Комментарии:
240
сначала
по количеству реакций
Ваш комментарий
Винду не обновляют, качают "бесплатные" репаки, не покупают антивирусы, а потом удивляются.
Живучая шлюшка попалась
просто нужно систему качать официальную,а не сборки всякие,накачают себе сборки и потом кричат
Вчера на мою банковскую карточку был перевод на 90 миллионов долларов от госдепартамента США, деньги пока не снимал но странно все это.
GG4
Теперь ты можешь купить все инди-игры в стиме.
Прочти здесь https://www.bleepingcomputer.com/startups/Winsec.exe-18481.html
походу это вирус какой-то.
zuuc
Спасибо, полезно. Разве что несоответствие в том, что в описании файл находится в %System%, а у меня в Windows\Security. Но судя по всему это в любом случаме вирус.
Сейчас копнул install.wim своего образа Винды, так там вообще файла WINSec нет как такового. Похоже что файл пришёл не из установки.
zuuc написал:
в чистой винде такого файла нет
Да, как раз только что это заметил.
P.S. Сейчас удалил файл - тут же восстановился. Process Explorer показывает что "папа" у него C:\Windows\Prefetch\secscan.exe.
в чистой винде такого файла нет
uTorrent есть? В нём софт "бонусный" ставит майнер.
zuuc написал:
Он может быть и не в файлах, а например какой-то сайт заражен этой херней, ты зашел и он сразу подтянулся к тебе в систему.
О, я об этом не подумал. Вот это очень, очень вероятно. Я через хрен какое левое зеркало захожу на Пиратскую Бухту. Там целая куча дерьма в виде открывающихся страниц, баннеров и прочей хрени. Подозреваю что оттуда. Полажу снова, посмотрю появится или нет. В любьом случае уже понял как его удалять и собираюсь форматироваться.
И в реестре нет упоминания этих файлов.
JUnnAmmED написал:
Полный путь - C-users-username-appdata-roaming
Сейчас вспомнил - да, тоже тьакое ловил и удалил раньше. Благо не всплыло.
rambling
попробуй поискать его и здесь HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
и здесь HKEY_CURRENT_USER\SOFTWARE \Microsoft \Windows \CurrentVersion \Run
zuuc
Нету. Что довольно странно, ведь он перезапускал комп (зачем?). Я в общем не озабочен его startup'ом, т.к. всё равно собирался форматнуть. Меня больше беспокоит откуда он взялся. Так что сейчас пытаюсь восстановить порядок действий со времён последнего формата (позавчера) и мониторю Prefetch\Temp.
Но на левое зеркало Бухты точно заходить больше не буду.
Привет, камрады.
Подцепил тоже этот майнер несколько дней назад судя по всему. Сначала в сервисах обнаружил DHSWIQU, в процессах обнаружил фальшивый wininit.exe. Самый хороший вариант это запустить поиск файлов на диске С по ( датасоздания: 26. 04. 2017 .. 01. 05. 2017 ) - ну или даты, кто когда заметил активность/подцепил. Дальше отсортировать по типу и посмотреть, что за exe-шники и bat-ники появились за это время и какие новые файлы создались в \windows. Посмотреть какие папки подозрительно обновились по дате. Так удалось выявить большинство левых файлов и изменений. В корне windows я нашел start.bat, который создает
%windir%\db.sdb
%windir%\Prefetch\secscan.exe
%windir%\security\WINSec.exe
соответственно надо их удалить/вырезать. Еще в поиске нашлись в корне \Windows csrss.exe (оригинал должен жить в system32), un.exe, winsxslog.rar (который собственно и есть майнер) и папку winsxslog с файлами из которых он запускается. И еще во временных файлах браузера 1[1].exe, который возможно и являлся источником этого мусора. winsxslog.rar касперский ловит как майнер (RiskTool.Win64.BitCoinMiner), drweb ничего не поймал (была версия от 29.04, когда первый раз обнаружил, первомайская уже всё ловит).
Внутри архива winsxslog.rar SystemIISSec.exe, SystemIIS.exe, которые могут еще где-то выскочить во временных файлах.
В Windows\Temp постоянно создаются новые файлы формата s1kk.exe и тп. В реестре нашел secscan.exe в службах.
После внезапной неправильной перезагрузки заметил подозрительный процесс secscan.exe через Process Explorer, который тут же закрывался, если открыть диспетчер задач. А благодаря этому топику стал искать, спасибо.
По "winsxslog майнер" в поисковике ищется статья
odminblog.ru/cpu-miner-exploit-windows/
update
Свежий CureIT ловит secscan.exe и 1[1].exe как BackDoor.Spy.422,
а WINSec.exe Tool.BtcMine.948
oscarbin
Продолжение интриги. Вот вся информация чисто из моего опыта с этим майнером.
1) Майнер переживает формат.
2) Не похоже что он в каких-либо моих файлах, ибо модифицировал я их давно и ничего (абсолютно ничего) не качал.
3) Майнер маскируется под службы Windows И переименовывает себя. Раньше у меня был secscan.exe (процесс-папа) и WINSec.exe. После формата стал wuaupdate.exe процесс-папа; называется как-то так, точно не помню) и msiexev.exe. Хотя майнер и папа абсолютно те же.
4) Этот майнер отключается при вызове task manager'а чтобы избежать обнаружения. Но если task manager остаётся открытым, то примерно через пять минут процесс-папа его закроет и перезапустит майнер. Но к process explorer это не относится.
5) Процесс-папа зачем-то перезагружает комп через полчаса-час отсутствия юзера за компом. Крайне редко он может перезагрузить комп во время работы. В таком случае появляется критическая ошибка с сообщением о том, что компьютер будет перезапущен через минуту.
А теперь главная интрига. Я перекопал абсолютно все свои файлы и вируса не обьнаружил, хотя он пережил аж два формата. Но как только resetнул роутер, уже на протяжении 24 часов не восстанавливался ни файл процесса-папы, ни сам майнер. Из чего делаю вывод что как вариант, что-то пробралось в роутер и переадресовало его на скачивание этого майнера.
В пользу этого говорит ещё и то, что файлы на моём настольном компе и на ноуте совершенно идентичны, включая абсолютно все установленные программы и игры. А на ноуте вируса нет. И ноут подключён через Wi-Fi (не знаю имеет это отношение к скачке майнера или нет).
И последнее. У меня постоянно вылетает Overwatch с различными кодами ошибок (и только он) даже после реформата, даже на старых версиях дров. Причём вылетает в промежутках времени от нескольких минут до нескольких секунд. Ещё пару дней назад такого не было. Это не проблема игры (т.к. ни у кого с такой переодичностью не вылетает) и не проблема драйверов. Как ни крути, а похоже это так же относится к вирусу. Только не представляю зачем бы он запустил лапу в Overwatch. Быть может процесс-папа качает ещё какой-то вирус. Сложно сказать. Но вылетает и после удаления майнера и процесса-папы.
oscarbin написал:
start.bat
db.sdb
csrss.exe
un.exe
winsxslog.rar
winsxslog
У меня всего это нет... И не было.
Кстати в последнее время очень актуальный майнер. Из того что я нарыл в гугле, многие поймали его именно в последние несколько дней.
Просканируй комп вот этой прогой - Malwarebytes Anti-Malware.
Я на двух своих системах после проверки с удивлением обнаружил с десяток майнеров, хотя антивирусы упорно молчали. И на их присутствие указали другие вещи.
ExxErr
Уже просканировал разными прогами включая Malwarebytes. Майнер-то он ловит, а вот его источник по-прежнему неизвестен. Майнер появляется после формата практически сразу, в течении пары часов. Учитывая что я за это время буквально ничего не устанавливал и даже не запускал, источник майнера найти сложно. И нет, он точно не на флешке с Виндой. Я её форматнул и переделал с образа Винды 2016-го года.
Так что как я написал в предыдущем посте, подозрение падает на роутер.
ЗАГРУЗИТЬ ВСЕ КОММЕНТАРИИ
Сперва важная информция которую мне удалось выяснить после детального исследования проблемы. Майнер - лишь симптом. Попадает на компьютер он через Backdoor DOUBLEPULSAR. Сам DOUBLEPULSAR появился в Сети 12-го апреля 2017 года, когда произошла утечка в Сеть утилит для взлома используемых Национальным Агенством Безопасности США. На эти утилиты тут же наложили лапы все кому не лень, и уже к 15-му апреля насчитывалось 1,951,075 серверов инфицированных Backdoor DOUBLEPULSAR. Майнер о котором пойдёт речь в этой теме использует именно этот бэкдор. Но через сам бэкдор на компьютере может появится всё что угодно, так что ждём дальнейшего развития событий.
У меня вирус пережил формат жёсткого диска, удаление разделов жёсткого диска, перепрошивку БИОСа и роутера, формат флэшки с Виндой, попытку установить Винду с другого образа - всё без толку. До сих пор, 2 недели спустя, никто не нашёл источник появления этого бэкдора на компьютере. Поэтому если у вас появился описанный в теме майнер, то более чем вероятно появился и бэкдор через который этот майнер скачивается.
Решение на данный момент есть только одно: срочно обновить Винду до самых последних обновлений, и по возможности закрыть 445 порт. Microsoft писали, что в недавнем обновлении эксплоит ETERNALBLUE, использующийся этим бэкдором, убрали. Сам бэкдор стучится через 445 порт.
И обратите внимание - в последней версии скачиваемого майнера, его файлы помечены как системные. Так что чтобы их увидеть, не забудьте включить просмотр системных файлов в Свойствах Папки.
Вот ссылка на один из использованных мною источников:
http://www.theregister.co.uk/2017/04/21/windows_hacked_nsa_shadow_brokers/
На русском варианта нет, но всю важную инфу я уже привёл выше.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Вот здесь вы можете провериться инфицированы ли вы этим бэкдором:
www.binaryedge.io/doublepulsar.html
(спасибо Embrace Futility)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Пока точно неизвестно гуляет ли этот (изначально серверный) бэкдор на серваках интернет-провайдеров, или просто кочует по сети в поисках жертв.
----------------------------
Такая ситуация: стоит мне отойти от компьютера минут на... ну, скажем 10, и нагрузка проца (Core i5 3570 @4.2 GHz) взлетает до 90% по всем ядрам. Но стоит открыть Task Manager или Process Explorer - и нагрузка магическим образом падает до нуля (майнер просекает и останавливает работу?).
Также комп самопроизвольно перезагружается когда меня за ним нет минут 30. Перегрева нет, точно. Даже когда нагрузка под 90% (темпеература поднимается вплоть до 65, но до реального перегрева это очень далеко).
И только что заметил что открытый (свёрнутый) Task Manager внезапно самопроизвольно выключился.
--------------
Итог: да, думаю что по всем признакам это какой-то очень хитрожопый майнер. Но вот беда - я только вчера форматнулся. Проблема была что до формата, что после. А я ни свой софт, ни свои игры не апдейтил уже месяц. И ничего нового не качал. Так что откуда он мог взяться - непонятно.
Есть какие предложения по ловле этого чуда?
UPDATE:
Сейчас обнаружил что:
C:\Windows\Security\WINSec.exe
Жрёт 70-75% проца. За всю жизнь такого не видел. Cейчас буду гуглить. Но подозреваю что "счастье" в нём.
UPDATE 2:
VirusTotal скан файла:
https://www.virustotal.com/en/file/450cb5593d2431d00455cabfecc4d28d42585789d84c25d25cdc5505189b4f9f/analysis/1493461158/
P.S. Если кто может найти внятную инфу по этой чебурашке, буду признателен. А то в Google только какие-то невнятные обрывки.