[РЕШЕНО] Вирус, троян, замаскированный под проводник.

[Serhio0606]

Здравствуйте, столкнулся с такой проблемой. На компьютере подхватил вирус, предполагаю, что майнер. Он маскируется под проводник explorer.exe и его не видит ни один антивирус, когда нажимаю расположение файла, переходит на обыкновенный проводник, но это вирус: во первых при всех закрытых приложениях (и в трее) по какой-то причине он всегда стабильно загружает процессор на 30% и конечно же при входе в диспетчер задач резко перестаёт, также я читал, что в диспетчере задач не может быть более одного проводника, а у меня их два. При закрытии задачи или перезагрузки компьютер полностью перезагружается (мгновенно выключается). Но по видимому он не самый мощный (вирус) и он не умеет как более продвинутые закрывать диспетчер задач через время, и можно пользоваться компьютером с открытым диспетчером. Так же ещё после него почему-то не всегда запускается, видимо совсем не качественный. Но при открытии диспетчера задач, во вкладке сведения, он не появляется в состоянии приостановлен, как делают некоторые майнеры, а видимо просто по тихому прекращает работать, но остаётся активным съедая максимум 1% цп. Но при всех нюансах он никаким пока, что образом не исчез, удалился и т.п. Пробовал кучу разных антивирусов с разными функциями и не один его не видит. Прошу помочь, но думаю уже просто не морочиться и снести винду.

CollectionLog-2025.04.06-22.46.zip

[safety]

Создайте в uVS дополнительно образ автозапуска.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

[Serhio0606]

Файл архива с образом автозапуска.

SERGEY_2025-04-07_14-55-08_v4.99.12v x64.7z

[safety]

Такой скрипт в uVS, выполните (для включения отслеживания процессов и задач)

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

 

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
icsuspend
zoo %SystemDrive%\PROGRAMDATA\AUX..\ICON.DLL
zoo %SystemDrive%\PROGRAMDATA\CON..\KAPE.DLL
zoo %SystemDrive%\USERS\СЕРЕНЯ\COOKIES\INI.CMD
zoo %SystemDrive%\USERS\СЕРЕНЯ\COOKIES\INIT.CMD
regt 35
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
delref %SystemDrive%\PROGRAMDATA\CON..\INPUT.EXE
delref %SystemDrive%\USERS\СЕРЕНЯ\COOKIES\INI.CMD
delref %SystemDrive%\USERS\СЕРЕНЯ\COOKIES\INIT.CMD
delall %SystemDrive%\PROGRAMDATA\AUX..\ICON.DLL
delall %SystemDrive%\PROGRAMDATA\CON..\KAPE.DLL
delall %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
delall %SystemDrive%\PROGRAMDATA\CON..\INPUT.EXE
delall %SystemDrive%\USERS\СЕРЕНЯ\COOKIES\INI.CMD
delall %SystemDrive%\USERS\СЕРЕНЯ\COOKIES\INIT.CMD
regt 39
apply
czoo
restart

После перезагрузки системы:

Добавьте архив ZOO_дата_время.7z из папки, откуда запускали uVS.

Соберите новый образ автозапуска для контроля.

В нем будет больше информации для анализа цепочки запуска.

(В целом - понятны актеры, которые участвуют в запуске майнера, но цепочка сложная)

+

добавьте пожалуйста, отчет по обнаружению и сканирования из антивируса Касперского.

+

добавьте логи FRST

 

 

 

Изменено 7 апреля пользователем safety

[Serhio0606]

ZOO_2025-04-08_13-15-40.7z

SERGEY_2025-04-08_13-24-25_v4.99.12v x64.7z

 

Программа почему-то зависает при сканировании других областей

[thyrex]

Она не зависает. Нужно набраться терпения и дождаться окончания.

[safety]

По ZOO:

KAPE.DLL, ICON.DLL -огромные, так что не проверишь их на VT

по KAPE.DLL детект Касперского на файл в архиве:

Kaspersky HEUR:Trojan.Win32.Heavy.gen

https://www.virustotal.com/gui/file/3e224220adef669e945358ef810d484e042e367650ff4ef9762492f3476954f0?nocache=1

по ICON>DLL нет детекта:

https://www.virustotal.com/gui/file/7dab36073ecd766f3ba847a553a75efc950581d593859bb2207ef06bfa63ef89?nocache=1

 

Судя по новому образу вредоносных потоков в Explorer.exe нет.

 

Напишите, есть ли новые детекты в антивирусе Касперского, а лучше, после создания логов FRST сделать дополнительно отчет по обнаружениям и сканированию в антивирусе Касперского.

 

Изменено 8 апреля пользователем safety

[Serhio0606]

Да, он всё же загрузился.

На счёт касперского, пока проверяет, как закончит скину отчёт.

FRST.txt Addition.txt

7 минут назад, safety сказал:

По ZOO:

CAPE.DLL, ICON.DLL -огромные, так что не проверишь их на VT

И что это значит, чуть более простым языком.

[safety]

!!! После завершения сканирования в Касперском и публикации отчета о сканировании: !!!

 

По логу FRST:

 

в системе остались поврежденные системные службы, которые надо исправить, и удалить службы созданные зловредом.

 

Скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-11-24H2/

следующие твики для исправления поврежденных служб:

BITS;
dosvc;
UsoSvc
WaaSMedicSvc
wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-03-28] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-03-27] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [81920 2025-03-27] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-03-27] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-03-12] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [181192 2025-03-28] (Microsoft Windows -> Корпорация Майкрософт)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

Напишите по результату.

[Serhio0606]

Касперский отчёт.txt

[safety]

Судя по отчету Касперского - активных угроз не обнаружено.

Цитата

Сегодня, 08.04.2025 16:10:54            Проверка завершена, активных угроз сейчас нет                                        SERGEY\Sergey    Инициатор

 

1 час назад, Serhio0606 сказал:

И что это значит, чуть более простым языком.

простым языком - это файлы, через которые был внедрен запуск майнера в системном процессе Explorer.exe

 

Далее, переходим к восстановлению работы поврежденных системных служб и удалению поддельных служб *_bkp

с этого места смотрите предыдущее сообщение:

!!! После завершения сканирования в Касперском и публикации отчета о сканировании: !!!

 

,

[Serhio0606]

Все службы восстановил, вроде бы скрипт очистки выполнил, но только не до конца понял, точно ли то выполнил, так как скопированный скрипт некуда было вставлять.

Fixlog.txt

[safety]

Скрипт берется из буфера обмена, куда вы его копируете со страницы в браузере.

Все выполнилось корректно.

Цитата

"HKLM\System\CurrentControlSet\Services\BITS_bkp" => успешно удалены
BITS_bkp => служба успешно удалены

----------

Выполним очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
regt 40
;------------------------autoscript---------------------------

apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\CLIPESU.EXE
delref %Sys32%\MBAEPARSERTASK.EXE
delref %SystemDrive%\PROGRAM FILES\REMPL\SEDLAUNCHER.EXE
delref %Sys32%\OOBE\SETUPPLATFORM\SETUPPLATFORM.EXE
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.60\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.60\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.60\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.166\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\СЕРЕНЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\СЕРЕНЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\СЕРЕНЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\СЕРЕНЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\СЕРЕНЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.85\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.85\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

[Serhio0606]

Касперский во время выполнения скрипта, начал ругаться и удалил программу, так же не должно быть? Перезагрузки не было.

отчёт.txt

 

52 минуты назад, Serhio0606 сказал:

Касперский во время выполнения скрипта, начал ругаться и удалил программу, так же не должно быть? Перезагрузки не было.

отчёт.txt 6.71 kB · 0 загрузок

Сейчас она в карантине 

[safety]

Бывает.

Я думаю это ложное срабатывание.

Цитата

Сегодня, 08.04.2025 17:03:04    Создана резервная копия объекта    start_x64.exe    start_x64.exe    F:\Новая папка    128    SERGEY\Sergey    Инициатор    Создана резервная копия: not-a-virus:PDM:AdWare.Win32.Neoreklami.gen    Создана резервная копия    not-a-virus:PDM:AdWare.Win32.Neoreklami.gen    Рекламное приложение    Средняя    Точно    start_x64.exe    start_x64.exe    F:\Новая папка    Процесс    

 

Отключите защиту на момент выполнения скрипта, и еще раз повторите выполнение скрипта.

Изменено 8 апреля пользователем safety