Вирус возвращается после ребута, подозрение на Backdoor.Win32.Mirai

[Blackmeser]

История началась 28 апреля.
Описание:

Накануне я устанавливал:
21 апреля - игра в Steam - Alien Swarm Reactive Drop.
22 апреля - обновление Java.
22 апреля - обновление AIDA64 с офф сайта.
28 апреля - европейский клиент WOT и модпак Jove версия 29.1 (ссылка взята с офф канала youtube)
---
Неожиданно в компе запустился майнер.
MSE (Microsoft Security Essenstails) среагировал на появившиеся в системных папках файлы (точные имена не помню, пишу по памяти):
/windows/1.txt
/windows/1.vbs
/windows/system32/1.txt
/windows/system32/1.vbs
и ещё другие свежие по дате создания левые *.txt и *.vbs
/windows/time.bat
и некоторые /windows/*.exe которые MSE благополучно снёс.
В тот момент я ничего не трогал (только отправил майнер в режим SUSPEND дабы продолжал висеть в процессах но не нагружал комп) и сразу же скачал Dr.Web Cure IT и запустил сканирование ОЗУ, загрузчика и всего диска С, а так-же папку WOT модпаком Jove. (в общем всего кроме бэкапов доисторических дистрибутивов, стрелялок из Steam и контента с котиками) Попутно просматривая в логе программы Process Lasso что от чего и как запускается.
Самое интересное было в time.bat - там был очень маленький скрипт, который загружал через встроенный в винду FTP клиент другой *.vbs скрипт, запускал его и затем удалял.
Так-же в папке /windows/Help появились левые *.exe и *.dll один из *.exe прописался в службах как "Windows FirewalI" (последняя буква не L, а i заглавная) в именем MpsSvcc, а запускался файлом /windows/Help/svch0st.exe
После сканирования Dr.Web Cure IT отправил всех найденных червей множиться на 0.
Process Lasso в логах запущенных приложений корнем всего плохого показывал taskeng.exe и rundll32.exe (оба системные, оба были отправлены на проверку в Virustotal, оба чистые).
После удаления найденных проблем всё было чисто.
Левая служба была снесена через "sc delete" и под конец ручная чистка реестра через Reg Organizer из автозапуска и прочих мест.
---
После ребута компа я вручную залез в /windows/ и /windows/Help и снова увидел левые скрипты и *.exe, а лог Process Lasso показывал запускающиеся процессы wscipt (или как его там), и снова корнем всех бед были taskeng.exe и rundll32.exe
Снова сканирование Dr.Web Cure IT, а так-же KVRT.
И после ребута все левые файлы и процессы вернулись опять.
Мне это дело надоело и того-же 28 апреля я поставил полноценный NOD32. На этот раз я провёл полное сканирование всего и вся, в том числе всех разделов.
С тех пор в течении 1 месяца пользования NOD32 не было вообще ничего подозрительного.
---
23 мая я удалил NOD32. И сразу же после ребута снова всё пошло поехало по отработанной формуле.
Перечитав кучу статей о странном поведении компа и появившемся майнере звёзды сошлись на Backdoor.Win32.Mirai - по крайней мере наблюдаемые симптомы указывали на него:
- появившийся в реестре HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start1 ссылающийся на http://js.mykings.top:280/** с исполняемым файлом в конце.
- создание пользователя ASP.NET.
- и тем, что я не заметил раньше, и на что не реагирует ни один сканер/антивирус C:\Windows\System32\taskeng.exe с параметром {GUID}, вот только этого GUID нет в реестре вообще и при каждом ребуте он всегда разный, и дочернем процессе C:\Windows\System32\rundll32.exe с параметром rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa и его тоже нет в реестре вообще, и самого файла item.dat тоже нет.
В отдельном порядке я поставил патч от майкрософта, закрывающем дыру в Samba, начитавшись что через него лезет Backdoor.Win32.Mirai так-же как и WannaCry (не знаю зачем, просто на всякий пожарный, самого WannaCry у меня не было).
И подумав, ну раз NOD32 не справился, то Касперский наверное сможет, поставил одноименный антивирус проведя полное сканирование и удалив ошмётки вируса я до 27 мая просидел на нём.
Касперский так-же не реагировал на taskeng.exe и rundll32.exe со странными параметрами, но вирус не проявлялся. Подозрительных срабатываний, кроме как на древние кейгены/патчи при полном сканировании не было вообще.
-------
27 мая я удалил Антивирус Касперского, при следующем ребуте вирус сразу проявил себя созданием левых файлов в тех-же системных каталогах и частым запуском wscipt. Источник проблемы снова те-же taskeng.exe и rundll32.exe
При включении заметил одну подозрительную вещь: т.к. ОС установлена на SSD - запуск происходит за считанные секунды, но когда не установлен ни один антивирус после приветствия Windows и до появления рабочего стола (окна выбора пользователя у меня нет) есть временное окно чисто чёрного экрана секунд 5-7, а когда установлен хотя бы один антивирус этого окна нет, после приветствия Windows без задержек сразу рисуется рабочий стол. Т.е. по моим наблюдениям я заметил у вируса 2 режима, и когда нет антивируса (MSE не в счёт) есть это окно на 5-7 секунд и появляются левые файлы.
Я пробовал сделать следующее:
1) Посмотрел в реестре как прописан winlogon, и порядок вроде-бы нормальный система->winlogon->explorer.exe
2) Сделав неожиданный ребут (авось при выключении компа вирус себя пишет в winlogon а потом стирает)
3) Запустился в безопасном режиме после удаления всего левого вновь проявляющегося. И о чудо, в безопасном режиме файлы сами по себе не возникают, в реестре ничего левого, никаких чёрных экранов на 5-7 секунд и taskeng.exe с левым GUID тоже нет, как и rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa - в безопасном режиме всё чисто. (самого файла \windows\debug\item.dat тоже нет)
Однако после нормального включения всё левое снова проявилось.
4) Отключил доступ в интернет, почистил всё левое и повторил пункты 1 и 3 - без изменений, результаты что и раньше, при нормальном запуске всё вылезает, а в безопасном режиме всё чисто.
Сразу после этого я снова поставил NOD32, который стоит и по сей день, вирус (бэкдор/троян или как его) куда-то опять спрятал свою голову, в процессах висят только taskeng.exe и rundll32.exe с левыми параметрами, чёрного окна при запуске нет.
 
ЛОГ-файлы в архиве прикрепляю. CollectionLog-2017.05.30-23.18.zip
И заранее по логам отмечу, что:
e:\172.31.2.163\hfs\hfs.rus.exe[/size] - утилита вёб-сервер версия от 2011 года.
C:\Windows\system32\drivers\61265540.sys[/size] и C:\Windows\system32\drivers\A977E331.sys[/size] - я не вижу этих файлов ни через проводник, ни через CMD/PowerShell ничего о них не могу сказать.
Каким-то чудом AVZ связал item.dat с реестром и нашёл Mysa1, [/size]Mysa2[/size] но обнаруженные GIUD напоминают предыдущие запуски.

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "c:\program files c:\program files (x86)\ss-helper\psupport.dll c:\program files" - путь кривой, папки ss-helper нет вообще.
Опасно - отладчик процесса "taskmgr.exe" = ""C:\WINDOWS\PROCEXP.EXE"" - знаю, сам менял очень давно, встроенный диспетчер задач не устраивает вообще.

 
Извиняюсь что вы вынуждены читать столь занудное изложение, постарался передать все аспекты дела.

[thyrex]

Порядок оформления запроса о помощи

[Blackmeser]

Порядок оформления запроса о помощи

Пункт 1 сделал.

Пункт 2 сделал.

Пункт 3 сделал, в подробностях, файл логов приложил.

Не понимаю. Я где-то что-то упустил?

[SQ]

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DelBHO('{7815BE26-237D-41A8-A98F-F7BD75F71086}');
 QuarantineFile('C:\Users\Blackmeser\AppData\Roaming\newnext.me\nengine.dll','');
 QuarantineFile('C:\Windows\System32\WindowsUpdate.vbs','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\system32\crypserv.exe','');
 QuarantineFile('c:\program files (x86)\ss-helper\psupport.dll','');
 DeleteFile('C:\Users\Blackmeser\AppData\Roaming\newnext.me\nengine.dll','32');
 DeleteFile('C:\Windows\System32\WindowsUpdate.vbs','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdateOne" /F', 0, 15000, true);
 DeleteFile('c:\windows\debug\item.dat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginService','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Blackmeser]

Скрипты выполнил.

Чудо, rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa больше нет.

В папке AVZ\Quarantine\2017-05-31 только 2 файла: avz00001.dta и avz00001.ini, в ini-файле указано что это C:\Users\Blackmeser\AppData\Local\MEGAsync\ShellExtX32.dll, MEGAsync - утилита, для синхронизации с облачным хранилищем.

В архиве эти же 2 файла, только под паролем.

Из всех путей файлов, что указаны в скрипте были только ShellExtX32.dll и c:\windows\system32\crypserv.exe. Но crypserv.exe в папке карантина нет, да и вообще он вручную не копируется. Получилось скопировать через notepad++, контрольные суммы совпадают.

Остальные файлы были удалены ещё месяц назад.

Могу руками засунуть в архив. Оставить архив как есть, или добавить crypserv.exe, и отправить?

 

Лог AdwCleaner: AdwCleanerS0.txt

[SQ]

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Blackmeser]

Re: Запрос на исследование вредоносного файла [KLAN-6330913095]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.
No information about the specified files can be found in the antivirus databases:
ShellExtX32.dll
We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.
This is an automatically generated message. Please do not reply to it.

[Blackmeser]

C:\Users\Blackmeser\AppData\Local\Mail.Ru - нужен для Game Center Mail.ru, однако не используется подпапка \Cloud, удалена вручную.

C:\Users\Blackmeser\AppData\Local\Geckofx - нужен для Microsoft Visual Studio, компонент WebBrowser на движке Gecko от Mozilla Firefox.

HKLM\SOFTWARE\Classes\CLSID\{37211D63-CCE9-4780-B182-96538CFC6FED}, {8B9C4F32-044E-491C-893E-362CB8A679D5}, {CF2BF214-9D1E-4803-9AEB-38552615FD40} - там хранятся записи о кодеках ранее установленной программе C:\Program Files (x86)\Virtual Webcam 8.0 (установленной в 2015), кодеки и dll зарегистрированы в системе, файлы физически существуют, в данный момент не используются ни одним процессом, пока трогать не буду.

HKU\S-1-5-21-710406092-2513588177-3597040444-1001\Software\Mail.Ru и HKCU\Software\Mail.Ru - нужен для Game Center Mail.ru.

 

Лог: AdwCleanerC0.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Blackmeser]

FRST.txt

Addition.txt

PS в первом логе увидел putty, как кандидата на удаление, что странно, я туда его помещал ещё в 2014 когда нужен был SSH клиент.

Изменено 1 июня, 2017 пользователем Blackmeser

[SQ]

Что из следующего Вам знакомо?

IFEO\taskmgr.exe: [Debugger] "C:\WINDOWS\PROCEXP.EXE"

FF NetworkProxy: Mozilla\Firefox\Profiles\hs2rz13y.default -> http", "23.239.76.115"
FF NetworkProxy: Mozilla\Firefox\Profiles\hs2rz13y.default -> http_port", 443
FF NetworkProxy: Mozilla\Firefox\Profiles\hs2rz13y.default -> type", 0

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  File: C:\WINDOWS\PROCEXP.EXE
  ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Temp\mcse32_00.dll -> No File
  ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Temp\mcse32_00.dll -> No File
  ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Temp\mcse32_00.dll -> No File
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  CHR HKU\S-1-5-21-710406092-2513588177-3597040444-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @esn/esnlaunch,version=2.1.7 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.7\npesnlaunch.dll [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @spoon.net/Spoon Plugin 3.33 -> C:\Program Files (x86)\Spoon\3.33.8.488\npMozillaSpoonPlugin.dll [No File]
  FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
  CHR HKU\S-1-5-21-710406092-2513588177-3597040444-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
  Folder: C:\Users\Blackmeser\AppData\Roaming\WinNc
  2014-03-17 16:25 - 2014-03-17 16:25 - 0000000 _____ () C:\Users\Blackmeser\AppData\Local\{86BD9246-2C03-408F-B7C6-2E9CAEDCFBD8}
  2014-09-09 01:41 - 2014-09-09 01:41 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  2013-05-08 19:23 - 2013-05-08 19:23 - 0005056 _____ () C:\ProgramData\lbzhlueq.mtr
  CustomCLSID: HKU\S-1-5-21-710406092-2513588177-3597040444-1001_Classes\CLSID\{9A872070-0A06-11D1-90B7-00A024CE2744}\localserver32 -> C:\Program Files\National Instruments\LabVIEW 2013\LabVIEW.exe /Automation => No File
  AlternateDataStreams: C:\Windows\Lost Planet: Extreme Condition Patch Log.txt [23709]
  AlternateDataStreams: C:\ProgramData\sdpsenv.dat:naughtypirates [482]
  AlternateDataStreams: C:\ProgramData\TEMP:058E79EB [146]
  AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [136]
  AlternateDataStreams: C:\ProgramData\TEMP:341E39B2 [152]
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [140]
  AlternateDataStreams: C:\ProgramData\TEMP:BF3D62E7 [374]
  AlternateDataStreams: C:\Users\Все пользователи\sdpsenv.dat:naughtypirates [482]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:058E79EB [146]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [136]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:341E39B2 [152]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [140]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF3D62E7 [374]
  HKU\S-1-5-21-710406092-2513588177-3597040444-1001\Software\Classes\.exe: exefile =>  <===== ATTENTION
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Обратите внимание в системных событиях логируются проблемы с диском/флэшкой:

Error: (06/01/2017 02:19:37 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (06/01/2017 02:19:34 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (06/01/2017 02:19:32 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (06/01/2017 02:19:29 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

[Blackmeser]

IFEO\taskmgr.exe: [Debugger] "C:\WINDOWS\PROCEXP.EXE"

Это моё, убрал диспетчер задач заменил этим вручную.

 

FF NetworkProxy: Mozilla\Firefox\Profiles\hs2rz13y.default -> http", "23.239.76.115"
FF NetworkProxy: Mozilla\Firefox\Profiles\hs2rz13y.default -> http_port", 443
FF NetworkProxy: Mozilla\Firefox\Profiles\hs2rz13y.default -> type", 0

Тоже моё.

 

Неверный блок на устройстве \Device\Harddisk2\DR2

Очень старый хард, периодически приходится разбираться с бэдами.

 

Сейчас выполню скрипт и прикреплю лог.

 

---

 

Лог: Fixlog.txt

Изменено 1 июня, 2017 пользователем Blackmeser

[SQ]

Сообщите, что с проблемой?

[Blackmeser]

В возвращающимся вирусом?

Для этого надо удалить NOD32 и подождать пару суток для того чтобы удостовериться.

 

Пока от меня ничего больше не требуется? Просканировать ещё чем-нибудь?

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.