#невидимый руткит:



TDSSKiller:


FRST:

---------------
fixlog:

ждем образ автозапуска из под WnPE&uVS




https://virusinfo.info/showthread.php?t=227658

...

атака через чистый подписанный файл, который загружает вредоносную dll, извлекает код из зашифрованного файла, и внедряет в легитимный процесс

Хакерская группа Lapsus$ сообщает, что заполучила 37 ГБ исходного кода сервисов Microsoft
https://www.comss.ru/page.php?id=10310
------------
А на anti-malware.ru форум вендоров уже пару дней...

MS Word Follina Exploit
https://www.bleepingcomputer.com/news/security/new-microsoft-office-zero-day-used-in-attacks-to-execute-powershell/
https://forum.eset.com/topic/32571-ms-word-follina-exploit-not-detected/

PuzzleMedia в зеркале uVS, (к сожалению, образ был создан версией 4.11 без возможности включить отслеживание процессов и задач)

C:\USERS\USER\APPDATA\LOCAL\PROGRAMS\TRANSMISSION\TRANSMISSION­-QT.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\USERS\USER\APPDATA\LOCAL\PROGRAMS\TRANSMISSION\TRANSMISSION­-QT.EXE [3948], tid=5508
C:\USERS\DIMA-\APPDATA\LOCAL\PROGRAMS\TRANSMISSION\QT5CORE.DLL
HEUR:Trojan.Win32.Miner.gen [Kaspersky]
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\DLLHOST.EXE [1936], tid=8928
C:\ProgramData\PuzzleMedia\print.exe --farm-recheck 1000 --farm-retries 300 -P stratum+tcp://13.51.156.23:80
"C:\ProgramData\PuzzleMedia\print.exe"

Тяжелый случай с Powemet. Обычно проблема с этим майнером легко решается.
Но здесь решение затянулось почти на месяц.
https://www.cyberforum.ru/viruses/thread3003231.html
Надо отметить настойчивость и терпение хелперов (и пользователя) - все равно нашли решение для крайне нестандартного случая.

Здравствуйте! Хотел создать у Вас тему с описанием проблемы из-за вирусов, но возникла проблема.

Вот это прочитал https://forum.esetnod32.ru/forum6/topic5713/  Там написано, что нужно выполнить лог программой UVS! Так вот я скачал UVS и далее запустил.

Но возникла некоторая проблема!




У меня Windows 11 сейчас) Точно ли все нормально? (этот файл как раз из папки с программой UVS!

Ложное срабатывание от Windows Defender. Надо либо отключить защиту на момент создания образа, либо добавить папку с uVS в исключение.

Operating memory » a variant of Win32/Spy.Agent.QGW trojan

1.
по журналу ELC:
20.01.2022 9:40:02 Advanced memory scanner file Operating memory » C:\Users\itc-omn\AppData\Local\Temp\1ca9c872.dll multiple threats deleted 4EC9095A35736DFFE889AC992A4460A6C780972F
20.01.2022 9:39:54 Advanced memory scanner file Operating memory » C:\Users\itc-omn\AppData\Local\Temp\1ca9c872.dll multiple threats deleted F378F3E53FF08A9DF28586DE383A8A4D3B1F35EB

по ESI:
"Командная строка" = "c:\users\itc-omn\appdata\local\asus giftbox\user data\a3f739aa\vmplayer.exe -us:8 -lznupsl:12" ( 9: Высокий риск ) ;  ;  ;
"Командная строка" = "c:\users\itc-omn\appdata\local\apps\f2238d51\vnplayer.exe /xsqlrl:66576859 /bk /wfu /bziujw:825" ( 9: Высокий риск ) ;  ;  ;
"Модуль" = "c:\users\itc-omn\appdata\local\temp\34a8f4f8.dll" ( 6: Неизвестно ) ;
"Модуль" = "c:\users\itc-omn\appdata\local\temp\1ca9c872.dll" ( 6: Неизвестно ) ;

uVS:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\SVCHOST.EXE [10212]
"C:\Users\itc-omn\AppData\Local\ASUS GIFTBOX\User Data\a3f739aa\vmplayer.exe" -us:8 -lznupsl:12
C:\Users\itc-omn\AppData\Local\Apps\f2238d51\vnplayer.exe /xsqlrl:66576859 /bk /wfu /bziujw:825
---------------------------------------
2.
по журналу ELC:
03.08.2022 16:21:55 Advanced memory scanner file Operating memory » C:\Users\Дмитрий\AppData\Local\Temp\28e86510.dll a variant of Win32/Spy.Agent.QGW trojan cleaned by deleting E270A42E0B87887376DE25E48312CFF2571DB9A3
03.08.2022 16:21:50 Advanced memory scanner file Operating memory » C:\Users\Дмитрий\AppData\Local\Temp\28e86510.dll a variant of Win32/Spy.Agent.QGW trojan cleaned by deleting 5F66A0781CDCECDF6C65F348E189362EF587274F

по ESI:
cmd.exe, 3180, COMP-BDA\Дмитрий, , Windows Command Processor, Microsoft Corporation, "C:\Windows\system32\cmd.exe"
c:\users\Дмитрий\appdata\roaming\java.exe /pj=9757386 /zgvlo=92 /nbw /mkj=13105, ,

по uVS:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\CMD.EXE [3180]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\DLLHOST.EXE [3492]
Ошибка доступа к файлу: C:\USERS\ДМИТРИЙ\APPDATA\ROAMING\JAVA.EXE
192.168.11.195:50568 <-> 45.136.51.50:5873
"C:\Users\Дмитрий\AppData\Roaming\java.exe" /pj=9757386 /zgvlo=92 /nbw /mkj=13105

3.
по ELC:
22.09.2022 12:56:59    Advanced memory scanner    file    Operating memory » C:\Users\igor\AppData\Local\Temp\1a10b5ce.dll    a variant of Win32/Spy.Agent.QGW trojan    cleaned by deleting            3634BFE5E04A47482E02F849D0C5FACA31213B0F        
22.09.2022 12:55:09    Advanced memory scanner    file    Operating memory » C:\Users\igor\AppData\Local\Temp\1a10b5ce.dll    a variant of Win32/Spy.Agent.QGW trojan    cleaned by deleting            B7C9EDF0683C243AD74CA7D2760003A3EC3806A5        

по ESI:
cmd.exe, 11848, DESKTOP-E9NA6G1\igor, , Windows Command Processor, Microsoft Corporation, "C:\Windows\system32\cmd.exe"
dllhost.exe, 14140, DESKTOP-E9NA6G1\igor, , COM Surrogate, Microsoft Corporation, "C:\Windows\system32\dllhost.exe"
c:\users\igor\appdata\roaming\msidb.exe /hxxsx:8484 /om:7 /eqcirph /qdkfh, ,

по uVS:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\CMD.EXE [9684]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\CMD.EXE [9684], tid=12516
192.168.0.10:51628 <-> 5.45.93.247:5959
"C:\Users\igor\AppData\Roaming\MsiDb.exe" /hxxsx:8484 /om:7 /eqcirph /qdkfh