[Цитировать]

    KaSpieC 666
  • 260
  • Стаж: 2 года 10 месяцев
  • Сообщений: 1091
  • Репутация:108

    [+] [-]
  • Откуда: Одесса
Приветствую всех.
Пока толком ещё не разобрался, что это за вирус, и откуда.
Пока по горячим следам пытаюсь выяснить)
Может кто поможет.
Буквально неделя, как я переустановил ОС. Комп чистый, нигде толком не лазил.
Но вот, в последнии пару дней, комп БСОДит, и я пытался найти причину этому. Грешил на всё, так как конкретики по дампам найти не мог. Но откатываться на бэкап, или заново ставить ОС не зная причины - не хотел. Сам БСОД происходил так - гас монитор, а комп ещё работал (кулеры крутились). Галочки на автоперезагрузку убрал (всегда её убираю при переустановки).
Возможно это и не связано никак, но вот сегодня, обнаружил у себя процесс, который жрал всё ЦП. И всё время.
Процесс conhoste.exe, расположенный в папке C:\WINDOWS\Fonts.
В папке, этого файла не видно, пока не убрать в настройках галочку "Скрывать защищенные системные файлы".
Попытки удалить процесс - безрезультатны, он сразу снова появляется.
Попытки удалить сам файл (через программы для этого) - тоже не увенчались успехом, он сразу создавался в той же папке.
Процесс стартовал сразу при запуске системы, хотя в автозагрузке он не был прописан. У меня стоит AnVir и он даже не уведомлял о попытке чего-то залезть в автозагрузку.
Его можно было только приостановить, тогда он переставал грузить ЦП.
Я думал, что это система что-то делает (после БСОДа), или что-то повреждено.
Пока нечайно, не увидел ключ запуска (на скрине видно и его "родителя"):
-По названию ссылки в ключе, уже стало не по себе:
"conhoste.exe" -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 43YkRcrdW8zDsMNhP29S1yF8QBqYJ5UGgPCgCXUKyHnFFD8proXWxywYgMLvxBpVb4TSN3fD9taDrbJYnPbXAg6K5kNpLiN -p x -nofee 1 -t 0 -dbg -1
Я залил файл на вирустотал:
https://www.virustotal.com/ru/file/7374051e75ae97ba...ysis/1494980699/
50/61
Не знаю, возможно это и WannaCry, или иной вирус. И почему он не сделал своё дело (не зашифровал или потребовал денег, ведь по ссылке это должно было быть), возможно из-за того, что сайт создали (когда остановили WannaCry), или по другим причинам он не сделал своего.
А возможно он что-то и сделал, чего я пока не заметил.
Может есть у кого идеи? Завтра буду с утра переустанавливать всё, так что пока есть время, если кому интересно что-то узнать (так сказать на зараженной машинке).

[Цитировать]

    Albert
  • 1131
  • Стаж: 2 года 5 месяцев
  • Сообщений: 139
  • Репутация:7

    [+] [-]
KaSpieC 666, здравствуй. А если проверить стандартные пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение Shell в ключе должно быть explorer.exe
Аналогично HKEY_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
в Userinit должно быть только C:\WINDOWS\system32\userinit.exe,
и на всякий случай, если не открываются антивирусные сайты HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
По умолчанию он девственно чист
Наличие процессов (WannaCry)
C:\Windows\mssecsvc.exe
C:\Windows\qeriuwjhrf
C:\Windows\tasksche.exe
Хотя бы это.

[Цитировать]

    zdoba
  • 138
  • Стаж: 2 года 11 месяцев
  • Сообщений: 337
  • Репутация:6

    [+] [-]
  • Откуда: Россия
KaSpieC 666, так про него много написано
Среди самых известных и наиболее потенциально опасных угроз, маскирующихся под процесс conhost.exe, сегодня выделяют две: Trojan:Win32/Alureon.FM, или Backdoor:Win32/Cycbot.B и RiskTool.Win32.BitCoinMiner.amv, или Packed.Win32.Krap.hy. Как видно из классификации, это обычные трояны, которые нацелены на открытие доступа к системе с целью перехвата пользовательской информации и ее передачи третьим лицам или использования в собственных целях. В некоторых случаях возможно нарушение работы системы, как раз и связанное с повышенной нагрузкой на центральный процессор и оперативную память.
Как от этого избавиться, думается, объяснять особо не нужно. Придется использовать антивирусный сканер, но только не тот, что установлен в системе по умолчанию (он уже пропустил вирус), а какую-нибудь портативную утилиту наподобие KVRT «Лаборатории Касперского», Dr. Web CurIt! и т. д. Если и они не помогут, тогда следует задействовать, тяжелую артиллерию в виде специальных утилит с общим названием Rescue Disk. Как уже можно догадаться, наиболее мощными в этом отношении являются именно продукты Kaspersky и Dr. Web. Это признано и экспертами, и рядовыми юзерами.

[Цитировать]

    Adler
  • 1708
  • Стаж: 2 года 2 месяца
  • Сообщений: 1034
  • Репутация:35

    [+] [-]
  • Откуда: Луганск
Ну судя по названию зловреда, то это биткоин майнер. Обычно они ничего кроме того, что жрут ресурсы и майнят биткоины не делают. А в строке запуска просто написано куда майнить.
P.S.можно мне этого зловреда в запароленном архиве прислать?

[Цитировать]

    TVN
  • 2006
  • Стаж: 2 года
  • Сообщений: 96
  • Репутация:0

    [+] [-]
KaSpieC 666
Process Hacker не пробовали?
_http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=49036&start=480#lt

[Цитировать]

    maanu
  • 15833
  • Стаж: 9 месяцев 12 дней
  • Сообщений: 31
  • Репутация:0

    [+] [-]
KaSpieC666
file re-appears , because it is loaded into memory . use UVS , click on " Unload from memory " after right clicking that file . and delete it. also check if any doubtful files in AUTORUN option . UVS also has the option to FORCE remove VIRUS with direct access of hard disk.
second option is Powertool , it has the option to end process +delete file+create dummy file , so that the virus thinks it is already present.
by the way , i suspect , there is some other process of virus also running , but you have not yet found .

[Цитировать]

    KaSpieC 666
  • 260
  • Стаж: 2 года 10 месяцев
  • Сообщений: 1091
  • Репутация:108

    [+] [-]
  • Откуда: Одесса
Приветствую всех.
Albert,
Все ветки в порядке.
zdoba,
Это хорошо, не буду тестировать железо (после БСОДов хотел это уже делать).
Adler,
В любом случае, сейчас начну переустановку ОС, и просканирую всё... Хоть это и займёт сутки...
В л.с. отправлю щас.
TVN,
А для чего?
maanu,
Привет. Я пробовал всё это....
МУчать компьютер не хочу сильно, так что сейчас буду переустанавливать windows, и сканировать его на наличие вируса на других разделах...

[Цитировать]

    TVN
  • 2006
  • Стаж: 2 года
  • Сообщений: 96
  • Репутация:0

    [+] [-]
KaSpieC 666,
Завершение любых процессов
Process Hacker
Завершение практически любых процессов (в том числе скрытых процессов и процессов антивирусов и файерволов).
Просмотр подробной статистики процессов, составление графиков производительности.
Просмотр выделенной процессам памяти.
Просмотр и редактирование дескрипторов безопасности для процессов, потоков и маркеров.
Работа в качестве отладчика совместно с внешним отладчиком исходных кодов
Отладчик уровня ядра
Графики загрузки ЦП, ОЗУ, В/В и Виртуальной памяти на панели инструментов и/или иконках в трее
Расширяемая архитектура за счёт использования сервисных модулей
Визуальный мониторинг работы сети, графической и дисковой подсистем, в том числе по отдельным томам в панели Системной Информации, чтение информации о состоянии оборудования (в т.ч начиная с v3.0(r401) возможен просмотр атрибутов S.M.A.R.T. для поддерживающих S.M.A.R.T. накопителей HDD/SSD) если это возможно
Мини-панель в трее с отображением списка наиболее активно использующих ресурсы ОС или зависших (Not Responding) процессов
Переключение режимов отображения списка процессов (Дерево, Список, Свёрнутое дерево, ...) на лету
Process Hacker может искать данные в памяти процессов по последовательности байтов, содержимому строк или блоков "кучи" (рабочих областей памяти программы), в том числе с использованием регулярных выражений средствами библиотеки PCRE
Выводить информацию о производительности ОС через WMI
Логирование событий запуска/остановки программ
Установка, редактирование параметров, управление, удаление сервисов и драйверов ОС
С использованием драйвера режима ядра KProcessHaker становятся доступны следующие возможности:
Трассировка стека в режиме ядра
Более эффективного поиска дескрипторов процессов
Получение имен дескрипторов файлов
Получение имен объектов регистрации событий (EtwRegistration objects)
Установки атрибутов дескрипторов
Ключевые особенности программы Process Hacker:
Исчерпывающая информация по всем процессам: полная история выполнения процесса, листинги потоков и стеки с символами dbghelp, информация о токенах, карта виртуальной памяти, переменные среды, хендлы и многое другое.
Полный контроль над всеми процессами, даже над процессами, защищенными руткитами или защитным программным обеспечением. Драйвер программы работает в режиме ядра, что дает уникальные возможности, позволяющие завершать, останавливать и запускать любые процессы и потоки, включая программы типа IceSword, avast! Anti-virus, AVG Antivirus, COMODO Internet Security и т.д.
Нахождение и завершение скрытых процессов. Process Hacker обнаруживает процессы, спрятанные простыми руткитами, такими как Hacker Defender и FU.
Внедрение и выгрузка DLL – просто кликните правой кнопкой мыши по процессу и выберите «Inject DLL» для инжекции, затем кликните правой клавишей по модулю и выберите «Unload».

[Цитировать]

    Viktor_Kisel
  • 2625
  • Стаж: 1 год 10 месяцев
  • Сообщений: 147
  • Репутация:8

    [+] [-]
  • Откуда: Burluk
TVN
Если предлагаете утиль, давайте сразу ссылку на Process Hacker (в експишке работает):

[Цитировать]

    sergeysvirid
  • 104
  • Стаж: 3 года
  • Сообщений: 1311
  • Репутация:35

    [+] [-]
  • Откуда: 65 регион (GMT+11)
41487Если предлагаете утиль, давайте сразу ссылку на Process Hacker (в експишке работает):
Привет! aa
Так TVN и так дал ссылку на версию Process Hacker v3.0.0.612_RUS, только он зачем то перед ссылкой поставил символ _
http://usbtor.ru/viewtopic.php?p=41462#41462

[Цитировать]

    TVN
  • 2006
  • Стаж: 2 года
  • Сообщений: 96
  • Репутация:0

    [+] [-]
Ссылка KLASS - Process Hacker v3.0.0.612_RUS
https://yadi.sk/d/0UQy8KVOhBNdk
Victor_VG - Process Hacker-RU-setup.exe v3.0.0.612.
https://www.upload.ee/files/7017118/processhacker-3...U-setup.exe.html
Viktor_Kisel
"Начиная с v2.39 поддержка WinXP/Vista завершена, для этих ОС используйте v2.38"


Последний раз редактировалось: TVN (2017-05-17 18:25), всего редактировалось 4 раз(а)

[Цитировать]

    Viktor_Kisel
  • 2625
  • Стаж: 1 год 10 месяцев
  • Сообщений: 147
  • Репутация:8

    [+] [-]
  • Откуда: Burluk
sergeysvirid
Так v3.0 в експишке вроде как не работает.
TVN
Немного неточно, версия v2.39 последняя рабочая для експишки.

[Цитировать]

    TVN
  • 2006
  • Стаж: 2 года
  • Сообщений: 96
  • Репутация:0

    [+] [-]
Viktor_Kisel,
"Сборка от Victor_VG v2.38.0.11 для XP/2003 (x86 и x64), включает русский перевод (KLASS), Zip, портативку, SDK, исходники и более обновляться не будет!"
https://yadi.sk/d/0cYXG2nlqyFXf
Process Hacker на ru-board:
http://forum.ru-board.com/topic.cgi?forum=5&bm=...amp;start=480#lt

[Цитировать]

    sergeysvirid
  • 104
  • Стаж: 3 года
  • Сообщений: 1311
  • Репутация:35

    [+] [-]
  • Откуда: 65 регион (GMT+11)
41494Так v3.0 в експишке вроде как не работает.
41492Начиная с v2.39 поддержка WinXP/Vista завершена, для этих ОС используйте v2.38
Понял. Просто я не пользуюсь XP, поэтому и не вкурсе bk ao

[Цитировать]

    Viktor_Kisel
  • 2625
  • Стаж: 1 год 10 месяцев
  • Сообщений: 147
  • Репутация:8

    [+] [-]
  • Откуда: Burluk
TVN
Я в курсе - брал с ру-борда, только раньше там была последняя v2.39 вот:
Но потом что-то поменяли, не знаю что стала v2.38.

Страница 1 из 10


Показать сообщения:    

Текущее время: 17-Дек 20:45

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы