[РЕШЕНО] HEUR:Trojan.Win64.Miner.gen и MEM:Backdoor.Win32.Insistent.gen

[Alfenka]

Здравствуйте!

Антивирус выявил 4 вредоносных приложения. HEUR:Trojan.Win64.Miner.gen и MEM:Backdoor.Win32.Insistent.gen. Первый всегда ссылается на одну и туже скрытую папку NetGuardian c приложением ехе., а второй всегда на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в ноябре, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем

CollectionLog-2025.01.25-18.28.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\System32\csamsp.dll','');
 DeleteFile('c:\windows\System32\csamsp.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\CsaMspSvc_f62e36\Parameters','ServiceDll','x64');
 DeleteSchedulerTask('regret-steward');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Alfenka]

Здравствуйте.

После выполнения 1 скрипта ПК ушел в перезагрузку, но не вкл (был черный экран и двигалась мышь)Может мы что-то не так сделали?. Второй отработал нормально. Карантин отправили через форму отправки карантина 2025.01.25_quarantine_a6b72687e628734ce422eafc17186d95.7z

CollectionLog-2025.01.26-01.27.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Alfenka]

Направляем отчеты FRST.txt и Addition.txt

Desktop.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-341387610-2933442749-2913642473-1001\...\Run: [YandexBrowserAutoLaunch_A9F7538C45B1781ACDFC1F4189CC3AA2] => "C:\Users\Alyona\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {18F40FC4-303C-4975-A7E2-B7AF50694B25} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-341387610-2933442749-2913642473-1001 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла)
S2 CsaMspSvc_f62e36; C:\Windows\SysWOW64\csamsp.dll [X]
2025-01-25 17:22 - 2025-01-25 19:31 - 000000000 __SHD C:\ProgramData\NetGuardian-89dd5df2-6f24-4751-a847-4d4a96342a0b
2024-12-21 21:25 - 2025-01-24 21:04 - 000000000 __SHD C:\ProgramData\CodeInnovator-701e5d88-e0d5-4034-8c62-353b16411734
2024-12-21 21:24 - 2024-12-21 21:24 - 001216101 _____ C:\Windows\SysWOW64\hint473.dat
2024-11-08 21:18 - 2024-11-08 21:18 - 000000000 ____D C:\Users\Alyona\AppData\Local\highstone-updater
2024-11-08 21:20 - 2024-11-08 21:20 - 000000000 ____D C:\ProgramData\HXXTphdHtPLlbrh
2024-11-08 21:18 - 2024-11-08 21:20 - 000000000 ____D C:\ProgramData\playerFolder
2024-12-21 17:02 C:\Program Files (x86)\360
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Alyona\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{5DD40ADE-4402-E622-3550-29C13167CD47}\InprocServer32 -> C:\Program Files (x86)\Common Files\System\ole32.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Alyona\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{824b299c-745a-4c78-bf93-9ba11131ce0d}\InprocServer32 -> C:\Users\Alyona\AppData\Local\Temp\v8_E0AF_f.tmp => Нет файла
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Alyona\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> C:\Users\Alyona\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\FileCoAuth.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{a3b3660c-804f-48b3-8fba-4f1a1fe0352d}\InprocServer32 -> C:\Users\Alyona\AppData\Local\Temp\v8_E0AF_f.tmp => Нет файла
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{e1288c25-c53e-4539-a133-a649f43d79d3}\InprocServer32 -> C:\Users\Alyona\AppData\Local\Temp\v8_E0AF_f.tmp => Нет файла
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{fa76d139-38de-42bf-8c10-4612d5bde27e}\InprocServer32 -> C:\Users\Alyona\AppData\Local\Temp\v8_E0AF_f.tmp => Нет файла
CustomCLSID: HKU\S-1-5-21-341387610-2933442749-2913642473-1001_Classes\CLSID\{fad46fcd-d38e-4cbf-8cba-ab152afed67b}\InprocServer32 -> C:\Users\Alyona\AppData\Local\Temp\v8_E0AF_f.tmp => Нет файла
AlternateDataStreams: C:\Users\Alyona:id [32]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Alfenka]

файл Log

Fixlog.txt

[thyrex]

Что с проблемой?

[Alfenka]

Быстрая проверка не выявила ничего, запустили полную. Спасибо Вам большое

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Alfenka]

Здравствуйте!

Полная проверка прошла, все что было найдено KS вылечил. В событиях только выходят сообщения о попытке криптоджекинга

SecurityCheck.txt

[thyrex]

2 часа назад, Alfenka сказал:

В событиях только выходят сообщения о попытке криптоджекинга

об этом поподробнее, пожалуйста

[Alfenka]

В истории обработки KS приложила скрин информация о событиях видны эти строки. В отчетах возможно конкретнее видно. Первый по  криптоджекингу, второй по удаленным объектам, там смущало, что на некоторых файлах есть строчка о создании резервной копии

отчет KS_2.txt отчетKS.txt

[thyrex]

Очистите отчеты антивируса и выполните проверку еще раз, пожалуйста. Сообщите результат.

[Alfenka]

Новые проверки ничего не обнаружили. Спасибо Вам большое)))  -<-@