Подозрительный system.exe

[Gramm]

Здраствуйте, постояно откуда то берется, процесс system.exe
Я уже прошелся Dr.Web Cureit. Но эта зараза все вылазит, приходится через диспетчер закрывать.
Она лежит в какой то папке adobe, прилаживаю скриншот:
 

CollectionLog-2018.06.18-19.31.zip

[regist]

Скачайте автлогер по ссылке из правил

 

Скачайте актуальную версию автоматического сборщика логов

и переделайте логи.

[Gramm]

Вот новые логи:
 

CollectionLog-2018.06.18-20.15.zip

Изменено 18 июня, 2018 пользователем Gramm

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Cracked\AppData\Local\Adobe\adobe.exe', '');
 QuarantineFileF('C:\Users\Cracked\AppData\Local\Adobe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Cracked\AppData\Local\Adobe\adobe.exe', '32');
 DeleteFile('C:\Users\Cracked\AppData\Local\Adobe\adobe.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'system');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 18 июня, 2018 пользователем regist

[Gramm]

Карантин: https://virusinfo.info/virusdetector/report.php?md5=18299D69FEEFB152DC9778FFB0220283

Пришел ответ с newvirus:

quarantine.zip:

 

[KLAN-8251945879]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код:
adobe.exe - Trojan.Win32.Miner.tzrd

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
system.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=59643

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.comhttps://www.securelist.com"

Кстати еще в папке adobe, сидит скрытый файл system.exe

 

CollectionLog-2018.06.19-11.37.zip

Изменено 19 июня, 2018 пользователем Gramm

[regist]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,  

• Скачайте Universal Virus Sniffer

(uVS)

• Извлеките uVS из архива или из zip-папки.
• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   

  ;uVS v4.0.5 [http://dsrt.dyndns.org]
  v400c
  
  adddir %SystemDrive%\USERSCracked\AppData\crimg
  crimg

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
• После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено 19 июня, 2018 пользователем regist

[Gramm]

Готово

А еще, я кажется знаю(но это не точно) откуда вылезла зараза
Кому можно передать этот файл, просто я знаю автора одной утилиты для игры, просто он очень уважаемый, и тогда мы бы его разоблачили, что он таким занимается.
Просто хочу убедится на 100%

CRACKED-ПК_2018-06-19_13-16-39.7z

Изменено 19 июня, 2018 пользователем Gramm

[regist]

расширения от Mail.ru используете (сами ставили)?

[Gramm]

расширения от Mail.ru используете (сами ставили)?

нет, это наверное сделал загрузчик, типо сохранить как .zip

Залили нужный мне файл, на тупой файлообменик, который типо архив в архиве.

по типу zip.exe

Изменено 19 июня, 2018 пользователем Gramm

[regist]

86.57.168.14:20000 - сами прописывали?

 

Проверьте эти файлы на virustotal

C:\PROGRAM FILES (X86)\BITPDE\BITPDE.EXE

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.12 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ONENOTE 2016.LNK
   ;---------command-block---------
   delref HTTP://MADLEN.UCOZ.COM/
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
   delref %Sys32%\DRIVERS\ZAM64.SYS
   delref %Sys32%\DRIVERS\ZAMGUARD64.SYS
   delref %SystemDrive%\MSOIA.EXE
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BD759877A-0621-45E8-8BC1-F72430CFBD68%7D&GP=811014
   delref %SystemDrive%\USERS\CRACKED\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\CRACKED\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {8DAE90AD-4583-4977-9DD4-4360F7A45C74}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref G:\SETUP.EXE
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

еще в папке adobe, сидит скрытый файл system.exe

в логах его не видно, так что удалите вручную.

 

[Gramm]

 

 

86.57.168.14:20000 - сами прописывали?

Где прописывали? Это похоже ip моего интернет провайдера(byfly.by), так что думаю это моё.

C:\PROGRAM FILES (X86)\BITPDE\BITPDE.EXE

Это я скачивал на польском сайте прогу для открытия .pde (он чист)
https://www.virustotal.com/#/file/7c48ca3c1d1be6ce493fba454e5c1602264bf70656421d34860be09645ecd0a0/detection

в логах его не видно, так что удалите вручную.

Удалил вручную.
И отправил на ZOO на почту

[regist]

 

 

Где прописывали?

прокси в настройках IE, но он похоже отключён.

 

 

что с проблемой?

[Gramm]

 

Где прописывали?

прокси в настройках IE, но он похоже отключён.

 

 

что с проблемой?

 

Вроде все нормально. Куда можно скинуть архив, я подозреваю что из-за него залезли эти adobe.exe и system.exe, хочу чтобы подтвердили

Изменено 19 июня, 2018 пользователем Gramm