Monero, Wasp, waspwing, securesurf.browser.client и прочая гадость

[zevs2011]

Прошу помощи с борьбой завёлся майнер, запускается множество процессов Wasp, waspwing,  непонятный  процесс securesurf.browser.client.

Работа Касперский смол офис заблокирована.

SERVER1C_2018-02-16_11-02-30.7z

[regist]

@zevs2011, для начала лучше сделайте согласно правилам логи Автологером. Скачать, запустить и следовать инструкциям.

 

+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

 

И в hosts как понимаю вы сами записи не добавляли?
 

ps. у вас там не только майнер.

Изменено 16 февраля, 2018 пользователем regist

[zevs2011]

Сделал

CollectionLog-2018.02.16-14.49.zip

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
AVZ находится у вас в папке

h:\autologger-test\autologger\avz\

 
2) По логу uVS был виден инсталированный Spybot - Search & Destroy. Его уже удалили? Если нет, то удалите.
 
3)

 

в hosts как понимаю вы сами записи не добавляли?

не ответили.

и Hide Folders 2009 как понимаю сами тоже не ставили?

 

+

 

 

Скачайте AutorunsVTchecker, распакуйте и запустите.

сделали?

[zevs2011]

Spybot удалил, hosts не добавлял, Hide Folders 2009 не устанавливал, AutorunsVTchecker запускал. 

Касперский и доктор веб каждый нашел по 10-ку зловредов и удалили. Повторные запуски ничего не обнаружили. В результате проведённых манипуляций появилась возможность восстановить KSO. И вот уже восстановленный KSO не может удалить какую то заразу. Первую рекомендацию сейчас не могу реализовать((( Перестал работать удалённый рабочий стол. Видимо сбились настройки. В настоящий момент не имею физического доступа к серверу. Восстановлю доступ продолжу.

Спасибо за помощь.

[regist]

Навсякий случай сделайте точку восстановления системы. Затем:

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  dirzooex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBISIDA
  bl C11D65981DA1BF1A1704A8E7F455F3A8 710192
  zoo %SystemRoot%\FONTS\SVCHOST.EXE
  delall %SystemRoot%\FONTS\SVCHOST.EXE
  bl 8679B7B0A203510F221A3F9907EA8FC4 14848
  zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBISIDA\GECKO\SECURESURF.BROWSER.CLIENT.EXE
  delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBISIDA\GECKO\SECURESURF.BROWSER.CLIENT.EXE
  deldir %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBISIDA
  dirzooex %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL
  bl 98D04E772E3CF483857D2001548EC8C1 472
  zoo %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\JWS.VBS
  delall %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\JWS.VBS
  bl 56DCA59FDF4AB6663ABDB6064AFD2A8F 1213586
  zoo %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\WSB.EXE
  delall %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\WSB.EXE
  deldir %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL
  dirzooex %SystemRoot%\INF\AXPERFLIB\
  deldir %SystemRoot%\INF\AXPERFLIB\
  dirzoo %SystemRoot%\INF\NETLIBRARIESTIP\
  bl C4683CA32A735D6413ABC6E6405E3CD2 534528
  zoo %SystemRoot%\INF\.NETFRAMEWORK3.5SP1\0009\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\CTFMON.EXE
  delall %SystemRoot%\INF\.NETFRAMEWORK3.5SP1\0009\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\CTFMON.EXE
  delref COINTMINER@GMAIL.COM
  bl 5BBEA6BF90D12060D4439EF9820A226F 262656
  zoo %SystemRoot%\FONTS\TASKHOTS.EXE
  delall %SystemRoot%\FONTS\TASKHOTS.EXE
  deldir %SystemRoot%\INF\NETLIBRARIESTIP\
  regt 35
  bl 2188ADC70BB2AF8EDA4877790616322E 695296
  zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\SPOOLSV.EXE
  delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\SPOOLSV.EXE
  bl 486A44B5C9B10D0CBB9EF2C1744AA300 525824
  zoo %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SAFESURF.EXE
  delall %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SAFESURF.EXE
  bl AA1A1D4DD24F2D161BCBD39B7684DB29 208384
  zoo %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SERVICES.EXE
  delall %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SERVICES.EXE
  zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\VMMS.EXE
  bl D1170274B007CD5E0A732DED6C8EED25 685568
  addsgn 1ADE289A5583C58CF42B254E3143FE54A6EF00F6DA7142680018B0BB631698D62317C301BDAE993B5E0DF763C3E03D94F692E4F910D23A3CAEB7A0AC0602A6A1 8 Trojan.Win32.Starter.anmj [Kaspersky] 7
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SURFGUARD.EXE
  bl B965BB6F3D05D91561B5A4A258C211DC 30720
  addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA79DFEB7255DA802C2DF7AA2FC7065273 63 Adware.SafeSurf 7
  
  chklst
  delvir
  
  ;---------command-block---------
  delref %SystemRoot%\SYSWOW64\RDM.EXE
  zoo %SystemRoot%\FONTS\\TASKHOTS.EXE
  delall %SystemRoot%\FONTS\\TASKHOTS.EXE
  bl 9B8D1BC2A1D2F45EE200A48E60B71AA2 463
  zoo %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A097-EAC038DECC24}\MGG.VBS
  delall %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A097-EAC038DECC24}\MGG.VBS
  bl E8F4F66FB1DEBDE1602719438E58F971 73216
  zoo %Sys32%\RDM.EXE
  delall %Sys32%\RDM.EXE
  apply
  deltmp
  czoo
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO

  с паролем virus.
• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

сделайте свежий образ uVS. Изменено 17 февраля, 2018 пользователем regist

[zevs2011]

@regist, А если есть архив ZOO то он уже сразу с паролем?

[regist]

 

 

А если есть архив ZOO то он уже сразу с паролем?

да.

[zevs2011]

@regist, отправлял я файл зоо на указанный адрес, но в ответ тишина. Что это означает? Письмо не дошло до получателя?

[regist]

@zevs2011, письмо дошло, но никакого вложения там нет. Так что отправьте его ещё раз. Ответа оттуда не будет. И от вас ещё ждём.

 

 

сделайте свежий образ uVS.

[zevs2011]

Направляю

@regist, не проходит у меня письмо на тот адрес This message was blocked because its content presents a potential
 

SERVER1C_2018-03-01_22-14-38.7z

[regist]

 

 

regist, не проходит у меня письмо на тот адрес This message was blocked because its content presents a potential

закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.

 

+

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\Y007.RU\1\TAXDOCPRT.DLL
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   bl F8EA515E991684B84C4D4D4020823AFA 1171456
   zoo %SystemRoot%\ADFS\CTFMON.EXE
   delall %SystemRoot%\ADFS\CTFMON.EXE
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref %Sys32%\DRIVERS\FSPFLTD.SYS
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

+ что с проблемой?

[zevs2011]

@regist, Спасибо!!! Сейчас относительно тихо. Скрипт почистил то, что видел касперский, но не мог удалить. Вчера касперский обнаружил и удалил ехе-шник Monero. На понедельник готовлю пыточную. Ноги растут из папки помещённой на рабочий стол. Надо узнать кто притащил. Второй скрипт выполнил ссылку на этот "зоопарк" направлю.

[regist]

Для надёжности давайте ещё одной утилитой проверим, не осталось ли чего.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

[zevs2011]

@regist,

жужас.txt