Trojan.Miner.ayz, Trojan.Farfli.jv, Packed.Krap.hc и т.д.

[karakondjo]

Привет!Впервом простите за мой нехороший русский язык-я им Болгария.Сегодня мой компьютер начал тормозить и работает медленно.Взглянул на Task Manager и нашел незнайний процес "mycrowsoft.exe",взглянул в google-для процес с такое имя нигде не писано-и понял что вирус.Нашел его в директория windows/system.Вместе с mycrowsoft.exe сидели mycrowsoft.ini и mycrowsoft.log.

Запустил MBAM сканировать.Нашел 2штук Trojan.Downloader и 3штук Riskware.BitCoinMiner.Удалил их,сканировал сново-MBAM сказал что все в порядке.Ну етот процес mycrowsoft.exe опять работает в Task Manager,етот файл тоже сидит в windows/system.

Запустил KasperskyVirusRemovalTool и он нашел много проблемов:

Етот "mycrowsoft.exe"определил как Trojan.Win32.Miner.ayz.

Нашел еще:

1штук HEUR;Exploit.Script.Generic

2штук Trojan.Win32.Farfli.jv

Еще один штук Trojan.Win32.Miner.ayz.

1штук Packed.Win32.Krap.hc

Все ети вируси удалил.

Также нашел и мало not-a-virus:

Нашел в инсталяционного файла DaemonTools 4.0.3 и 4.0.8 - "WebToolbar.Win32.WhenU.a".

Нашел в инсталяционного файла mIRC - "Client-IRC.Win32.mIRC.601"

И также в един CD к какой то електронной книге нашел один "not-a-virus:HEUR.Adware.Win32.Generic".

Ети Adware и not-a-virus(IRC и Toolbar) я НЕ удалил.Я ети програми не пользую так что если скажете что нужно-будо удалить и них,нет проблема.

Сканировал и с KasperskyVirusRemovalTool вторий раз и сейчас он сказал что все в порядке.

Сделал лог с AutoLogger-пожалуйста взгляните и скажите-сейчас все чисто и в порядке или нужно еще что-то делать?

ОС Win XP SP2.Для сожалением пользую особие софтуери для програмирования дистанционних пультов и они на другие версии ОС не работают.Антивирус не пользую никакой.Компьтер старенкий и работать с новие версии Антивируса Касперского-тежело.Для защиту разчитаю на ъпдейтнатую Мозилу и через день-два сканирую вручно с MBAM.Даже не знаю из откуда появилась вся етая гадость-не открываю аттачментов в email,не ищу кряков,не скачиваю торрентов,Знаю что нужен ъпгрейд и какая то современная ОС и антивирус.Ну для сожалении-денег нет и надо работать с то что имеется...

Спосибо!

CollectionLog-2017.05.11-04.41.zip

Изменено 11 мая, 2017 пользователем karakondjo

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\atkcdite.exe','');
 QuarantineFile('C:\Documents and Settings\Bojil\hysoxqihotur.exe','');
 QuarantineFile('C:\Documents and Settings\Bojil\Application Data\mimesacm\hticsvcs.exe','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)


- Подготовьте лог AdwCleaner и приложите его в теме.
 
 

[karakondjo]

Привет и очень спосибо для ответа!

Для сожалением не все протекло по планом.

Выполнил скрипт в AVZ.Все выполнилось как надо,появилось окно с надпись что-то "Windows saves settings and will restart"(цитирую по памяти).Посидело несколько секунд и тут появился BSOD

Не могу сказать точно ли BSOD является в момент в который компютер подготовляется к рестарта или является в момент когда начал сам рестарт(тогда когда екран становится темним).

На BSOD написано:

DRIVER_IRQL_NOT_LESS_OR_EQUAL

STOP:0X000000D1

NETBT.SYS

После BSOD компютер сделал дъмп физической памяти и потом рестартировался.

Запустил вторий скрипт для архивирования quarantine-он выполнился без проблемов.В папка quarantine есть только 6 файлов ".ini":bcqr00001.ini,bcqr00002.ini и т.д. до bcqr00006.ini.

Exe файлов в quarantine-нет.Из Folder Options включил "Hide protected operating system files"и "Show hidden files and folders"-так что сейчас увижутся все файлы в компютре без изключении.Взглянул в 

C:\WINDOWS - файл atkcdite.exe не нашел нигде.

C:\Documents and Settings\Bojil\hysoxqihotur.exe-тоже не нашел такой.
C:\Documents and Settings\Bojil\Application Data\mimesacm\hticsvcs.exe-тоже не нашел такой.

Думаю что ети файлы связанные с проблемов с вирусов прежде много лет-(например - https://forum.kaspersky.com/index.php?showtopic=241450&st=0&p=1890016entry1890016

Архив с 6 файлов выслал на почте newvirus@kaspersky.com ну получил ответ что в мое писмо никаких файлов нет.Пробовал вставить пароль "infected" на архив-опять получил такой ответ.Пробовал пользовать два другие мейл-провайдера-опять тоже и самое.Пробовал прикачить етот архив с пароль "infected" в 2 разние файлообменника и в писмо ставил линк к етих файлов-и опять такой же ответ.

Если скажешь могу прикрепить здесь в атачмент в теме??  

В то время как водилась ета борба чтобы как-то выслать етот архив после один рестарт KAV сюрпризировал меня с новое сообщение-c/windows/linvsy.exe - Trojan.Win32.Generic.Взглянул в Task Manager-опять странний процес fsywluj.exe.Взглянул в C/ и нашел незнакомий файл Newra.exe.Взглянул в Program Files и нашел новая директория "Microsoft Nwhwwm" с файл t96.dll.То есть-сценарий повторисля как был 2 дня назад.Все зловредние файлы появились сегодня в 7ч. утром(по етое время на компютер не работал никто).

2дня назад когда заразился с етие гадости думаю что ето стало из один из етие 3 сайта:

karlovo.bg

ezine.bg

istpravda.ru

Вчера и сегодня я в етих сайтов повторно не уходил,поетом и изключаю повторное заражение.Прикачених файлов из email на открывал,ничего не скачивал,торентов,кряков и т.д...Думаю что есть в системе наверно еще-то какой то троян или прорив и через его уходят системно ети гадости.

Из-за болшое количество троянов и вероятности они совершат что-то злоумишленое действие решил чтобы впервом их уничтожить,а потом писать здесь.Знаю что не надо удалять вирусов самовольно,ну были много и испугался.

Newra.exe опаковал на рар и выслал на newvirus@kaspersky.com.Ответили-KLAN-6227428618 - Malicious code has been detected in the following files:
Newra.exe - HEUR:Trojan.Win32.Generic

t96.dll - KLAN-6227472603 - Malicious code has been detected in the following files:
t96.dll - Trojan.Win32.Farfli.jv

Потом их удалил вручно.

linvsy.exe - Trojan.Win32.Generic - KAV убил его после рестарта.Имею инсталирован KAV на компютре ну не ъпдейтован наверно из 5-6лет назад.

Потом запустил KVRT -нашел еще много троянов,бекдоров и т.д.В атчмент закачаю printscreen с репорт KVRT с все найдено сегодня.После конце сканирования KVRT опять все дезинфекцировал.

Между прочим вчера пробовал опять запустить етот скрипт в AVZ и опять все прошло ОК ну после конца процеса BSOD-DRIVER_IRQL_NOT_LESS_OR_EQUAL...

AdwCleaner запустил-лог приклепляю.

Также сделал вторий лог сейчас с AutoLogger-если Тебя для что-то нужен прикрепляю и его.Подумал потому что есть нових троянов наверно будет нужен Тебя.

И опять спосибо!

CollectionLog-2017.05.12-16.51.zip

AdwCleanerS0.txt

Изменено 12 мая, 2017 пользователем karakondjo

[karakondjo]

Дополняю.Сделал и скан с DrWeb CureIt.Прикрепляю лог из его и printscreen.Ети 3 файла которые нашел он-я не удалял и не придприемал никаких действие к ним.Первий скачан в конце 2016года,а осталие два-ddoqmk5A21B443.tmp созданние 2011год и все ети 3 файла с момента их создавания до сейчас никогда не модифицирование.Если нужно-буду удалить и их. 

cureit.log

[karakondjo]

Уф,опять я.Зачелся в темы для Wanacry.У меня тоже несколько дня назад имел несколяко BSOD на которые пишет

PAGE_FAULT_ON_NONPAGED_AREA

srv.sys

Всегда появлялись в тие моменти когда мозилла была запущена.Увидел что ето симптом етого Wanacry.У меня до сих пор ничего не криптировано.Сейчас делаю бекъпов.

Также нашел что если компютер не пользуется для ничего иногдя появляются странние процесы в Task Manager.Разние незнаиние exe составление безсмисленних букв и цифр(sdf9s8dsd8f9.exe например).

Также увидел что по какой то причине firewall выключен и не может принудительно включится.Бутоны неактивни а в поле пишет "For Your security some settings are controlled by Group Policy".Запустил gpedit.msc

Local Computer Policy - Administrative Templates - Network - Network Connections - Windows Firewall -

Здесь и на Domain Profile и на Standart Profile все опции имеют метки "Not Configured".

В Standart Profile дал Enable на Protect All Network Connecions и фиреуол запустился.Ну здесь тут есть еще много опции-15 на Domain Profile и 15 на Standart Profile и одна в вышее меню - Allow authenticated IPSEC bypass.

Наверно и много другие опции надо быть включени чтобы фиреуол работал коректно,но не знаю кои...Я нашел в интернете долгие тексты для каждая опция для что важит,но не думаю что я компетентен чтобы вмешатся здесь без внешние насоки...

Изменено 13 мая, 2017 пользователем karakondjo

[SQ]

Возможно вредоносные файлы имeют системный атрибут или скрытый.

HiJackThis (из каталога автологгера) профиксить

O4 - MSConfig\startupreg: [NWEReboot] (no file)  (HKLM) (2016/08/24)
O4 - MSConfig\startupreg: [fdebdlv] C:\Documents and Settings\Bojil\Application Data\mimesacm\hticsvcs.exe (file missing) (HKCU) (2016/08/24)
O4 - MSConfig\startupreg: [hysoxqihotur] C:\Documents and Settings\Bojil\hysoxqihotur.exe (file missing) (HKCU) (2016/08/24)
O4 - MSConfig\startupreg: [iassours] C:\WINDOWS\atkcdite.exe  (file missing) (HKCU) (2016/08/24)
O23 - Service S2: ennrubjeokjsd - C:\DOCUME~1\Bojil\LOCALS~1\Temp\DAT11.tmp.exe (file missing)
O17 - HKLM\System\CSS\Services\Tcpip\..\{87A51CB6-18B6-4929-828D-9ECEF11D632C}: NameServer = 85.255.169.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{87A51CB6-18B6-4929-828D-9ECEF11D632C}: NameServer = 85.255.169.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{87A51CB6-18B6-4929-828D-9ECEF11D632C}: NameServer = 85.255.169.1
O17 - HKLM\System\ControlSet004\Services\Tcpip\..\{87A51CB6-18B6-4929-828D-9ECEF11D632C}: NameServer = 85.255.169.1

AVZ выполнить следующий скрипт в безопасном режиме.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Bojil\Application Data\mimesacm\hticsvcs.exe','');
 QuarantineFile('C:\Documents and Settings\Bojil\hysoxqihotur.exe','');
 QuarantineFile('C:\WINDOWS\atkcdite.exe','');
 DeleteFile('C:\Documents and Settings\Bojil\Application Data\mimesacm\hticsvcs.exe','32');
 DeleteFile('C:\Documents and Settings\Bojil\hysoxqihotur.exe','32');
 DeleteFile('C:\WINDOWS\atkcdite.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fdebdlv','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hysoxqihotur','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iassours','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Приложите новый лог по правилам.