[РЕШЕНО] Trojan.Win64.Miner.gen, MEM:Backdoor.Win32.Insistent.gen

[Ольга Кот]

Здравствуйте!

Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

CollectionLog-2025.07.01-15.08.zip

[safety]

Сделайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1  Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6.

 

Если запросили обычный образ автозапуска, переходим сразу к п.4

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[Ольга Кот]

Высылаю сохраненный образ

DESKTOP-JNC05F1_2025-07-01_15-59-42_v5.0.RC3.v x64.7z

[safety]

По образу:

есть поток, внедренный в syswow64\svchost.exe

Образ сейчас проверю, напишу скрипт очистки.

Отслеживание процессов и задач не включено

Написано:

3.1  Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню uVS выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6.

Надо переделать образ, чтобы было включено отслеживание.

Изменено 1 июля пользователем safety

[Ольга Кот]

Переделала, надеюсь получилось. я зашла заново в п.2, запустила под текущим пользователем, потом зашла в твики, нажала 39й, обновила список и сохранила образ

DESKTOP-JNC05F1_2025-07-01_16-26-56_v5.0.RC3.v x64.7z

[safety]

Сейчас все ок.

Эта задача интересовала

Цитата

    <Exec>
      <Command>C:\ProgramData\PictureComposer-6215f525-19fd-407e-9248-c9dd3e91e43c\PictureComposer.exe</Command>
      <Arguments>--launch</Arguments>
    </Exec>

Ждем скрипт очистки.

[safety]

Выполните очистку системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\CSAMSP.DLL
zoo %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\81CD665E\D1CB110983.MSI
;------------------------autoscript---------------------------

delref %SystemRoot%\SYSWOW64\CSAMSP.DLL
del %SystemRoot%\SYSWOW64\CSAMSP.DLL
delall %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\81CD665E\D1CB110983.MSI
apply

regt 27
deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\NPGOOGLEUPDATE3.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_SPI.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\IALPSS2_UART2_CNL.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.113\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте файл ZOO****.7z из папки с uVS в ваше сообщение

+

добавьте новые логи FRST для контроля

[Ольга Кот]

Спасибо за помощь, уведомление от Антивируса не выскочило после перезагрузки. Прикрепляю файлы

CollectionLog-2025.07.01-17.03.zip ZOO_2025-07-01_16-57-05.7z 2025-07-01_16-57-05_log.txt DESKTOP-JNC05F1_2025-07-01_17-09-12_v5.0.RC3.v x64.7z

[safety]

Судя по последнему образу, цепочку запуска майнера мы разрушили.

 

детект вредоносной dll (CSAMSP.vDLL)

https://www.virustotal.com/gui/file/68ae1ab1afd6763669df74f6a9e8c99380dce89d1bb8f59a8bc7c5db637cd8e6?nocache=1

ESET-NOD32 A Variant Of Win32/ShellcodeRunner.PI

DrWeb Trojan.Loader.1907

Kaspersky Undetected

 

Для контроля сделайте пожалуйста, логи FRST.

Цитата

добавьте новые логи FRST для контроля

 

Изменено 1 июля пользователем safety

[Ольга Кот]

а как их делать?

[safety]

Проверьте по ссылке

[Ольга Кот]

Прикрепляю файлы, спасибо

FRST.txt Addition.txt

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m"
[2025-06-25] [UpdateUrl:hxxps://clients65.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Xfinder.pro) - C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2025-06-25]
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: System Profile -> hxxps://xfinder.pro/q?q={searchTerms}
CHR DefaultSearchKeyword: System Profile -> xfinder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2025-06-25] [UpdateUrl:hxxps://clients47.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Xfinder.pro) - C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
YAN Extension: (Find-it.Pro Search) - C:\Users\USKdmin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
2025-07-01 12:14 - 2025-07-01 16:57 - 000000000 __SHD C:\ProgramData\PictureComposer-6215f525-19fd-407e-9248-c9dd3e91e43c
2025-07-01 12:14 - 2025-07-01 12:14 - 001214770 _____ C:\Windows\SysWOW64\crisp383.dat
2025-06-29 21:30 C:\Program Files\RDP Wrapper
2025-06-29 21:30 C:\Program Files (x86)\360
2025-06-29 21:30 C:\ProgramData\RDP Wrapper
2025-06-29 21:30 C:\ProgramData\ReaItekHD
2025-06-29 21:30 C:\ProgramData\Setup
2025-06-29 21:30 C:\ProgramData\Windows Tasks Service
2025-06-29 21:30 C:\ProgramData\WindowsTask
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Ольга Кот]

Очистку загрузила, а вот заархивировать не могу, похоже, Винрар нужно установить. Сделаю завтра

Fixlog.txt

Изменено 1 июля пользователем Ольга Кот

[thyrex]

Он у Вас и так установлен. Скорее всего антивирус блокирует доступ к файлу, который нужно заархивировать.