Похоже на майнера

[Камиль Мусаев]

Добрый день, иногда запускаются сами по себе две командные строки и быстро исчезают, при этом начинает сильно крутится кулер. Стоит КИС, полная проверка показывает что всё чисто. Для спокойствия хотелось бы полностью убедится что это не вирус.

CollectionLog-2018.02.23-13.21.zip

[regist]

1) Удалите остатки Аваст https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

3) "Пофиксите" в HijackThis:

O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Se&nd to OneNote - C:\Program Files\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing)
O20-32 - HKLM\..\Winlogon\Notify: ScCertProp   [DllName] = (no file)
O22 - Task: Nvbackend_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe (file missing)
O22 - Task: Opera scheduled Autoupdate 1507739385 - C:\Users\Musaev\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Task: WpsExternal_20161109044301 - C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe /wpscloudlaunch /wpsexternal /from=task (file missing)

4)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

5) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

+ Watchdog service - вам знакомо?

Изменено 23 февраля, 2018 пользователем regist

[Камиль Мусаев]

@regist, 

 

про watchdog не слышал. Ссылка о загрузке https://virusinfo.info/showthread.php?t=217850. ССылка на результаты, но пока недоступны https://virusinfo.info/virusdetector/report.php?md5=66C948E004BFD71674B6CF0214511708

ClearLNK-23.02.2018_14-21.log

DESKTOP-PT9D46V_2018-02-23_14-35-19.7z

[regist]

@Камиль Мусаев, насчёт загруженного карантина

 

Анализ карантина завершен с ошибкой
 Причины ошибки: получен поврежденный архив, ошибка при распаковке
 Для устранения ошибки рекомендуется повторить загрузку карантина

Так что просьба ещё раз провести процедуру. А лог uVS сейчас посмотрю.

[Камиль Мусаев]

@regist, 

 

Готово. Ссылка на тему https://virusinfo.info/showthread.php?t=217851. Ссылка на результаты: https://virusinfo.info/virusdetector/report.php?md5=70A9B60FA5545371F7465B71FC768B27

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   deltmp
   zoo %SystemRoot%\SYSWOW64\G3E1F25BF10.EXE
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\USERS\MUSAEV\APPDATA\LOCAL\TEMP\WCT324D.TMP
   delref %SystemDrive%\USERS\MUSAEV\APPDATA\LOCAL\TEMP\WCT63A6.TMP
   delref %SystemDrive%\USERS\MUSAEV\APPDATA\LOCAL\TEMP\WCTE6D9.TMP
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {EBA7A1E6-E69D-4BA5-B291-95782A004604}\[CLSID]
   delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 

про watchdog не слышал.

Может вирус, а может и фолс https://www.virustotal.com/ru/file/7c3b2aa2f18129fe5858df4b7c6478f38e38a7767b2541794265c24b1167fc0b/analysis/1519384033/

Использует библиотеки от CRYPTO PRO, может для него используется. Так что

1) Выполните скрипт и пришлите карантин uVS.

2) Переименуйте пока

C:\WINDOWS\SYSWOW64\G3E1F25BF10.EXE

например в

C:\WINDOWS\SYSWOW64\G3E1F25BF10.bak

3) Проверьте снова проблему.
 

[Камиль Мусаев]

@regist, 

 

готово, если не будет больше сообщений , значит всё ок. А за что отвечает файл в SySWow64? И его вообще надо потом обратно в ехе переименовывать или можно оставить в bak?

@regist, 

 

Поставил в КИСЕ обнаружение вредоносных программ, обновил базы , запустил быструю проверку и он нашёл такую вот шляпу, после перезагрузки удалил. По поводу того файла который я переименовал в bak так его оставить или в exe обратно вернуть?

Изменено 23 февраля, 2018 пользователем Камиль Мусаев

[regist]

 Карантин от вас не дошёл

 

Программа Microsoft Forefront Protection for Exchange Server удалила файл, совпадающий с фильтром.

Заархивируйте этот файл в zip архив с паролем virus закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.
 

 

 

запустил быструю проверку и он нашёл такую вот шляпу, после перезагрузки удалил.

это драйвер от AVZ, с учётом что AVZ вы запускали сами и сознательно, то некрично.

 

 

По поводу того файла который я переименовал в bak так его оставить или в exe обратно вернуть?

Пока оставьте так и проверьте повторится проблема или нет. И нормально ли работает КриптоПро.

[regist]

@Камиль Мусаев, скачал карантин с этим файлом. Это всё-таки вирус. Удаляйте этот файл и меняйте все пароли.

 

+ выполните скрипт в uVS

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
bl 1DE584EC7436FB83D7BAD88E1DCC1A3A 25480
zoo %SystemRoot%\SYSWOW64\G3E1F25BF10.EXE
delall %SystemRoot%\SYSWOW64\G3E1F25BF10.EXE
apply

czoo
restart

проблема решена?

[Камиль Мусаев]

@regist,

 

Спасибо, буду наблюдать. Если ничего не напишу значит всё ок 

[Камиль Мусаев]

@regist, 

 

Помимо этого файла больше вирусов нету?

[regist]

 

 

Помимо этого файла больше вирусов нету?

больше ничего плохого не заметил.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.