подозрение на mirai

[abonchak]

Прогнал скрипт. Выдал, что нужно обновить Microsoft Silverlight и акробат ридер. Включил UAC.

Еще прогнал папку виндовс Microsoft Safety Scanner. В принципе он достаточно хорошо поработал и сделал то, что и вы мне говорили. В логе его увидел(приложу на всякий случай).

Амиадмин это моё.

 

Пока на удивление тихо. Понаблюдаю.

Хм, даже касперский установился.

avz_log.txt

msert.log

Изменено 20 августа, 2018 пользователем abonchak

[abonchak]

Проблема не решилась. Вирус снова себя выкачал, угробил касперского и нормально поживает.

[regist]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

[abonchak]

лог

SERVER_2018-08-22_08-21-16.7z

[regist]

 

 

Амиадмин это моё.

а

C:\WINDOWS\SYSWOW64\RSERVER30\RSERVER3.EXE

?

Точней: Radmin Server 3.4, Radmin Viewer 3.5, Remote Administrator v2.2, TeamViewer 13, TeamViewer 8.0.22298 - это все ваши?

 

 

даже касперский установился.

Если у вас стоит касперский, то для чего стоит TNod User & Password Finder? Удалите его тогда. И в логе у вас вообще не заметил никакого антивируса. Он у вас стоит?

И если бы касперский стоял, то он этот вирус должен был видеть и удалить.

 

А также удалите остатки от ESET FILE SECURITY https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.14 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   bl 06E94BB4A3DB98858AAB1353DC7F39AA 5080576
   zoo %SystemRoot%\SYSTEM\MSINFO.EXE
   delall %SystemRoot%\SYSTEM\MSINFO.EXE
   delref %SystemDrive%\USERS\АДМИНИСТРАТОР\\APPDATA\ROAMING\MICROSOFT\INSTALLER\{ACBDE01D-DBF1-4075-9128-DA553EAD0869}\_C5AB5FF6161C836198EA06.EXE
   delref %SystemDrive%\USERS\АДМИНИСТРАТОР\\APPDATA\ROAMING\MICROSOFT\INSTALLER\{ACBDE01D-DBF1-4075-9128-DA553EAD0869}\_D79F07499C3C9EE4F5ADBD.EXE
   delref MFETDI2K\[SERVICE]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   bl CF0A84238240EB47FAD9E72A0510BEF8 1269
   zoo %SystemRoot%\SYSTEM\MY1.BAT
   delall %SystemRoot%\SYSTEM\MY1.BAT
   delref I:\DRIVERPACKSOLUTION.EXE
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

затем свежий лог uVS.

[abonchak]

Радмин, тимвьювер и т.д. это все моё.

Касперский установился, но после перезагрузки, за выходные он его снова угробил. Антивирус не функционировал вообще никак! Удалил я его в надежде, что ESET установится и чем-то поможет. Но при установке, как и касперский блокируется запуск экзешника антивируса и он  откатывается назад. Поэтому в логах и нет антивируса, его невозможно установить.

Касперский видел некоторые файлы этого вируса и удалял сначала, пока сам не сдулся. Но он не решал проблему в корне. Через минут 20 или час вирус снова восстанавливался.

 

ESET остатки пока не удалял, что-то мне не нравится как эта утилита гробит сетевые подключения.

 

Каким-то образом постоянно восстанавливаются c:\Windows\Temp\v.exe(это касперский не видел изначально!) и c:\Windows\Temp\conhost.exe(изначально этого файла не было, появился позже)

 

Название архива ZOO_2018-08-23_08-37-05 (из формы после отправки, не смог скопировать полное название).

 

лог приложил

 

SERVER_2018-08-23_09-08-26.7z

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.14 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   bl 2DEC082634F834079988680B21283972 1499648
   zoo %SystemRoot%\TEMP\CONHOST.EXE
   delall %SystemRoot%\TEMP\CONHOST.EXE
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте по адресу newvirus@kaspersky.com
   Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Обновления безопасности в системе все стоят? В частности этот апдейт установлен?

 

 

c:\Windows\Temp\v.exe

Заархивируйте в zip архив с паролем virus и закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.

 

Попробуйте снова установить антивирус.

 

[abonchak]

Обновления безопасности стоят.

 

После перезагрузки CONHOST.EXE восстановился и запустился.

 

Re: [KLAN-8600558726]

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
CONHOST.EXE._9D305DB2466AB0ACF84F35DF48BECF6098277F57 - UDS:DangerousObject.Multi.Generic

В антивирусных базах информация по присланным вами файлам отсутствует:
CONHOST.EXE._9D305DB2466AB0ACF84F35DF48BECF6098277F57.txt

 

Антивирус не устанавливается. Все файлы вируса остались на местах в своих папках.

Изменено 24 августа, 2018 пользователем regist
удалил ссылку на вирус

[regist]

Присланный вами файл детектируется и Nod-ом и Касперским https://www.virustotal.com/ru/file/197639bdcc3d53f7767d9235ff2c7c269f44a7424019154288007ddeb48f8085/analysis/

 

 

Обновления безопасности стоят.

Все? Всё равно скачайте и попробуйте вручную установить заплатку из шапки той темы. Если он стоит, то просто выдаст ошибку, что уже установлен - если не стоит, то будет залатана дыра через которую скорее всего этот вирус заново пролазиет.

 

SMB v.1 хотя бы временно желательно отключить.

 

 

Антивирус не устанавливается.

попробуйте просканировать сначала с помощью https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool

А потом снова поставить антивирус.

[abonchak]

Заплатку проверил: стояла и стоит. KVRT не справляется, в принципе видит, удаляет, но после перезагрузки первым делом откуда-то вылазит конхост, затем остальное(в данном случае майнер). Антивирус все так же не дает поставить.

 

 

SMB v.1 хотя бы временно желательно отключить.

чем грозит отключение и для чего это нужно?

[regist]

 

для чего это нужно?

для того чтобы быть уверенным, что у вас зараза не пролезет заново через эту дыру.

[abonchak]

 

 

для чего это нужно?

для того чтобы быть уверенным, что у вас зараза не пролезет заново через эту дыру.

 

Хорошо. А как это сделать? Полистал интернет, сложно написано. В реестре таких записей не нашел(где нужно отключать).

[regist]

1) На всякий случай скачайте свежий KVRT и ещё раз проверьте.

2) Скачайте свежую версию uVS и сделайте свежий лог.

3)

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

Подробную инструкцию читайте в руководстве.
 

[abonchak]

Я тут устанавил Malwarebytes. Выяснилось что Конхост из папки темп ломится в интернет через Winlogon.exe. Malwarebytes это дело блокирует и после перезагрузки появляется только Конхост. Выяснить бы откуда он еще появляется.

[regist]

@abonchak, выполняйте, что написано выше.

 

 

Я тут устанавил Malwarebytes.

лучше бы хоть триального касперского поставили. Не пришлось бы тогда постоянно долечивать с помощью KVRT. На данный момент антивируса как понимаю ни одного нет?

И установленный касперский возможно полностью пролечил бы систему.