[РЕШЕНО] Mysa1 и Mysa2

[zotev]

Вирус меняет DNS, пробовал удалить KVRT и Dr.web cureit не помогает в планировщике задач висят эти процессы. 

CollectionLog-2024.03.08-09.34.zip

[safety]

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[zotev]

Выполнил

GIPERION_2024-03-08_11-47-41_v4.15.1.7z

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;

uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\WBEM\123.BAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\SYSWOW64\LSM.EXE
delall %SystemRoot%\DEBUG\OK.DAT
delref S.DAT
delref HTTP://GOOGLE.RU
delref WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM_FILTER]
delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM_ITIMER
zoo %SystemRoot%\TEMP\CONHOZ.EXE
addsgn 9252777A116AC1CC0BE4554EA34F0A54238A237191FF48939453552CC046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Agent.VJV 7

zoo %SystemRoot%\SYSTEM\MSINFO.EXE
addsgn A1046BAC446AC77A82988B4D023756212001B3F70A15E4B96F1CCA39E4CC714CA5DE5C359A17E53D8EE920AEA71AEC93D944AA3EF0B314D45D4B0146634750EF 8 Win32/Packed.VMProtect.BB 7

chklst
delvir

apply

deltmp
delref %SystemRoot%\SYSWOW64\FTUSBSRVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemRoot%\INF\ASPNET\LSMA22.EXE
delref %SystemDrive%\PROGRAM FILES\LOARIS TROJAN REMOVER\LTR.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
;-------------------------------------------------------------

regt 26
regt 25
czoo
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

Добавьте новый образ автозапуска для контроля очистки.

 

3 часа назад, zotev сказал:

пробовал удалить KVRT и Dr.web cureit не помогает

Добавьте для анализа логи сканирования данных утилит.

[zotev]

2024-03-08_12-56-19_log.txt

Образ автозапуска. Пока не понятно помогло или нет он через какое то время менял ДНС. Буду наблюдать, но в планировщике задач задачи Mysa1 и 2 висят

GIPERION_2024-03-08_13-03-17.rar

[safety]

по файлам:

conhoz.exe

https://www.virustotal.com/gui/file/c97ba3cb9164ee93304c7b6d6be86c075aab12a21cfbbe0f853f0d47fb2127f2/details

DrWeb Undetected

Kaspersky Undetected

msinfo.exe:

https://www.virustotal.com/gui/file/b63ce450e4d34d1cdd727a1a246d38167f45aeacc69d15c6922ef723e49a3cf7/detection

DrWeb Undetected

Kaspersky Undetected

 

 

25 минут назад, zotev сказал:

2024-03-08_12-56-19_log.txt 39 kB · 0 downloads

Очистка выполнена, необходим новый образ автозапуска для контроля очистки

 

25 минут назад, zotev сказал:

Образ автозапуска. Пока не понятно помогло или нет он через какое то время менял ДНС. Буду наблюдать, но в планировщике задач задачи Mysa1 и 2 висят

Не увидел в новом образе следов майнера и данных задач. В одной из версий Mykimgs дополнительно заражалась загрузочная запись, и просто удаление задач в tasks и wmi + исполняемые не помогало, после загрузки системы все восстанавливалось, сейчас я не увидел восстановления, но для контроля сделайте,пожалуйста еще логи FRST

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

[zotev]

Логи FRST

Addition.txt FRST.txt

[safety]

Этот файл добавьте в архив с паролем virus, загрузите на облачый диск и дайте ссылку на скачивание в ЛС

2024-03-07 23:36 - 2024-03-07 23:37 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe

--------

судя по логам FRST некоторый мусор остался, вредоносных активных файлов нет.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему без перезагрузки и завершит работу

 

Start::
Task: {2D862116-2D62-40F2-8844-7DD8F6083DA4} - \ok -> Нет файла <==== ВНИМАНИЕ
Task: {44D1269E-7693-4907-84B8-3203F637175B} - \Mysa1 -> Нет файла <==== ВНИМАНИЕ
Task: {455D485C-2559-4014-8AB7-ADC216B23B13} - \MyTask -> Нет файла <==== ВНИМАНИЕ
Task: {6F9191FA-9F2F-4F40-9C5C-92BB170604A1} - \oka -> Нет файла <==== ВНИМАНИЕ
Task: {DCE56C46-D7D9-4957-B14B-DC8AE3AA2051} - \Trojan Remover -> Нет файла <==== ВНИМАНИЕ
Task: {FF524A9E-BE02-46F3-9F5B-36681B29775C} - \Mysa2 -> Нет файла <==== ВНИМАНИЕ
FirewallRules: [{CAA2009A-CAED-4548-8726-0BD2DD9F2763}] => (Block) LPort=445
FirewallRules: [{FFD61110-9842-434D-92E6-8CDA13F7A6C2}] => (Block) LPort=139
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

 

Изменено 8 марта, 2024 пользователем safety

[zotev]

Fixlog.txt

[safety]

Очистку мы провели, но атаки могут возобновиться, как правило злоумышленники пытаются из внешней сети получить доступ к базе MS SQL, если она видна из внешней сети, получить контроль, добавить свои скрипты в базу, и затем уже развернуть майнер в системе.

 

В завершении:

 

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

27 minutes ago, safety said:

Этот файл добавьте в архив с паролем virus, загрузите на облачый диск и дайте ссылку на скачивание в ЛС

2024-03-07 23:36 - 2024-03-07 23:37 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe

C:\Windows\SysWOW64\csrs.exe - infected with Trojan.Siggen17.18615

https://www.virustotal.com/gui/file/722259d07de4dd9be88e8836fda5ba96844966ba109ac0fd3c8f8a162e5ba6cc/detection

 

Изменено 8 марта, 2024 пользователем safety

[zotev]

Не поддерживается

[safety]

1 hour ago, zotev said:

Не поддерживается

Тогда есть повод обновить систему, по возможности уйти с уязвимой 2008 R2 Server. :). сегодня майнер поставили, завтра могут шифровальщик загрузить.

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".