[РЕШЕНО] Поймал вредоносное ПО

[hu553in]

Проблема схожая с соседними темами.

• C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic
• ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует
• в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0

Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.

Помогите пожалуйста.

Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.

DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7zПолучение информации... Addition.txtПолучение информации... FRST.txtПолучение информации...

[safety]

Выполните скрипт очистки в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply
deltmp
delref %SystemDrive%\USERS\SERGI\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ154\CPUZ154_X64.SYS
delref %Sys32%\DRIVERS\HSSTAP.SYS
delref %SystemDrive%\USERS\SERGI\APPDATA\LOCAL\TEMP\HWINFO64A_180.SYS
delref %SystemDrive%\USERS\SERGI\APPDATA\ROAMING\VK TEAMS\BIN\VKTEAMS.EXE
;-------------------------------------------------------------
restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска для контроля

+

добавьте все логи по правилам.

Порядок оформления запроса о помощи».

 

 

Изменено 23 сентября, 2024 пользователем safety

[hu553in]

@safety

 

Сделал, спасибо большое, прикрепляю лог и образ от uVS.

 

Прошу прощения за неверное оформление - так же прикрепляю логи от AutoLogger (уже после очистки).

DESKTOP-CIJDVRS_2024-09-23_15-18-46_v4.99.1v x64.7zПолучение информации... 2024-09-23_15-12-14_log.txtПолучение информации... CollectionLog-2024.09.23-15.28.zipПолучение информации...

[safety]

  В 23.09.2024 в 09:30, hu553in сказал:

Сделал, спасибо большое, прикрепляю лог и образ от uVS.

Показать  

Судя по логу, и новому образу, майнер успешно защищается от удаления.

 

Этот же скрипт выполните в uVS только из безопасного режима системы (с поддержкой сети)

после выполнения скрипта загружаемся в нормальный режим,

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска для контроля.

 

Изменено 23 сентября, 2024 пользователем safety

[hu553in]

@safety

2024-09-23_18-27-27_log.txtПолучение информации... DESKTOP-CIJDVRS_2024-09-23_19-27-05_v4.99.1v x64.7zПолучение информации...

[safety]

Отлично,

Теперь система очищена от майнера и его вредоносных потоков.

Активности Dialer.exe, которая была в предыдущем образе

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DIALER.EXE [8384]

в текущем образе нет.

Множественных потоков, внедренных в системные процессы нет.

Службы HKLM\System\CurrentControlSet\Services\GoogleUpdateTaskMachineQC\ImagePath, защищенной от удаления, которая запускала файл C:\ProgramData\Google\Chrome\updater.exe,  нет.

C:\ProgramData\Google\Chrome\updater.exe - удален.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

Изменено 23 сентября, 2024 пользователем safety

[hu553in]

@safety

SecurityCheck.txtПолучение информации...

[safety]

по возможности обновите данное ПО:

 

NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.128.0.2739.79 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.20 (64-разрядная) v.6.20.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9024 Внимание! Скачать обновления
Slack v.4.39.95 Внимание! Скачать обновления
Zoom v.5.17.0 (28375) Внимание! Скачать обновления

AmneziaVPN v.4.6.0.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.47134 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent v.4.6.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 381 (64-bit) v.8.0.3810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.18 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.7.3.1081 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.128.0.6613.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".