Trojan.BitCoinMiner в Programdata\system32\system.exe

[Дмитрий Фенюк 0]

Добрый день!

Подскажите, как избавится от этой заразы, сначала он сидел в файле security.exe в той же директории, вроде как каким то чудом удалил.

Такой папки в програм дата нет, это имеется ввиду папка windows?

Очень прошу помощи в лечении, в автозагрузке ни авз ни каспер ни чего не нашли, не пойму как он скачет то туда то сюда.

И еще момент, после его изчезновени я из security.exe каспер с авз его не видят, проверял прогой Malawarebytes.

Прошу помощи.

[Sandor 1 253]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Дмитрий Фенюк 0]

Логи во вложении.

CollectionLog-2017.08.31-10.52.zip

[Sandor 1 253]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\DMITRY\AppData\Roaming\Adobe\Manager.exe', '');
 QuarantineFile('C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys', '32');
 DeleteFile('C:\Users\DMITRY\AppData\Roaming\Adobe\Manager.exe', '32');
 DeleteService('RegFilter');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Дмитрий Фенюк 0]

Скрин из KVRT во вложении.

 

 

Легальная программа? Я биткоины не майнил никогда, и сам себе никак это не мог поставить

А файл должен быть пустым? Просто там ничего нет...

[KLAN-6735311075]

Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

Our antivirus databases do not contain the specified URLs:
https://forum.kasperskyclub.ru/index.php?showtopic=56897&p=838060

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

------------------------------

--------------------------------------------------
From: 
Sent: 8/31/2017 11:17:00 AM
To: newvirus@kaspersky.com
Subject: Файл карантина
https://forum.kasperskyclub.ru/index.php?showtopic=56897&p=838060

[Sandor 1 253]

А файл должен быть пустым?

Да, так бывает. Жду повторный CollectionLog.

[Дмитрий Фенюк 0]

Логи во вложении.

CollectionLog-2017.08.31-11.26.zip

[Sandor 1 253]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Дмитрий Фенюк 0]

Готово.

FRST.txt

Addition.txt

Shortcut.txt

[Sandor 1 253]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <==== ATTENTION
  CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
  CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.11
  CHR DefaultSearchKeyword: Default -> mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  Task: {83C5040B-5C8F-4726-B70F-F41A165BA206} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\DMITRY\AppData\Roaming\Adobe\Manager.exe
  Task: {C608B6C8-4D72-45AC-B319-8ED9BF15EC6B} - \Microsoft\Windows\Application Experience\RenewalService -> No File <==== ATTENTION
  HKU\S-1-5-21-447171403-2480724276-1771987538-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Дмитрий Фенюк 0]

Готово.

Fixlog.txt

[Sandor 1 253]

Что сейчас с проблемой?

[Дмитрий Фенюк 0]

System.exe в ProgramData все еще заражен, проверял KVRT.

Как уже выше писал.

 

Он безобидный, или это всетаки вирус/троян?

[Sandor 1 253]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[Дмитрий Фенюк 0]

Во вложении.

DMITRY-PC_2017-08-31_13-07-25.7z