Предположительно, майнер с охраной

[Роман Гусев]

 

Обнаружил два процесса в системе. Один из них грузит процессор на 50%, Второй является его охранником - не дает запустить ни avz, ни AdwCleaner, И даже захлопывает броузер при попытке открыть сайт AVZ или Касперского.

Выделяются они тем, что являются 32-битными в 64-битной Win7, и запущены от пользователя, не от системы.

Антивирус Avast и CureIt ничего не обнаружили, сайт virustotal сообщает что файл svchost.exe на 100% чист.

 

Если убить оба процесса, через несколько часов они стартуют снова. Автозагрузка ничего подозрительного не содержит.

 

Прилагаю логи AVZ и AswCleaner, снятые при закрытом процессе-охраннике.

AdwCleanerC00.txt

AdwCleanerS00.txt

virusinfo_syscheck.zip

Изменено 15 июня, 2018 пользователем Роман Гусев

[regist]

Порядок оформления запроса о помощи
 

[Роман Гусев]

Прикладываю логи универсального сборщика

CollectionLog-2018.06.16-01.11.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\oyZBe.exe', '');
 DeleteFile('C:\Program Files (x86)\Common Files\oyZBe.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "{0CF4038D-CB2F-259A-7B5B-807058E5772A}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{21FCD1EB-FFD9-335B-43D2-90DC1BC411B4}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F6C12608-3A64-F1B2-9DDE-CBFAAA574A1B}" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - (disabled) HKLM\..\Run-: [DelaypluginInstall] = C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe (file missing)
O4-32 - (disabled) HKLM\..\Run-: [Wondershare Helper Compact.exe] = C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing)
O22 - Task: Opera scheduled Autoupdate 1528485029 - C:\Users\User\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Task: {0CF4038D-CB2F-259A-7B5B-807058E5772A} - C:\Users\User\AppData\Local\Programs\Opera\Launcher.exe http://cetttip.net/cl/?guid=gykfts5gpi9ytdbbti22aszhvrnf60zd&prid=1&pid=4_1390_0 (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Роман Гусев]

спасибо! После перезагрузки вредоносных процессов нет. К сожалению, файл quarantine.zip является пустым zip файлом размером 22 байта.

oyZBe.exe был предварительно проверен на virustotal.com и имеет 0 срабатываний.

[mike 1]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

???