батник и экзешник. Загрузился в безопасном режиме. Нашел через поиск еще новые файлы с расширением .exe: WINSec.exe, secscan.exe. Удалил их. Про этот вирус нашел немного инфы тут:
http://remove-spyware-tech.com/post/Remove-Win32TrojanDropper.VB.OEA-Are-You-in-Need-of-a-Win32TrojanDropper.VB.OEA-Removal-_7_232458.html
Но в реестре таких записей не нашел, в автозагрузке все пусто, в т.ч. проверил через msconfig-автозагрузка. По поиску в реестре нашлась одна запись со словом secscan.exe (что то типа Windows Security Scan Services WINSS). Ее тоже грохнул.
Сейчас вроде все в обычном режиме работает, тьфу-тьфу. Либо удалился полностью, либо маскируется. Но свежие экзешники вроде не появляются, подозрительных процессов и служб тоже нет.
По поводу источника, почитал логи Нода. Самая первая запись:
"02.05.2017 19:11:56 Фильтр HTTP файл http: play*best01011*com/445*exe Win32/VB.OEA троянская программа очистка невозможна Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\Prefetch\secscan.exe".
Что это за чертов сайт, понятия не имею. Сознательно туда я не стал бы заходить. И, если я правильно понял эту запись, то именно экзешник пытался соедниниться с этим адресом, а не переход по этому адресу был первопричиной. А откуда этот файл взялся на компе, и когда это произошло - вот вопрос.

1
dihlofos2009 написал:
Вдруг вылезает окошко с примерно таким текстом - "критическая ошибка, компьютер будет перезагружен".

Да-да! У меня то же самое, и после перезагрузки появляются файлы майнера.

dihlofos2009 написал:
Либо удалился полностью, либо маскируется. Но свежие экзешники вроде не появляются

У меня тоже не появляются. Но через некоторое время после формата диска с Виндой (в течении 24 часов) снова появляется критическая ошибка, комп перезагружается, появляются файлы майнера.

Ребят, я боюсь что как у меня, у всех вас вирус всплывёт после формата. И совершенно непонятно откуда. Я уже и БИОС перепрошил, и роутер сбросил, и все программы проверил, и флешку с Виндой форматнул - всё без толку. Эта падла КРАЙНЕ живучая.

dihlofos2009 написал:
Про этот вирус нашел немного инфы тут

Боюсь что всё это бесполезно, ибо источник вируса прячется так, что ни Бог, ни Дьявол не найдёт. Меня не волнует как его удалить - я всегда могу форматнуться. Но он переживает формат.

Момент который я хочу подчеркнуть. Я очень сомневаюсь что все мы схавали вирус в одно и то же время. Я всё больше склоняюсь к тому, что был он у нас уже давно, и ждал определённой даты активации. Попробую скачать другой образ Винды.

1

rambling
Больше лазь по всяким сайтам с раздачами халявы и "бесплатными" репаками. дурачки до сих пор думают что для них специально добрые люди делают доброе дело от души. В нашем мире такого нет, за все нужно платить.

-3

GG4

Не учи меня жить, я 32-летний программист. Я не качаю совершенно никаких репаков и беру релизы только из крайне достоверных источников. Дурачок тут ты, думая что все вокруг тебя глупые, а ты один умный. Умник, ты действительно думаешь что все мы схапали вирус строго в одно и то же время? Разочарую - скорее всего это было что-то с таймером.

dihlofos2009

По твоей ссылке есть упоминание что вирус может впаять себя в файлы Винды (тогда зачем он создаёт WINSec.exe/msiexev.exe?). Я подозреваю что возможно были инфицированы файлы образа Винды с таймером-активацией вируса. Особенно учитывая что он появляется на совершенно "чистой" системе, а ни в БИОСе, ни в роутере его нет.
Всё не могу понять почему он не появляется на моём ноуте. Брезгует двуядерными процессорами?

1

rambling
Я всю жизнь пользуюсь лицензиями и ни разу почему-то не подхватил никакой вирус. Странно наверно, да?

-5

GG4
Не подхватить вирус весьма легко когда толком не используешь компьютер для работы и лишь затариваешься в Стиме. А мне по работе приходится пользоваться десятками утилит. И если бы ты почитал ссылку которую отпостил dihlofos2009 прежде чем спорить, то с удивлением для себя обнаружил бы что в большинстве случаев этот майнер появляется именно на софтверных сайтах хостящих лицензионные программы. Да, именно с сайтов где люди вроде тебя обмазываются лицензиями.

И учитывая что ты всю жизнь пользуешься лицензиями, полагаю ты из очень не бедной семьи. Если так, то не тебе читать мне мораль.

3

rambling
Привет, прошло более 24 часов с момента, как я прогнал сканерами и авирой систему, пока майнер не дает о себе знать, либо пропал , либо спрятался, попробуй тоже , хуже уже ведь не будет, чтоб и сканеры(малваребайт 3.0 и земана антималвар) и антивирус ( у меня была авира фри) работали во время майнинга, может тоже получится его прогнать.

0
Profiction написал:
Вирус без проблем переживет форматирование, если находится в MBR секторе диска

Совершенно верно. Именно поэтому сегодня я куплю флешку, установлю на неё Webroot Eraser и полностью вытру свой хард, как уже писал выше. Посмотрим проявится ли после этого. Хотя может и правда просто снести раздел. Но вытереть мне было бы спокойнее.
Это решение я откладывал в силу того, что сперва хотелось убедиться что вирус не в моих файлах, прошивках, и не на флешке с Виндой.

1
Evermus написал:
Во дела, а в статье написано что апдейт для вин 7 есть, мне надо просто обновления скачать?

Чтобы закрыть эксплоит - да. Сам бэкдор это не уберёт, но он будет неактивен. Поэтому лучше патчить образ Винды.

После бессонной ночи анализов, я нашёл некую крайне интересную инфу. Кто когда-либо был заражён этим вирусом, большая просьба скинуть в теме модель или Hardware ID заражённого жёсткого диска. Лучше и то, и другое. Посмотрим подтвердится ли моя теория (основанная на заявлениях представителей Каспера). Пока, с ужасом, подтвеждается. Тут не просто батник и служба которая активирует запускатель майнера (как правило служба маскируется под .NET Framework или Windows Security Service). Когда выяснил где, судя по всему, прячется бэкдор, охренел. Но мне нужно больше инфы и тестов, поэтому пока никакие заявления делать не буду.
Вы можете помочь. Кидайте инфу. Тесты займут минимум дня два, т.к. бэкдор становится активен в течении 24 часов после установки Винды. Точно будем знать примерно через четыре-пять дней.

Evermus написал:
Пока не известен источник, эту хрень чтоб не поймать надо с выключенным инетом сидеть, и то не факт, что она уже не сидит в компе)

В точку. Но если сидит, я кажется выяснил где. Тесты, тесты, тесты... Проблема в том, что после того как утекли источники Equation Group в Сеть, прицепить свой вирус\майнер к этому бэкдору может любой кому не лень. Что и сделали.
Сам майнер вероятно существовал и раньше. Но в таком виде - только в последние ~20 дней. Изначально этот бэкдор был ориентирован на заражение серверного оборудования. Но с наличием источников, похоже его адаптировали и под наиболее популярные модели персональных жёстких дисков.

Evermus написал:
и если после апдейта будут проблемы с виндой, я могу к точке восстановления вернуться, которую сейчас создам,например?

Теоретически можешь. Но эксплоит откроется снова. Лучше патчить install.wim образа Винды. Например вот этим:
http://forum.oszone.net/thread-257198.html

Требуется небольшой скилл.

1

rambling
Ок, спасибо, попробую завтра накатать обновления винды через автообновление, просто лет 6 стоит система, и было выключено автообновление, чтоб не слетела активация) вообще пишут, что активация не мешает автообновлению и оно проходит,но не хотел рисковать,а раз обновление системы может помочь, значит надо его провести.
А через что и как я могу посмотреть данные по жесткому диску и его айди, чтоб тебе инфу предоставить? если можно, напиши поподробнее. и есть ли тут личка,чтоб я тебе в личку данные скинул? а то кто нить мне по айди еще говна через бекдор накидает =)
у меня есть прога мониторинг AIDA64 там я нашел жесткий и модель но айди чот не знаю как посмотреть и как он выглядит(
Производитель Seagate
Название жёсткого диска Barracuda 7200.12 1000DM003

2
Evermus написал:
Еще бэкапы на внешний жесткий сделаю, бекдор и его засрет полюбому, обидка :(

Я вот давно бекапы не делал, и скопилось много нужной инфы. А скидывать ее на другие носители тоже теперь боюсь. Хз, что делать.

Не знаю, будет кому-то полезной инфа или нет: нарыл на гитхабе скрипт детекции doublepulsar. https://github.com/countercept/doublepulsar-detection-script

Кто шарит, может разберется получше. У меня на Win7 сработал только detect_doublepulsar_smb.py при указании ip 127.0.0.1. Выдало сообщение: No presence of DOUBLEPULSAR SMB implant. Для другого скрипта вылезают ошибки, описанные здесь:
https://github.com/countercept/doublepulsar-detection-script/issues

1

dihlofos2009
Скинь инфу на яндекс диск, там 10 гигов, наверно и гугл диск есть) за 30 рублей на яндексе можно докупить еще 10 гиг, за 80 рэ 100 гиг и за 200 рэ 1 ТБ купить) дешевле чем внешний жесткий на юсби 3.0 выйдет)

0

Evermus
Собственно, пока так и сделал. Благо имею халявные 260 Гб, которых мне хватит за глаза очень надолго.

Все же интересно, действительно ли у меня эта дрянь сидит где-нибудь в загрузочном секторе, или в отличие от автора топика, был только майнер, попавший каким-то другим способом. Есть ли еще способы детекции, кроме как снос винды и форматирование... НОД и CureIT ничего не находят.

1

Ведь эта хрень под винду только? Если да, то можно переписать данные на компе под линуксом... Там эта тварь не разгуляется... возможно.

1

Тоже давеча подцепил эту срань. Выпилил как и писали выше: удалив полностью папки security и prefetch в windows, а также очистив Temp и кэш браузера, ну и в реестре заодно удалив папку winsxx (кажется так называлась, нашел ее задав в поиске "secscan"). Батников и длл'ов никаких левых не обнаружил. 3 день - полет пока нормальный... Форматировать/переустанавливать пока не пробовал - нет нужды. У меня система на SSD кстати, хз куда там может прописаться тогда этот "пульсар". Но вся эта канитель сильно конечно теперь напрягает, как говорит автор темы, неизвестно чего ждать теперь дальше... Помню как еле успел спасти важную инфу в прошлом году после того как подцепил аццкую хрень которая делала "ваши файлы зашифрованы", так то было когда я сам запустил по неосторожности "не тот" файл. А что мешает теперь этим пидорам прикрутить туже хрень к этому "пульсару"? Скажите ребя (наверняка у многих теперь та же дилемма), можно ли закрыть эту дыру, не обновляя полностью всю систему от мелкософта? У меня семерка, на десятку переходить ой как не хочется..

1

Я не спорю что скорее всего я не прав, т.к. то, что используется бэкдор инфицирующих прошивку харда крайне маловероятно. Но буквально всё остальное я вычистил. В общем сдаюсь, я просто пропатчил свой образ Винды апдейтом закрывающим этот эксплоит.

День назад у меня случился паралич левой руки, из-за которого я вынужден порвать отношения с программированием. Так что я самоудаляюсь из этого бизнеса и из темы о вирусе. Мне слишком сложно печатать. За исключением некоторых комментах в блогах я больше на ПГ появляться вероятно не буду. Прошли те времена когда я мог печатать себе в удовольствие.

Всем удачи.

1

rambling
Сочувствую мужик, восстанавливайся, главное, никогда не сдаваться

4

rambling
а как же игры теперь? как так случилось? ужас!

0

Случайно (НАКОНЕЦ-ТО!) наткнулся на сей форум на родном ПГ, думал я один вляпался, ибо что только не гуглил, а пишут только бред на сайтах антивиров. Тоже по началу перезагрузился комп (критическая ошибка виндовс). Думал лол, што. Потом на диске С стали появляться файлы в темпе с названием szml и прочее и логи, которые здесь уже скидывали. Удалил им > Malwarebytes всё, что он нашёл. Пару дней нормас. И по новой через пару дней. Но, у меня в начале появлялись файлы 445.port или как он там и батник какой-то, и тупо при подключении к нэту. Вот почитал как закрыть порт 445, спецом не чистил предварительно майнер, но как только закрыл, файл перестал писать логи в тектовике и не висел в процессах. Сижу третий день, и пока без проишествий http://avfor.ru/obsuzhdenie-antivirusov-i-faiervolov/5426-firewall-zakrytie-portov-135-i-445-vruchnuyu.html.

1

Привет Комрады!
Делюсь своими военными действиями на тему WinSec.
Также подхватили эту хрень 01.05, пролечили удалением winsec.exe и все возможными антивирями.
Прошло несколько дней было все Ок.
И тут появилась новая волна. Появилась теперь перезагрузка с ничего, и высокая загрузка проца.
Теперь уже нашелся папа этой заразы secscan.exe, заметил его загрузку и исчезновение.
Убил эти оба файла, создал пустые файлики с такими же названиями на тех же местах с ограниченными до упора правами.
Процесс перестал появляться и система сбалансировалась, но это только лечения следствия
какой то шаманизм с бубном.
А вот причину как лечить буду ждать, может кто умный найдет и подарит решение все пострадавшим.
С наступающим днем победы над всеми заразами!!!!

1

avi_alex
Для удаления этого майнера есть прога на сайте "https://free-antimalware.com/download/"

0

Да и еще один момент.
через regedit было найдено использование secscan.exe и в строку добавлена точка после exe.
что бы сервис не запускался, но считался как будто есть.

1

avi_alex
нет нужды во всем этом шаманстве с переименованиями. я просто удалил папки prefetch и security в windows, очистил Temp и кэш браузера, а также в regedit задал поиск по слову "secscan" и удалил всю папку где он был. Неделя прошла - всё ок. Но вопрос как закрыть дыру на семерке не устанавливая десятку с обновами, увы остается открытым..

1

Скачал "Comodo", активность сразу же пропала
Secscan улетел в тамошний карантин, именуемый песочницей
пока что радует прога

1

Ещё нашлись файлы backdoor, хотя раньше был просто биткойн майнер

1

Mayenikus
поподробней пожалста, где файлы backdoor располагаются, как называются

0

kvanch
назывался backdoor.Spy.422
находился С:\ System32\Config\systemprofile\appdata\local\ microsoft\windows\temporary internet files\content.IE5
Ну, как я понял, всё таки браузером занёс, вот хз только как

0
kvanch написал:
нет нужды во всем этом шаманстве с переименованиями. я просто удалил папки prefetch и security в windows, очистил Temp и кэш браузера, а также в regedit задал поиск по слову "secscan" и удалил всю папку где он был. Неделя прошла - всё ок.

Посмотрим если ты скажешь то же самое после форматирования жёсткого диска. Учитывая что мы подхватили заразу примерно в одно и то же время, скорее всего мы подхватили и один и тот же релиз. Если у меня переживает формат, логично предположить что появится и у вас.

После удаления он не восстанавливается. А вот после формата - да. Хотя можно ещё раз удалить. Но вам будет приятно знать что на вашем компе сидит вирус?

Я *кажется* свой нашёл. Вроде сидел в образе диска Винды. Но с этим приходит две "удивительности".
Первая - я хорошо знаю структуру диска Винды, и никаких вирусов я там не нашёл.
Вторая - я сделал этот образ год назад. Год пользовался, часто форматился (мне по работе нужно), и весь год никакой вирус не всплывал. Так что продолжаю подозревать что это что-то на таймере.

Спойлер

Паралич оказался временным. Зря я перепсиховался. Подвижность руки восстанавливается. Тяжело и долгосрочно, но восстанавливается.

1

rambling
значит дальше будешь играть в игры и программировать? паралич исчезает?

-1

rambling
Читал "ветку" как детектив, пока не стало так грустно и серьёзно. От чистого сердца желаю тебе скорейшего выздоравления.

4
rambling написал:
Если реальный сайт, а не хрень какая-то, то у меня...

Вполне реальный, в их блоге можно почитать про вирус подробнее, в том числе и про статистику заражений.

rambling написал:
Что, насколько я понимаю, значит что на серваках моего Билайна сидит именно тот бэкдор, на который я наполз выше?

Вряд ли на серваках Билайна, просто по инету ползают боты и стучатся по портам. Не слышал раньше, чтобы у провайдеров такой трешак был, что на серваках сидят бэкдоры. Скорее всего, у них серваки вообще на линуксе.

1

Embrace Futility

Инфа по DoublePulsar свидетельствует о том, что это как раз именно серверный бэкдор. Десятки постов которые я нарыл от страдальцев DoublePulsar буквально все упоминали о заражении именно серверного оборудования. Так что исключать рано.

Кстати сервера у них оказались заражены совершенно тем же майнером что и у меня - он даже маскировался той же службой, и файлы майнера были под такими же именами.

1

Новые эскплойты подъехали

Спойлер

https://arstechnica.co.uk/information-technology/2017/05/windows-defender-nscript-remote-vulnerability/

1

Profiction

Ахах, Windows Defender, открывая файл для сканирования, в буквальном понимании, открывает ящик Пандоры? Ай малаца. Как хорошо что он у меня отключен.

Все поняли? Либо немедленно апдейтим, либо отключаем Windows Defender. Он служит катализатором для исполнения вредоносного кода на вашей машине.

1

rambling
Я кстати еще нашел кое-что вот тут
https://www.renditioninfosec.com/2017/04/observations-from-the-latest-doublepulsar-scans/

Updated tools have been available for a few days allowing the removal of the DOUBLEPULSAR implants remotely by anyone who chooses to do so. The safety of these tools has not been evaluated. Based on our own honeypot data, it seems unlikely to make a difference. A vulnerable host on the Internet would likely be reinfected in under an hour.


Объясняет, почему никакая переустановка не помогает, перезаражение происходит очень быстро.

1
Embrace Futility написал:
Объясняет, почему никакая переустановка не помогает, перезаражение происходит очень быстро.

Перестановка, формат, удаление разделов диска, перепрошивка роутера, перепрошивка БИОСа, формат флешек с Виндой - мне ничего не помогло. Но как попробовал установиться с другого образа Винды - вирус не проявился. Образ был старый. Оригинальный W7SP1. Но слишком долго я его не тестировал. Пришёл к выводу что вирус сидел в моём образе, несмотря на то, что я его использовал и форматился с него целый год без проблем.

Все свои файлы и драйвера я тоже проверил. Да у меня вирус появлялся вообще на чистой системе, без каких-либо установленных программ и подключённых внешних накопителей.

Мне кроме сервов прова уже винить нечего. Прошивку роутера перепрошил. По интернету не лазил.

1

Спасибо за ссылку на проверку. Я чист.
Всем кто борется с заражением желаю сил и внимательности.

1

Спасибо rambling что запилил тему и подробно всё описал.
С 19.04.2017. Я словил эту фигню и уже 3 неделю веду борьбу по всем фронтам, отсылаю файлы которые считаю инфицированным и один из них который антивирус ни как не воспринимал теперь будет виден и очищен: Присланный Вами файл будет добавлен в базу данных сигнатур вирусов ESET как Win64/BitCoinMiner.U application.
Спасибо за помощь в борьбе с вирусами!
Так же этих: Win64/BitCoinMiner есть с U(это походу новый) поскольку сообщений от макрасофта не нашел а вот с А, D есть инфа.
Буквально вчера эта гадина снова напала не известно откуда просто появилась и всё. И сервак потух, перезагрузился в безопасный режим пробежал по уже известным путям и там эта фигня сидит удалил, всё ок, жду снова.
Сегодня очередная беда жаль название файлов не скопировал, но сделаю это завтра. Вирус походу модифицировался и просто убил почти все службы на сервере, тупо все службы ДНС, домен, РДП и т.д. выдают ошибку и нифига не работают. Откатился на 20 апреля, перекинул базу данных. Проверил и перепроверил снова все каталоги и т.д. тишина, жду что теперь будет.
По сайту сервак светился 27.04.2017. Вот думаю открыть 445 проверить буду светится или нет.
на одной из машин отключил службу: Установщика модулей-TrustedInstaller. Думаю может при помощи этой службы бэкапится.
Выяснил сколько обойдётся лицухинское ПО: в районе 400 т.р. и походу это еще далеко не последняя цена :(

1
ExxErr написал:
Че делать то?!)

Кушать последние обновления Винды. Мне помогло, хотя я по-прежнему "заражён". Сам бэкдор останется, но через него больше ничего не приползёт.

Напоминаю: пользователи пиратских Windows с плохими активаторами (которые не позволяют обновляться) находятся в большой попе.

1

Зашел по ссылке выше с мобильного(андроид), система заражена. Чет я не понял, эту хрень уже апгрейдили для телефонов?!

1

No More Lies
Нет, вирус так не работает
только на операционной системе Windows
Согласитесь, зачем майнерам (которые собирают криптовалюту посредством БотНета) нужны жалкие ресурсы телефона
Да и WonnaCry тоже работает только на винде.
К слову, то что ты подхватил просто вредоносная ссылка
Можешь просто нажать "вкладки" и закрыть все
Если не сработает, то почисть на телефоне куки браузера, или на крайняк скачай DoctorWeb free на свой телефон, он там все найдет

1
No More Lies написал:
Зашел по ссылке выше с мобильного(андроид), система заражена. Чет я не понял, эту хрень уже апгрейдили для телефонов?!

М-м-м. Тут мне немного сложно судить. Заходил через что, свой Wi-Fi? Если так, то бэкдор к тебе стучится через роутер. Если через Data Connection, то реально походу сидит на серваках твоего провайдера. Говорили серваки "Мегафона" заражены. С твоим телефоном скорее всего ничего не сделает, это по сути лишь лазейка, в не вирус как таковой. Твой Андроид не заразит. А вот за комп я бы побеспокоился.

В теории, могут прицепить Андроид вирус к этому бэкдору. Но я сомневаюсь что кто-то будет заморачиваться.

1
Evermus написал:
А что может быть еще хуже чем шифровальщик, который выпиливает полезные документы

Только одно. Вирус, выпиливающий файлы и документы, но при этом не обнаруживающий себя. Будет так сидеть, днями шифровать, и я буду время от времени подключать свои бэкапы - чтобы апдейтить их. И вот спустя пару недель у меня выпилится всё - включая все бэкапы. Вот так можно потерять всё. А окошко вылазящее через 4 часа после инфекции ещё не так страшно.

1

Вот интересный ответ нашел на сайте мелкомягкого
https://answers.microsoft.com/ru-ru/windows/forum/windows_7-security/%d0%b2%d0%b8%d1%80%d1%83%d1%81-wanna-crypt/579771be-cfb3-43a0-8d8b-c07ceb8710ff
Получается достаточно выполнения этих команд, чтобы закрыть дыру?

"В качестве временной меры Вы можете отключить клиент SMB v1 на вашей системе.
Для этого нужно выполнить следующие команды:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
команды выполняются в режиме с повышенными привилегиями (от имени администратора)
необходимо перезагрузить компьютер после применения команд


Если на вашей системе запущен SMB сервер, отключите SMB v1 см статью https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 как сделать.
См. также https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Кроме этого, Вы можете заблокировать порт 445 входящих SMB соединений в роутере или в правилах межсетевого экрана, что тоже уменьшит риск проникновения вымогателя."

1

После обновления Win 7(64) перестала запускаться. Встроенный диагност решил проблему, я думаю откатом обнов. Как быть? как правильно обновить пиратку, возможно ли это?) И как быть с активацией? после обновы она слетает?

1

Тут у многих с обновлением пиратки проблема.

Я могу всем кому надо пропатченную Винду 7 выдать пропатченный абсолютно всеми апдейтами install.wim для установки самой свежей Винды (конец апреля 2017). Пиратка у вас или лицуха - неважно.

Это абсолютно легально. Никаких кряков или активаторов, просто пропатченный родной образ Винды 7 SP1 Ultimate (x86/x64) до апреля 2017-го.

Загвоздка только одна. Моя Винда на английском, т.к. делал для себя. Если для вас английская Винда не проблема - стучитесь. Выдам полностью готовую и пропатченную. Торрентом или чем вам удобно. Повторяю, это легально. Никаких активаторов или ключей.

Это решение, конечно, только для самых экстравагантных личностей. :) Но мало ли такие найдутся. Лично я после утечки утилит АНБ предпочёл полностью запатчить свой образ Винды. DoublePulsar был только одним из утёкших бэкдоров. Вероятно будут и другие. Чтобы не хвататься за жопу с портами и не паниковать с апдейтами, я свой образ Винды сразу пропатчил. Лучшее решение, имхо.

1

http://forum.oszone.net/thread-257198-494.html обновлялся без проблем.

1

ziborov.s

Вот именно этим Update Pack'ом полностью пропатчен мой образ Windows 7 SP1 Ultimate (x86/x64). Что и предлагаю. Образ, где уже всё готово. А дальше уже хоть купайтесь в активаторах - дело ваше.

1

ziborov.s
Скачал, что дальше с этим паком делать, как обновляться чтоб активация не слетела?

0

https://intel.malwaretech.com/WannaCrypt.html
интерактивная карта, по которой можно поглядеть, в какой стране сейчас у кого то подгорел пукан от шифратора)
за минуту 36 компов нащитал, за час будет 2160, и за 24 часа 52 тыщи компов, сурово

1
- Rick Sk1mmer - написал:в винде есть такой стандартный сервис SMB

Неплохо бы еще ответить на вопрос: на кой собственно этот сервис необходим рядовому пользователю win7 и чем плох способ с его полным отключением?

Также интересно узнать как через реестр закрыть 445 порт.

1

kvanch
на кой собственно этот сервис необходим рядовому пользователю win7 и чем плох способ с его полным отключением?
Ну пропадет общий доступ к файлам и папкам с других компьютеров в локальной сети (ежели такая есть)

Ну а так, если только сам юзаешь свой пека, можно смело отключать (через реестр):
//
HKLM\SYSTEM\ CurrentControlSet\Services\Netbt\Parameters
создаём параметр SMBDeviceEnabled (тип REG_DWORD)
значения: 1 (включен); 0 (выключен - по умолчанию)
//

Также интересно узнать как через реестр закрыть 445 порт
На 8ке и выше отключается двумя строчками в командной строке, на 7ке своей я пробовал так http://netler.ru/ikt/445.htm
Получилось или нет так и не понял, в итоге просто скрыл их через брандмауэр. Но не забывай также скрыть и 139 порт.
Вообще, на всем, что ниже 8ки, при скрытии через реестр 445 порта какая-то лабуда происходит, в одном месте вроде закрыл, а когда проверяшь порт на доступность - он отображается как открытый. Хз хз.

Ах да, есть еще прога windows worms doors cleaner, с ее помощью можно легко скрыть некоторые популярные порты, но по-моему она для XP, у меня во всяком случае она не сработала.

3

Закрыла порт 445 от греха подальше. А вообще странно. Интересно, эта вирусня только в СНГ гуляет? Просто я у себя не слышала ничего о такой вирусне.

1

MikuHadsune
Закрыла порт 445 от греха подальше
Теперь главное из инета не подхватите эксплойт. Потому что многие пренебрегают этим пунктом, полагая что обычные трояны это ерунда. Но шифровальщик в составе текущего бекдора кодирует стойким 2048 битным RSA ключом, и на данный момент метода дешифровки нет, поэтому если есть действительно важные документы, которые терять нельзя, важные файлы, ну, лучше на всякий случай уберите куда подальше их.

эта вирусня только в СНГ гуляет?
Отнюдь, выше ссылку на интерактивную карту распространения вируса уже приводили.

1

- Rick Sk1mmer -
У меня стоят 2 анивируса. Каспер и нод. + каждую неделю сканирую систему прогой хитманпро. Не люблю когда система загаживается всяким.
Вообще спс за подсказку. Буду аккуратнее.

0

MikuHadsune
У меня стоят 2 анивируса. Каспер и нод
Если стоит продукт дяди Жени, ноду можете смело убирать, Каспер самодостаточен, а нод32 только дублирует те же самые функции, еще и ресурсы отгрызает потихоньку. Вообще, зоопарк из двух антивирей не самая лучшая затея (особенно если уже стоит каспер, др веб или другой подобный комбайн), а вот всякие утилитки вроде уже упомянутого вами хитманпро, мальварибайтс и прочих весьма неплохи для дополнительной проверки.

2

Хм.. такая же проблема майнеры какие то на комп залезли
была винда 7 на ней вылазила критическая ошибка виндовс или как то так.. решил переустановить винду
вроде чистая винда ни намека на вирусы но спустя сутки пк стал жутко тормозить лагать и постоянно синий экран вылазил
будто какая то нагрузка на комп идет хотя даже нечего толком не качал кроме игр типа стимовских..
сейчас нашел какую то хрень типа DoublePulsar и EternalBlue
скачал Malwarebytes просканировал комп нашлись трояны и майнеры какие то
шо это за звери такие я не в курсе и как драться с ними я тоже не знаю
а летом ловил вирус wannacry после него приходилось винду менять 4 раза потом с горем пополам скачал какой то антивирусник от касперского вроде и полегчало. но вот опять беда нагрянула из-за угла

1
oscarbin написал:
Что-то я не понимаю. После полного формата диска и установки чистой винды он появляется из воздуха? Или все-таки что-то со старой системы переносится

Из воздуха. Вирус появляется до того как я устанавливаю какие-либо программы/утилиты/рантаймы.

oscarbin написал:
есть другие подключенные несистемные диски, винда с флешки (уже зараженная) и тп

Есть, но вирус появляет себя до того как я впервые подключаю любой из них. Да и флешку я форматнул и переставил на неё Винду годовой давности - сделав это на другом компе.

oscarbin написал:
Как бы хард с чистой виндой это фактически "новый комп"

Не совсем. Быстрый формат может не стереть вирус. Для полного стирания харда, нужно как минимум затереть весь хард нулями. Что я завтра и сделаю.
Выглядит это вот так: http://i.ebayimg.com/00/s/MTIwMFgxNjAw/z/tfkAAOxyGStRtKj-/$(KGrHqR,!rQFGtVSq-mSBRtKj-PwWw~~60_1.JPG

Sonic268 написал:
просто нужно систему качать официальную,а не сборки всякие,накачают себе сборки и потом кричат

Я никакие сборки не качал. Винда чище детской попки. И прошу прекратить тут постить детсадовские советы вроде "не используй репаки", "не ходи по подозрительным сайтам", "не качай сборки". Это все давно знают. Только засоряете тему.

Daidjer написал:
Ты еще прогой Dr.Web CureIt просканируй обязательно. Зайди в папку AppData - Roaming - uTorrent, и удали следы торрентов. А папки Temp и Prefetch надо чистить регулярно

Как это объясняет появление вируса на чистой системе после формата? Вы хоть читайте тему. Удалять всё это счастье мы научились. Сейчас стоит вопрос где прячется источник.

0

ловил подобный майнер на ноут 1,5 года назад. Так вот, о том, что он скачался из "воздуха" враки. Он идет с левым софтом.
Сам тоже долго не мог убить, эта гадость спустя время появлясь снова. И самое популярное - переустановка винды ничего не дала. Все эти хваленные антивирусники его игнорили. В итоге все же удалось его убить, вырубил интернет и на диске Д нашел бат файлик, который всегда запускал процес скачивания этой гадости. Ушло много времени и нервов

0
Dead Note написал:
о том, что он скачался из "воздуха" враки

Ты меня неправильно понял. Я говорил о том, что после формата он восстанавливается из ниоткуда. То что я его впервые отуда-то скачал, это понятно. Спасибо за мысль, сейчас пробегусь по всем дискам в поиске батников.

0

То же подхватил эту дрянь,winsec папа сидит в папке C:\Windows\Prefetch\secscan.exe ,эту дрянь вроде удаляет доктор веб но хреново после перезагрузки,это дермище опять появляется,неужели нет норм антивируса который смог его удалить раз и навсегда,спасибо.

0

maxired

Даже если ты его удалишь, Profiction прав, вирус скорее всего прячется в MBR секторе, так что по-любому прийдётся делать загрузочную флешку если не хочешь выметать весь раздел. Не сделаешь этого, всплывёт снова. Как минимум после формата.
Я полностью затёр хард нулями, соответственно и Master Boot Record. Если всплывёт после этого, то я уже не знаю что ещё делать. Вот сижу, жду, предвкушаю. :)

2

Да я не думаю что эта хрень реально способна прописаться куда-то в прошивку или нулевой сектор диска, звучит из области фантастики, хотя от Пентагона/АНБ(или что там еще) можно всякого ожидать... Но скорее всего эта зараза просто распространилась по множеству сайтов/серверов и когда снова туда заходишь - она снова и появляется. Возможно у автора просто после форматирования и переустановки что-то из оборудования/программ лезет в инет за обновлениями/настройками и там это цепляет по новой.

0

kvanch
да в том и дело, что вот тоже сижу только в вк и на пг, ну яндекс погоду смотрю, играю в диаблу. Появляется само по себе. Форматирование не помогает. Всё резко блочится, эксплорер не работает, пишут нет доступа, в диспетчере задач все процессы отмечены как "не отвечает". Ну и перезагруз и всё по новой

2

Mayenikus
так ты попробуй после форматирования (полного а не быстрого) не заходить в инет (отруби кабель для полной уверенности). И опять же ты полностью уверен, что никакое твое оборудование/программы не лезет после этого в инет за обновлениями/настройками - вполне вероятно что ихние сервера уже также инфицированы.

-1

kvanch
Да сейчас порты закрыл 445 113 10 и пока стабильно

0

Неа, не помогло. Постоянные подключения с разных сайтов. Отключаешь фаерволл и майнер у тебя. А видеть постоянные "Блокировано входящее подключение", причём за минуту по несколько, утомляет

0

А я пробовал накотать апдейты безопасности, но комп стал перезагружаться, через восстановление системы все откатил,так как 10ку с новыми апдейтами ставить лень)

0

Да вот еще в первый раз еще настроил брэндмауэр на блокировку winsec.exe программы
на исх. и вх. использования трафика правилами.
и при следующем появлении он уже не мог что передавать по сети и отваливался.
Обновления тоже ставили но не помогло.

0
Mayenikus написал:
назывался backdoor.Spy.422
находился С:\ System32\Config\systemprofile\appdata\local\ microsoft\windows\temporary internet files\content.IE5
Ну, как я понял, всё таки браузером занёс, вот хз только как

У меня было во много раз жёстче. В образ Винды прописалась служба, которая качала папу и сам майнер. Никаких батников, ничего в Run реестра не было. Только служба. При запуске Task Manager'а вирус, и даже его папа процесс отключались. Оставался только services.exe, что логично (это сам управляющий Виндовскими службами).
Поэтому я ничего в образе Винды не нашёл. Там ничего и не было. Кроме новой службы.

0
Спойлер

вот периодами теперь это постоянно после очистки

0
rambling написал: Напоминаю: пользователи пиратских Windows с плохими активаторами (которые не позволяют обновляться) находятся в большой попе.

Серьезно? Являюсь пользователем пиратской Windows 7. Первое - у меня имел место быть майнер описанный в ветке. Второе, по ссылке, пульсара не обнаружено. В попе не нахожусь. Система стоит уже года четыре.
Вчера, спасибо за совет, удалил эксешники.
Как вообще узнал что за тварь сидит в системе? При запуске диспетчера задач (чтобы узнать нагрузку на ЦП) - что-то быстро исчезало, увидеть толком не получалось. Помогло сделать Prntscrn и потом загрузить скрин в фотошоп. Так и узнал имя падлы!
А далее уже в гугл, с гугла сюда, и еще раз спасибо за советы! Систему сносить пока не собираюсь, потому что много работы, не до переустановок :)
Сутки прошли, диспетчер задач не закрывается самотушки.
А вообще, началось все с того что в апреле (точно не помню дату), отходил пару раз от компьютера, и пару раз он самоперегружался, иногда с синим экраном смерти. Тогда я грешил на Evernote. Решил обновить. Обновился, перегрузки на удивление - исчезли! :-\
А вот ЦП постоянно что-то нагружало. Работал в фотошопе и слушал музыку в браузере (онлайн радио), и во время работы в фотошопе стало чувствоваться что по-пучивает экран со слоями и музыка на пару секунд подвисала. Это надоело и вот, нашел падлюку через принтскрин. Систему еще не перегружал.
Темпы и прочие папки описанные в теме почистил - ну и дерьма же там было!!!
Надеюсь что какое-то время система еще продержиться. Регулярно делаю важные бекапы на несколько винчестеров, флешки и записую на dvd-r.

Еще раз спасибо за поднятую тему и описание что делать с этой заразой!

0
ExxErr написал:
Судя по ссылке выше мой комп заражен, но никаких процессов и прочего как у других пользователей я на своей системе не нашел. Че делать то?!)
rambling написал:
Кушать последние обновления Винды. Мне помогло, хотя я по-прежнему "заражён". Сам бэкдор останется, но через него больше ничего не приползёт.

Вообще, я читал что сам бэкдор убивается банальным ребутом. Проблема в том, что пока он был открыт, компьютер могли напичкать чем угодно. В моем случае система уже не подлежала восстановлению, скорее всего были установлены вирусы, которые заражают системные файлы и периодически накачивают новые вирусы. Такое мне вылечить не удалось, поэтому переустановил винду, и мне это вроде помогло.

Что делать? Да, поставить обнову чтобы снова не заразиться, закрыть на компе рдп и 445 тсп порт на всякий случай.

0

Дня три назад появился майнер этот, выпили часа за 2, как и было описано, нахождением эксешников...теперь, через 3 дня появился опять, нагрузил комп в хлам, что даже диспетчер задач было проблемно открыть.....зашифровал все файлы ворда (в том числе диплом, который защищать через месяц). Еле как смог убить процесс, чтобы просто пользоваться компом, куча файлов новых появилась, и декриптор, который требует деньги, чтоб расшифровать файлы... А ведь хотел сразу после удаления скинуть все на облако))))
Теперь этих ексешников нет (но во второй раз была запущена служба и были уже другие экзешники), службу я прибил вроде, посмотрим как будет....... Интересно , откуда он опять вылез.... Была установлена программа левая для майнинга. вместе с ней NET Framework.... Возможно он и был причиной......Но с файлами конечно не очень получилось....

0

Avalanche161
толку удалять экзешники, когда надо порты закрывать (фаерволл ставить) и чистить реестр как минимум
Кстати, кюррейт ловит бэкдуры, у друзей тоже самое было. Даже ничего не делали, просто кюррейтом почистили, неделя прошла

0
Avalanche161 написал:
службу я прибил вроде, посмотрим как будет
Mayenikus написал:
надо порты закрывать (фаерволл ставить) и чистить реестр как минимум

Служба - это и есть то, что надо чистить в реестре. В реестре легко найти левую службу, т.к. она и будет запускать ваш EXEшник. Соответственно, находим службу в реестре по имени EXE своего вируса.
В целом, просто вырубить эту службу достаточно. Но лучше после этого ещё и закрыть порты, как советует Mayenikus.

0

http://avfor.ru/obsuzhdenie-antivirusov-i-faiervolov/5426-firewall-zakrytie-portov-135-i-445-vruchnuyu.html если фаерволл ставить не хочется, то можно так

0

О, вот и продолжение банкета подъехало:
http://varlamov.ru/2370148.html?utm_source=&utm_medium=&utm_campaign=smi-zayavili-o-krupnoy-virusnoy-atake-vnu
Все успели обновиться и закрыть 445 порт?

0

Вот поэтому у меня вся важная инфа бэкапнута на внешние харды. И даже та, что содержится на компе (копия), содержится на отдельном жёстком диске. Отсоединил - и пусть стирают.
А вот то, что наши ухошлёпы из МВД такое допустили, меня крайне удивляет.

Embrace Futility написал:
О, вот и продолжение банкета подъехало:

Хех, зачесались наконец, когда сообщение на экран вылезло. Передовые журналисты прям. В целом ничего нового. Главное, как мы поняли, сама дыра. А лезть через неё ещё много месяцев разные радости будут. Майнер и вот это - только начало.

Evermus написал:
Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010

А наш DoublePulsar набирает известность. :)

Evermus написал:
По словам экспертов, инструмент американских разведслужб, известный как eternal blue

Сколько ж этот журналист впихнул в одну фразу бредовой отсебятины... Я б расписал, но мне всё же тяжело печатать. Дв и какая, впрочем, разница.

Embrace Futility

Добавил пометку о закрытии 445 порта в первый пост. Благодарю за то, что ты об этом отписался.
Я пока сижу с открытыми портами, тестирую "заплатку". После обнов у меня есть DoublePulsar, но ничего через него не лезет.

1

https://hi-news.ru/technology/kompyutery-mnogix-stran-podverglis-atakam-virusa-vymogatelya.html
походу мвд тоже уважает пирацкий софт)

0

Скорее, у них просто все на XP наверное, которое уже давно не поддерживается.

0

Сегодня в 21:19
Специалисты «Лаборатории Касперского» установили, что активно распространяющийся вирус-шифровальщик WannaCry использует известную сетевую уязвимость ОС Windows, закрытую специалистами Microsoft в марте. Об этом говорится в заявлении, поступившем в редакцию «Медиазоны».

«Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик», — говорится в документе.

«На данный момент "Лаборатория Касперского" зафиксировала порядка 45 000 попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России», — отмечают в компании.
Сегодня в 21:27
Хакеры, атаковавшие в пятницу медицинские учреждения Великобритании, а также испанскую телекоммуникационную компани Telefónica, использовали модифицированную вредоносную программу Агентства национальной безопасности (АНБ) США, пишет издание Financial Times со ссылкой на аналитиков в области кибербезопасности.

По словам экспертов, инструмент американских разведслужб, известный как eternal blue («неисчерпаемая синева») был совмещен с «программой-вымогателем» WannaCry.

Программа, разработанная АНБ позволяет вирусу распространиться через протоколы обмена файлами, которые установлены на компьютерах многих организаций.

С этой оценкой согласны несколько чиновников в органах безопасности западных стран, отмечает газета.
Старый знакомый бекдор кароч)

0

Тоже сегодня вылезло))) как будто одновременно) Даже не поленились картинку на рабочем поменять:)))

0
rambling написал:
После обнов у меня есть DoublePulsar, но ничего через него не лезет.

Он умирает от перезагрузки компьютера, потому что живет исключительно в оперативной памяти. Если что-то осталось, значит, это уже что-то другое, что проникло в систему, пока был открыт бэкдор.

0

Народ, залетал через этот вирус который висит в оперативке майнер secscan и winsec, удалял их по 10 раз в итоге установкой апдейта на семерку все вылечилось, но вот незадача этот апдейт конфликтует с нужной мне программой которую мне часто нужно использовать и работает она только под семеркой, есть способ удалить обновление и защититься наверняка?

0
Embrace Futility написал:
Он умирает от перезагрузки компьютера

Хм, в таком случае понятно почему ничего не восстанавливается после тщательного удаления. Спасибо.

LichGod написал:
от незадача этот апдейт конфликтует с нужной мне программой которую мне часто нужно использовать и работает она только под семеркой, есть способ удалить обновление и защититься наверняка?

Как советовал Embrace Futility, закрыть порт 445. По идее должно помочь. Но всё же и пропатчится при этом было бы лучше.

0

rambling
А как закрыть этот 445 порт? =)

2

Frankie Zima

В настройках роутера (если имеется), либо через Firewall (Брандма́уэр). Какой у тебя роутер или каким Firewall'ом ты пользуешься я не знаю, поэтому дальше помочь не особо могу. Такое лучше гуглить.

2

Frankie Zima
Панель управления\Система и безопасность\Брандмауэр Windows
Слева "Дополнительные параметры". В открывшемся окне тык Правила для входящих подключений -> справа будет Создать новое правило. Дальше сам разберёшься.

rambling
Помимо этого есть ещё какие-нибудь полезные действия?

1
AR3E написал:
Помимо этого есть ещё какие-нибудь полезные действия?

Помимо закрытия порта, всё же лучше обновить систему, а в целом ничего нового. Зараза лезет напрямую, так что тут других вариантов толком нет. Закрыть порт - хорошо. Но закрыть сам эксплоит тоже очень не помешает.

0

жесть а я то думал у меня винт накрывается, старый уже, перезагружался комп постоянно с сообщением об ошибке и проц загружен был, но об этом я уже потом понял, потому что некоторые игры которые раньше работали норм начали лагать, dr web cureit нашел secscan.exe и 1[1].exe как BackDoor.Spy.422 и WINSec.exe Tool.BtcMine.948, удалил, еще через Malwarebytes прогнал, он у меня много чего в реестре нашел, но того что относилось бы к WINSec.exe ничего, и в службах Windows Security отсутствует, плюс 445 порт закрыл, с обновлением тяжко, так как винда пиратская 5-летней давности и черт её знает как я её активировал, после всех проделанных операций сайт говорит что мой IP чист, и уже сутки комп работает нормально, вирусня больше не вылезала тьфу тьфу тьфу!

0

n0lifer
Comodo скачай и включи там фаерволл на всякий случай

0

Ох ребят, это просто писос
У меня тоже такая фигня
Как вы думаете, Winsec напрямую связан с этим вирусом вымогателем?

0

Алексей Каневский
Винсек и вирус вымогатель используют бекдор и эксплойт как таксиста, который развозит пьяных приятелей по домам) Таксист тот же, а пассажиры разные) в роли пассажиров может выступать любой вирус :) Если не запретить этого таксиста, путем установки мартовского апдейта на винду, закрытие порта 445, к тебе в комп ломанется топла алкашей)

6

Evermus
Знатно поржал над твоим комментом.) Всё шикарно и правильно расписал. Напомню лишь об одном: в следующие месяцы наплывёт ещё очень много вирусов. Апдейтите Винду и закрывайте порт 445. Срочно. Очень вероятно, что то что происходит сейчас, вам Раем покажется в сравнении с тем, что ещё нас ждёт.

2
- Rick Sk1mmer - написал:
Переустановить виндоуз, например, и впредь думать головой, куда лезть и зачем.

Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.
вот полный гайдик от карперского https://blog.kaspersky.ru/wannacry-ransomware/16147/ если интересн)

GG4 написал:
Винду не обновляют, качают "бесплатные" репаки, не покупают антивирусы, а потом удивляются.

В торентике уже давно лежит вин10 с апрельскими апдейтами безопасности, и раздачи тоже обновляются,путем накатывания раз в несколько месяцев пака обнов для систем безопасности, а также активаторы легко позволяют пройти проверку на легальность и обновиться, минус, что бывает некорректно это встает на систему и система срывается в постоянные перезагрузки, но точка восстановления решает) купить систему это так скучно, лучче детям конфет купить или пожилым родственникам дать денег на таблетки) каждый в общем сам может решить, как и куда тратить кэш с зарплаты или с завтраков ;)

rambling написал:
Очень вероятно, что то что происходит сейчас, вам Раем покажется в сравнении с тем, что ещё нас ждёт.

А что может быть еще хуже чем шифровальщик, который выпиливает полезные документы, и для восстановления работоспособности компэ надо переустанавливать винду и восстанавливать инфу с бэкапов? тока вирус, который снимет защиту проца и видухи от перегревов и запустит майнер и комп взорвется) но таких приколов я еще не видел

0

активаторы для системы windows,как только скачал систему и активировал ее активатором,ты уже должен понимать что ты легко заразишь даже чистую оригинальную систему,и не надо тут рассказывать что мол я качаю активатор проверенный,99% активаторов это уже вирус

0

Значит так, товарищи. Я тут читаю и вижу, что некоторые опасаются обновлять свои пиратские WIN7. Возможно такие есть и среди тех, кто просто читает, но ничего здесь не пишет (я вот зарегался на PG исключительно из-за этой вирусни, т.к. на тот момент это был единственный ресурс, где упоминался secscan.exe). Это очень зря, т.к. если она никогда не обновлялась после установки, она дырявая как сито и уязвима для множества разной вирусни, а не только этой. Обновлять надо и обязательно. Это первое, что я сделал после того как удалил тело вируса, возможно я недостаточно подчеркнул и выделил важность этого, а оно в итоге и помогло мне избавиться от проблемы. Обновляйте винду!!!
Чтобы не слетела активация в центре обновления нужно войти в список обновлений и руками скрыть обновление KB971033, которое ее сбрасывает. После этого смело ставьте все обновления. Вообще в свете последних событий можно смело рекомендовать всем своим знакомым обновлять все версии, активировать всегда можно второй раз, а вот восстановить убитую инфу не выйдет.

0

Вставил эти команды в командную строку по очереди:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

- написано успех.

Как считаете, этого достаточно, чтобы закрыть дыру?
В обновлении написано, что виной является именно уязвимость в SMB v1 и что они там типа исправили обработку некоторых запросов.
Но я так понимаю, что отключить ее нахрен тоже не возбраняется.
Тут есть спецы, которые знают за что конкретно отвечает эта служба и насколько сильно она вообще необходима обычным юзверям?
По крайней мере я никаких сбоев и недостатков в работе после этого не обнаружил.
У меня 7ка SP1 пиратская, соответственно обновляться через центр обновлений не вариант.
10 ставить не хочу, а патча отдельного не могу нигде найти...
Поэтому мне кажется это наиболее рациональный выход.

0

kvanch
Нужную обнову можно скачать отсюда, должно нормально установиться: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Ну и закрыть порты, хотя бы 445, как написано в шапке.

0

dihlofos2009
Так а если я полностью отключил этот SMBv1 к нему уже ни с какого порта ведь не достучаться. Смысл тогда этих обновлений, что ценного в этом SMBv1, чтобы его исправлять? У меня и без него вроде все нормально работает..

0
dihlofos2009 написал:
Нужную обнову можно скачать отсюда, должно нормально установиться

Видел эту ссылку, хотел поместить в шапку, но толком не понял на что кликать. Я сейчас реально очень болен чтобы шарить по странице. Не мог бы ты подсказать куда тыкать, и я помещу в шапку.

Спасибо.

kvanch

Про отключение SMB тоже неплохо бы добавить в шапку. Если вы можете описать процедуру отключения, я тоже кину в шапку.

0

rambling
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

1

rambling
Вставил эти команды в командную строку по очереди:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

sc.exe config mrxsmb10 start= disabled

Для нубов:
нажать пуск - выполнить (либо нажать win+R)
ввести
cmd
нажать enter
далее в командной строке по очереди скопировать и вставить (если не вставляется отсюда вставить в блокнот и оттуда скопировать) эти команды и нажать после каждой enter
должно появиться "успех"

Можно и просто их сразу вставлять в "выполнить", но тогда окно сразу закрывается и трудно проконтролировать результат

PS
на всякий случай вот команды, как обратно включить:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto

1

Директор Европола Роб Уэйнрайт заявил, что серия кибератак может продолжиться в понедельник утром, передает агентство Рейтер.
https://news.mail.ru/society/29735594

0
rambling написал:
Видел эту ссылку, хотел поместить в шапку, но толком не понял на что кликать. Я сейчас реально очень болен чтобы шарить по странице. Не мог бы ты подсказать куда тыкать, и я помещу в шапку.

Ну собственно достаточно будет выбрать обновление Security Only и свою ОС, например win7 x64.

Спойлер

В любом случае на открывшейся странице будет подборка операционок, так что можно, наверное, прямо эту ссылку закрепить в шапке: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Спойлер

Жмем "загрузить" для своей ОС, скачиваем и устанавливаем.

Обновы для XP и для других уже неподдерживаемых версий Windows тоже вышли:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Немного инфы с оф.блога: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

kvanch написал:
Так а если я полностью отключил этот SMBv1 к нему уже ни с какого порта ведь не достучаться.

Возможно, отключения будет достаточно и без обнов. Тут я не берусь утверждать.

0
- Rick Sk1mmer - написал: Я использую SpyShelter AntiKeylogger

На рутрекере глянул - нету такого
Где можно взять?

0

kvanch
https://www.comss.ru/page.php?id=907 фри версия
https://www.comss.ru/page.php?id=1334 а это платная,ее и можно на трекере поискать

0

Evermus
ok спасибо
на торентах не нашел премиум версии, скачал с сайта сomss бесплатную
надеюсь она там сама без вирусни?

1

kvanch
Фри версия по ссылке это обычный монитор клавиш, он не ловит шифровальщиков и с 2016 не поддерживается разрабами. Я использую у которой в названии приписано "firewall", как на скриншоте на офф сайте https://www.spyshelter.com/ , но у меня лицушный ключ просто.

-1

- Rick Sk1mmer -
скинь ключ в личку если не западло, буду очень признателен

0

kvanch
http://spaces.ru/files/view/?Li=466711498258&Lii=5581256805&Link_id=202787&Lt=8&Sn=1&from=search&Read=55812568&name=DusiaS

0

Ёпрст, ну и интересную темку вы завели...

0

ThChrgdCrpr
похоже на кружок анонимных алкоголиков, не так ли? =)
там люди тоже собираются, вместе решают проблему и делятся успехами друг с другом и в итоге излечиваются)

2

Evermus
Хрен его знает на что это похоже, но то, что я перечитал всю тему - факт :).

1

ThChrgdCrpr
теперь ты предупрежден, значит защищен и будешь помогать людям)

1

Вопрос немного не по теме, перечитав всю тему решил может кто знает в чем дело. У меня последнее время начал пропадать интернет на 1-2 сек, что иногда очень напрягает (в онлайн игре). Пробовал переустановку драйверов, сброс настроек роутера и переустановку винды, проверял на вирусы, в итоге не помогло ничего. Знает кто что это может быть?

0

Jack Peterson
Это может быть говёный роутер.

1

0Bers0
Такое мне уже говорили, так как на ноуте подключенном через wi-fi такого не происходит. Да и я сейчас подключил инет без роутера и понаблюдаю до вечера. Если пропадать не будет, то придется роутер менять)

1

Jack Peterson
У меня подобное было из-за роутера, замена девайса всё исправила.

1

Вчера майнер восстановился, грузит процесс msiexev.exe как указано в первом сообщении данной темы.
Путь показан в папку Fonts со шрифтами, но там ничего нет. Обнаружил в папке User неудаляемый файл NTUSER.DAT созданный так же вчера.
В папке C:\Windows\Temp неудаляемый текстовый документ тоже от этого же майнера, правда вот он через безопасный режим удаляется но благополучно восстанавливается при запуске в нормальном режиме.

0

Формально решил проблему, просто приостановив процессы через Process Explorer. Ибо если их убить они тут же восстанавливаются.
Экзешник я так и не нашел, буду думать дальше. По крайней мере теперь проц не грузит.

0

Привет всем. В общем ситуация такая: в списке установленных обновлений у меня нет KB971033(проверка подлинности), но в списке журнала обновлений оно есть(скачал все обновы но пока не ставил), как быть, где находится папка загрузки обнов и как(можно ли) ее корректно удалить? Или KB971033 придется все равно инсталить и только потом скрывать?

0

No More Lies
Ну через "программы и компоненты" можно в любом случае удалить обновления как обычную программу. Если уже скачалось, но не установлено и не скрывается, возможно нужно будет удалить руками (через удаление программ) после установки и еще раз активировать винду, если собьется.

-1

https://www.comss.ru/page.php?id=4038
а это похоже про нашего друга майнера) а то все лавры достались какому то шифратору, хотя первый майнер начал через бекдор залетать

0

Закройте 445 порт для входящих подключений через брандмауэр винды и радуйтесь.

0

Если ещё никто не постил:
https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32%2FWinsec

0

Включаю сегодня комп, юзаю на нём минут 10, потом слышу свист .... глянул, частоты видяхи подскочили до максимума О_о я первым делом ползуннок частот до минимума свёл через прогу msi afterburner и свист прекратился, полез сразу в диспетчер задач -> подробности
И наткнулся на процесс wabmig.... открыл его расположение(\user\AppData\Roaming\Raptr\Windows Mail). Потом быстренько завершил этот процесс и видяха сразу пришла в порядок. Сейчас разбираюсь что это за wabmig и откуда он?!

0

Обнаружился вирус майнер Hostxmrig.exe в диспетчере задач. Грузился процессор до 100 процентов.
Местонахождение С:\Windows\system32 . В установленных программах откуда то появилась программа indus.exe (местонахождение С:\Programdata) с ней в папке находился DoublePulsar.exe также был самоустанавливающийся архив вроде бы setup.exe.(Можно настроить по Дате изменения - просмотреть все файлы которые появились за последнее время в system32 и Programdata)
DrWeb Cureit- не находит - удалять вручную. В диспетчере отключить все svchost.exe - т.к. не даст удалить. Подозрения мои на торрент клиент и acestream ...

0

Вся эта ерунда попадает на комп при помощи браузера, и нескольких системных фоновых процессов.
Нужно отключать обновления браузера, чтобы с изменением версии не менялся путь к исполняемым файлам, (Браузер можно обновлять в ручную (включить обновления, обновить браузер, и выключить обновы), сразу редактируя для него правила фаервола под новую версию). На картинке пример установок.

Правила
0

rambling
Я ловил майнер вирус, проц грузило на 100%, но если открыть диспетчер задач или аиду температура сразу падал, а через минуту автоматически закрывались все окна. Я решил проблему хорошим антивирусником, который нашел все эти файлы.

0

Вчера на мою банковскую карточку был перевод на 90 миллионов долларов от госдепартамента США, деньги пока не снимал но странно все это.

-1

GG4
Теперь ты можешь купить все инди-игры в стиме.

1

Странно, где вы гадости нахватали? У меня все чисто. В простое нагрузка проца 1-3% Мониторила ради интереса систему целый день. Все чисто.
А вообще майнеры и пр. вирусную гадость очень хорошо вылавливает прога *ХитманПро*

-1

MikuHadsune
кто-то с репака, кто-то с сайта, к кому-то эта гадость сама в порт постучалась. вирус очень распространенный. достаточно просто почитать тему, чтобы понять.

1

MikuHadsune
Он сам вас находит, достаточно иметь винду без патча, белый ip и доступный из интернета 445 порт. А если в локальной сети уже есть зараженная машина, то хватит только windows без обновления.

2

MikuHadsune
Как писал юзер выше, он сам нас находит. Для этого не нужно где то лазить.
Я вообще сидел просто в Overwatch играл, ничего более открыто не было, только овер, браузер закрыт и всякие программы тоже.
Внезапно игра дико залагала, я даже с трудом из нее вышел... И уже потом заметил что проц грузится на 100%

1

Я чето никак не пойму, эти все биткоины же вроде как запрещали в России (и не только)? Как тогда люди должны им их покупать и переводить? Или плохо запретили?

-1

"Исследователи рекомендуют установить на компьютере новейшие патчи от Microsoft или отключить службу SMB, если у вас нет возможности обновиться."
Что собс-но и сделал. Отключил просто нафиг эту службу и больше ничего не прилетало.

-1

Это же надо умудриться такую фигню на компе словить!

-1

Лол кек чебурек, ребята программисты, сисадимины и просто люди: объясните какой комплекс мероприятий надо провести, чтобы полностью удалить эту заразу?
Желательно по пунктам расписать)

-2

Алексей Каневский
Переустановить виндоуз, например, и впредь думать головой, куда лезть и зачем.

-6

ПОПРОБУЙ SpyHunter - антишпион с адаптивным обнаружением и удалением шпионского ПО. Обеспечивает непрерывную защиту от новейших вредоносных программ, троянов, фальшивых антивирусов. Включает систему Compact OS для надежного удаления руткитов. Я так чистил свой комп от назойливой рекламы и само-устанавливавшийся хрени от Яндекс блаузер и т.п.

-2

uTorrent есть? В нём софт "бонусный" ставит майнер.

-4

просто нужно систему качать официальную,а не сборки всякие,накачают себе сборки и потом кричат

-7

Винду не обновляют, качают "бесплатные" репаки, не покупают антивирусы, а потом удивляются.

-8