Bxsdk64 dll как удалить
Наверно, каждый и не раз сталкивался с ситуацией, когда какой-любо файл не удаляется. Причин этому явлению может быть множество. Самая, на мой взгляд, распространённая – это когда файл занят процессом. То есть на компьютере выполняется процесс, который использует файл, который необходимо удалить. Можно скачать программу, которая сделает всю работу за вас и поможет удалить файл, но ведь гораздо интереснее понять природу проблемы и решить её встроенными средствами, то есть удалить неудаляемый файл вручную.
Далее я опишу как удалить неудаляемый файл dll или exe вручную. Такая задача очень часто возникает в процессе борьбы с вирусами. Если невозможно удалить файл отличный от dll и exe, занятый программой, то надо просто вспомнить, какой программой вы могли открывать этот файл или где он может использоваться и закрыть эту программу.
Предупрежу, что если файл не удаляется из-за того, что используется программой, то может быть он необходим для её работы, поэтому подумайте, стоит ли его удалять.
В любой версии Windows семейства NT есть программа командной строки tasklist, позволяющая отобразить список процессов, выполняемых операционной системой. Чтобы использовать её для удаления неудаляемых файлов следуйте инструкции:
- Пуск -> Выполнить (Win+R).
- В появившемся окне набрать cmd, нажать клавишу Enter.
- В появившемся черном окне набрать tasklist /m > c:\tasklist.txt.Эта команда выводит список всех процессов с задействованными в их работе модулями (файлами dll и exe) и сохраняет этот список в файл c:\tasklist.txt, вместо того, чтоб отображать на экране.
- Открыть файл c:\tasklist.txt и найти файл dll или exe, который невозможно удалить.
- Если имя файла присутствует в списке, то завершить процесс (через диспетчер задач или командой taskkill), который использует этот файл. Имена процессов записаны в текстовом файле слева, имена задействованных dll и exe справа.Часто неудаляемый файл используется процессом explorer.exe, который отображает окна с папками, иконки на рабочем столе. Его как и любой другой процесс можно завершить, при этом, конечно, закроются и все окна, которые должен отображать explorer.exe и панель с меню пуск. На этот случай не стоит закрывать черное окно. После завершения процесса explorer.exe оно не будет закрыто и в нём можно будет набрать команду для удаления файла del путь_к_файлу.
Все эти манипуляции можно провести и с удалённым компьютером, при условии наличия на нём администраторских прав.
где: c: – буква раздела, на котором лежит файл.
Надеюсь, кому-то окажется полезным это руководство по удалению неудаляемых файлов dll и exe.
Asmwsoft PC Optimizer — это пакет утилит для Microsoft Windows, призванный содействовать управлению, обслуживанию, оптимизации, настройке компьютерной системы и устранению в ней неполадок.
Всего голосов ( 182 ), 115 говорят, что не будут удалять, а 67 говорят, что удалят его с компьютера.
Как вы поступите с файлом dtshl64.dll?
(dtshl64.dll) отсутствует или не обнаружен.
DTSHL64.DLL
Описание файла: dtshl64.dll Файл dtshl64.dll из DT Soft Ltd является частью DAEMON Tools Pro. dtshl64.dll, расположенный в C:Program Files (x86)DAEMON Tools ProDTShl64 .dll с размером файла 713536 байт, версия файла 5.0.0316.0317, подпись 43a4c6ce22f59b07600ed0d87010aad2.
Проверьте процессы, запущенные на вашем ПК, используя базу данных онлайн-безопасности. Можно использовать любой тип сканирования для проверки вашего ПК на вирусы, трояны, шпионские и другие вредоносные программы.
Path: c:> program files> daemon tools pro> dtshl64.dll
version: 6.1.0.0483 // size: 741648 byte
Antivirus scan result for this process ed5ba8c2e03cd26f687e0f0439b88a74
Path: c:program files (x86)daemon tools prodtshl64.dll
version: 4.40.0311.0197 // size: 481088 byte
Antivirus scan result for this process ac1b2449a90a7e01b2afbc8455947149
Path: c:program files (x86)daemon tools prodtshl64.dll
version: // size: 279872 byte
Antivirus scan result for this process 58c60dbca94937188f66dd664dbc09d7
Path: c:program filesdaemon tools prodtshl64.dll
version: 4.41.0315.0262 // size: 713536 byte
Antivirus scan result for this process c4d86dcfab07ea80ead9ce45850fb357
Path: c:program files (x86)daemon tools prodtshl64.dll
version: 4.41.0314.0232 // size: 700736 byte
Antivirus scan result for this process ee5072041736a239a095bde52a599a64
Path: c:program files (x86)daemon tools prodtshl64.dll
version: 5.5.0.0388 // size: 709336 byte
Antivirus scan result for this process d7d257f713b12323e787fbec6af38ccf
Path: c:program files (x86)daemon tools prodtshl64.dll
version: 5.4.0.0377 // size: 709152 byte
Antivirus scan result for this process 106823c880c170b0fff4e50cb1d27209
Path: c:program files (x86)daemon tools prodtshl64.dll
version: 5.1.0.0333 // size: 713536 byte
Antivirus scan result for this process ddd16a9fc9e39838dfef6dc3c73ebf8b
Path: c:program files (x86)daemon tools prodtshl64.dll
version: 5.0.0316.0317 // size: 713536 byte
Antivirus scan result for this process 364dacf6104022da7057dfb4d737e1cb
Path: c:program files (x86)daemon tools prodtshl64.dll
version: 5.2.0.0348 // size: 708736 byte
Antivirus scan result for this process ea7fd4f1c1c9e04438e159cfc622c421
Path: c:program files (x86)daemon tools prodtshl64.dll
version: 5.3.0.0359 // size: 709152 byte
Antivirus scan result for this process 4a47736753f451c875d89a75616e4955
Path: C:Program Files (x86)DAEMON Tools ProDTShl64.dll
version: 5.0.0316.0317 // size: 713536 byte
Antivirus scan result for this process 43a4c6ce22f59b07600ed0d87010aad2
185.201.47.42,142.4.214.15\DNS Server list
После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки.
C:\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
HEUR:Trojan.Win32.DNSChanger.gen
C:\WINDOWS\SYSTEM32\TASKS\ADSHIELD SCHEDULED AUTOUPDATE
"C:\Program Files (x86)\AdShield\updater.exe" -self-upgrade
Модули для майнинга состоят из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe\slack.exe\discord.exe и файла «лицензии» lic.data.
.
\Flock\config.json
\Flock\data.pak
\Flock\Flock.exe
\Flock\lic.data
\Flock\Qt5Core.dll
\Flock\WinRing0x64.sys
.
4. flock.exe запускается с помощью клиента transmission (запускаемый как служба)
C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Действительна, подписано SignPath Foundation
"C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
5. после запуска Flock.exe расшифровывает данные из файла data.pak, содержащие файл майнера.
далее, в копию системного файла find.exe внедряется расшифрованное тело майнера.
(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\FIND.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3648], tid=3940
Полное имя C:\WINDOWS\SYSTEM32\FIND.EXE
pid = 3076 ***\***
CmdLine "C:\ProgramData\Flock\find.exe"
Процесс создан 00:39:49 [2021.02.18]
С момента создания 00:05:25
CPU 49,85%
CPU (1 core) 797,57%
parentid = 13628
ESTABLISHED 192.168.0.98:55478 54.93.84.207:443
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=14380
SHA1 1E44EE63BDB2CF3A6E48B521844204218A001344
MD5 AE3F3DC3ED900F2A582BAD86A764508C
Загруженные DLL НЕИЗВЕСТНЫЕ
BXSDK64.DLL C:\USERS\SHUM\APPDATA\LOCAL\TEMP
Загруженные DLL ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL C:\WINDOWS\SYSTEM32
далее, разработчиком uVS предложена новая функция (реализована в 4.1.15 и расширена в 4.1.16), которая позволила отследить, каким образом запускается Flock.exe\Slack.exe\Discord.exe
+
спасибо, Sandor-у за оперативно добавленный диалог:
+
Vvvyg - за скрипт экспорта журналов для анализа
+
Virus Monitoring Service Doctor Web Ltd. за поиск тела майнера в папке модулей flock
благодаря предложенной функции стало возможным отследить цепочку запуска вредоносных программ.
EV_RenderedValue_0,00
Elvi51
ELVI51
277248
7264
C:\Windows\System32\find.exe
%%1937
16620
"C:\WINDOWS\system32\find.exe"
EV_RenderedValue_9,00
-
-
0
C:\ProgramData\Discord\Discord.exe
EV_RenderedValue_14,00
К событию были добавлены следующие сведения:
EV_RenderedValue_0,00
ELVI51$
WORKGROUP
999
16620
C:\ProgramData\Discord\Discord.exe
%%1937
1400
C:\ProgramData\Discord\Discord.exe --min
EV_RenderedValue_9,00
Elvi51
ELVI51
277248
C:\Windows\System32\svchost.exe
EV_RenderedValue_14,00
Полное имя C:\PROGRAMDATA\DISCORD\DISCORD.EXE
SHA1 397F3E0FD803DA50EC667C1161E57CDC242400C3
MD5 07D8343249A56EEBF2B1A8B944C217A3
Ссылки на объект
Ссылка C:\WINDOWS\TASKS\DISCORDCHECK_4.JOB
Значение "C:\ProgramData\Discord\Discord.exe" --min
4.11.5 o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы.
Полное имя C:\PROGRAMDATA\SLACK\SLACK.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]
Создан 08.03.2021 в 09:52:29
Изменен 08.03.2021 в 11:17:11
Доп. информация на момент обновления списка
pid = 13816 *****\****
Процесс создан 11:17:35 [2021.03.08]
Процесс завершен 11:18:28 [2021.03.08]
parentid = 1684 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 9C44709D620DF76174B6E268DADA1256FA3BA007
MD5 C7988D4AE969D11D9ABBAFC8CE0C5CA2
pid = 1684 NT AUTHORITY\СИСТЕМА
CmdLine C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
Процесс создан 11:16:52 [2021.03.08]
+
Некоторое время назад мы обнаружили ряд поддельных приложений, доставляющих на компьютеры пользователей майнер криптовалюты Monero. Они распространяются через сайты злоумышленников, на которые жертва может попасть из поисковых систем. Судя по всему, это продолжение летней кампании, о которой писали наши коллеги из компании Avast. Тогда злоумышленники распространяли вредоносное ПО под видом установщика антивируса Malwarebytes.
В текущей кампании мы видели несколько приложений, под которые маскировались зловреды: блокировщики рекламы AdShield и Netshield, а также сервис OpenDNS. В данной статье мы проанализируем только атаку с использованием AdShield, однако в других случаях заражение происходит по такому же сценарию.
Технические детали
После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки. Часть строк в исполняемом файле, в том числе строка с адресом командного сервера, зашифрована для усложнения статического детектирования.
Фрагмент кода Updater.exe, содержащий зашифрованный адрес
Оповещение С&С об успешной установке
Модуль для майнинга состоит из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe и файла «лицензии» lic.data. Последний содержит шестнадцатеричный хэш SHA-256 от некоторых параметров машины, для которой предназначен модуль, и данных из файла data.pak. Модифицированный клиент Transmission запускает flock.exe, который первым делом вычисляет хэш от параметров зараженного компьютера и данных из файла data.pak, после чего сравнивает его с хэшем из файла lic.data. Это необходимо, поскольку командный центр генерирует для каждой машины уникальный набор файлов, чтобы затруднить статическое детектирование и предотвратить запуск майнера в различных виртуальных окружениях, предназначенных для анализа.
Файл bxsdk64.dll является частью ПО для создания виртуального окружения BoxedApp SDK, однако в данном случае он используется для запуска майнера под видом легитимного приложения find.exe. Дело в том, что для реализации своей функциональности bxsdk перехватывает вызовы системных функций и может манипулировать их выполнением. В данном случае с помощью функции BoxedAppSDK_CreateVirtualFileA в директории C:\ProgramData\Flock создается файл find.exe (который представляет собой копию файла C:\Windows\System32\find.exe). Дальнейшие манипуляции с find.exe происходят в оперативной памяти и не затрагивают файл на диске. При запуске процесса find.exe bxsdk перехватывает это событие и запускает файл из директории C:\ProgramData\Flock, а затем с помощью функций WriteProcessMemory и CreateRemoteThread внедряет в память процесса расшифрованное тело майнера.
Для обеспечения постоянной работы майнера в планировщике Windows создается задача servicecheck_XX, где XX — случайные цифры. Задача запускает flock.exe с аргументом minimize.
Статистика
По данным Kaspersky Security Network, на момент написания статьи с начала февраля 2021 года были зафиксированы попытки установки поддельных приложений на устройства более 7 тыс. пользователей. На пике текущей кампании атаке подвергались более 2,5 тыс. уникальных пользователей в день, преимущественно из России и стран СНГ.
Количество атакованных пользователей, август 2020 г. — февраль 2021 г. (скачать)
Защитные решения «Лаборатории Касперского» детектируют описанные угрозы со следующими вердиктами:
Как удалить майнер
Если на вашем устройстве обнаружен файл QtWinExtras.dll, переустановите программу Malwarebytes. Если приложения Malwarebytes нет в списке приложений, необходимо удалить все папки из следующего списка, которые есть на диске:
- %program files%\malwarebytes
- program files (x86)\malwarebytes
- %windir%\.old\program files\malwarebytes
- %windir%\.old\program files (x86)\malwarebytes
Если на вашем устройстве обнаружен файл flock.exe, примите следующие меры:
Рекомендуем почитать:
Исследователи «Лаборатории Касперского» рассказали, что недавно обнаружили ряд поддельных приложений, распространяющие майнер криптовалюты Monero.
По мнению экспертов, эта продолжение прошлогодней кампании, о которой предупреждала компания Avast. Летом 2020 года злоумышленники распространяли малварь под видом установщика антивируса Malwarebytes. Теперь же малварь маскируется под популярные блокировщики рекламы AdShield и Netshield, а также под сервис OpenDNS.
С начала февраля 2021 года фейковые приложения пытались установить более 7 000 человек. На пике кампании атаке подвергались более 2500 уникальных пользователей в день, преимущественно из России и стран СНГ.
После подмены DNS вредонос начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к управляющему серверу преступников, отправляет им сведения о зараженной машине и информацию о начале установки.
Этот модуль состоит из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe и файла «лицензии» lic.data. Последний содержит шестнадцатеричный хэш SHA-256 от некоторых параметров атакованной машины и данных из файла data.pak.
Фальшивый клиент Transmission запускает flock.exe, который первым делом вычисляет хэш от параметров зараженного компьютера и данных из файла data.pak, после чего сравнивает его с хэшем из файла lic.data. Дело в том, что управляющий центр генерирует для каждой машины уникальный набор файлов, чтобы затруднить статическое детектирование и предотвратить запуск майнера в различных виртуальных окружениях, предназначенных для анализа. Поэтому если хэши различаются, выполнение прекращается.
Расшифрованный data.pak
Для обеспечения постоянной работы майнера в планировщике Windows создается задача servicecheck_XX, где XX — случайные цифры. Задача запускает flock.exe с аргументом minimize.
Читайте также: