p19.2miners.com в системе, маскирующийся под svchost

[helz13]

Приветствую, уважаемые специалисты. Тема прозаична - поймал майнер. Либо торрентом, либо активатором(плохой человек). В процессы влезает svchoost c днс, указанной в заголовке, и если выключен диспетчер задач, отжирает гпу и всю оперативную память. Антивирусы, которые использовал, развели руками, однако др-веб, если он включен, ругается на то, что этот паршивец (вирус, не веб) с небольшим интервалом создает директорию /Google/Chrome/, а в ней - update.exe, который пытается достучаться до консоли. Угроза - Win64/Packed/VMProtect.AC. Как его прибить, я без понятия. Сборщик логов стартует, но после выполнения не создает архива. Погуглил, заюзал AV block remover, система ребутнулась, и вроде бы, все хорошо. Запустил повторно утилиту, логи собрались. Прикладываю. Нужно ли еще что-то чистить, дополнительно ставить, расчехлять огнемет? 

Спойлер

Храни господь вас, ребят, которые пишут ПО и поддерживают нас, нубов, словом и делом, спасибо!

 

CollectionLog-2023.12.20-00.19.zip report1.log report2.log

[safety]

Лог AV_block_remove_дата-время.log так же добавьте в ваше сообщение.

+

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 20 декабря, 2023 пользователем Sandor

[helz13]

Благодарю за ответ. Прикладываю лог автозагрузки. Лога AV_block_remover, почему-то, не вижу.   DESKTOP-F0A16EL_2023-12-20_21-27-12_v4.14.1.7z

[safety]

Да, файл updater.exe был удален, оставалась только задача запуска файла, которого нет.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\GAMECENTER\ARCHEAGE\BIN64\ARCHEAGE.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
delall %SystemDrive%\USERS\EVG\APPDATA\LOCAL\TEMP\NSB5FC4.TMP\UTORRENT.EXE
delall %SystemDrive%\USERS\EVG\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\µTORRENT.LNK
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDINSTALL.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\EVG\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS.

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено 21 декабря, 2023 пользователем safety

[helz13]

Прикладываю

2023-12-21_20-41-30_log.txt Addition.txt FRST.txt

[safety]

Удаляем остатки Comodo

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %Sys32%\DRIVERS\ISEDRV.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\COMODO\INTERNET SECURITY ESSENTIALS\ISESRV.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\COMODO\INTERNET SECURITY ESSENTIALS\VKISE.EXE
apply
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS.

 

+

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
AlternateDataStreams: C:\Users\evg\Downloads\KVRT.exe:MBAM.Zone.Identifier [182]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, новый файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

[helz13]

Fixlog.txtю

Прикладываю файлы сканирования. Кажется, все отлично. Есет ничего не видит, система не загружается, да и других вирусных проделок не замечаю. Огромная благодарность за помощь.

2023-12-22_20-46-27_log.txt

[safety]

Хорошо,

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

[helz13]

Прикладываю

SecurityCheck.txt

[helz13]

Хотя, на самом деле, сейчас стали периодически вылезать вот такие ошибки(ребутится гуи винды), плюс, браузерные вкладки падают с "out of memory" - юзаю edge. Возможно, никак не связано с вирусами.  

[safety]

По логу SecurityCheck:

обновите ПО до актуальной версии.

WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления

 

По ошибкам браузера:

Проверьте работу других браузеров: Chrome, Firefox - происходят ли такие ошибки.

 

По ошибкам системы.

Напишите подробнее, как происходят двнные ошибки, при каких условиях.

Выполните проверку системного диска (chkdsk)+ проверку целостности системы (sfc /scannow).

 

Изменено 30 декабря, 2023 пользователем safety

[helz13]

Кажется, связано с блютуз наушниками. Ну или когда едже отжирает оперативы больше, чем должен. В совокупности, наверное, и система начинает сбоить. Но в любом случае, это скорее вина кривых дров, нежели вирусов. Прогоню через утилиты, посмотрю. Огромное спасибо вам за помощь.