Скрытый майнер с защитником

[Кирилл Иневатов]

Обнаружил несколько процессов svchost.exe, которые запущены от пользователя. При попытке скачать AVZ или перейти на сайт касперского, моментально закрывает браузер один из процессов. При выключенном процессе-защитнике можно делать что угодно. В автозагрузке нет ничего подозрительного. У меня на компьютере стоит свой майнер, но после его выключения, заново он не включится и не будет майнить на других людей. Прилагаю логи AutoLogger.exe

К тому же, заметил на компьютере одну вещь, что иногда браузер сам по себе открывается и запускает рандомный сайт с рекламой, при включенном происходит то же самое.

Изменено 21 августа, 2018 пользователем Кирилл Иневатов

[regist]

 

 

Прилагаю логи AutoLogger.exe

видно забыли нажать прикрепить.

 

 

У меня на компьютере стоит свой майнер

желательно укажите в какой папке он у вас стоит.

[Кирилл Иневатов]

 

Прилагаю логи AutoLogger.exe

видно забыли нажать прикрепить.

 

 

У меня на компьютере стоит свой майнер

желательно укажите в какой папке он у вас стоит.

 

Логи прикрепил, не знаю, почему в тот раз не получилось.

Папки с майнером:

C:\Users\Малой\AppData\Local\Kryptex

C:\Users\Малой\AppData\Roaming\Kryptex

CollectionLog-2018.08.21-16.08.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Малой\AppData\Local\UpdaterProBrowser\UpdaterProBrowser.exe','');
 QuarantineFile('C:\Windows\SysWOW64\AsQnAEITmY.exe','');
 QuarantineFile('C:\Windows\SysWOW64\TGYoVFKBpyU.exe','');
 QuarantineFile('C:\Users\Малой\AppData\Roaming\SpeedSurf-client\speedsurf.exe','');
 QuarantineFile('C:\Users\Малой\AppData\Roaming\Sysfiles\Driver.exe','');
 QuarantineFile('C:\Users\Малой\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AudioDriver.url','');
 QuarantineFile('C:\Users\Малой\AppData\Local\Kryptex\app-2.6.1\Kryptex.exe','');
 QuarantineFile('E:\Money\WEBISIDA\Webisida.Browser.exe','');
 QuarantineFile('C:\Program Files\inteldriverpack\intel.exe','');
 DeleteFile('C:\Program Files\inteldriverpack\intel.exe','64');
 DeleteFile('E:\Money\WEBISIDA\Webisida.Browser.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WebisidaSecureSurf');
 DeleteFile('C:\Users\Малой\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AudioDriver.url','64');
 DeleteFile('C:\Windows\SysWOW64\TGYoVFKBpyU.exe','64');
 DeleteFile('C:\Windows\SysWOW64\AsQnAEITmY.exe','64');
 DeleteFile('C:\Windows\system32\Tasks\{C9E61B28-BEEB-A8EF-9B35-479590EC2474}','x64');
 DeleteFile('C:\Windows\system32\Tasks\{66C4AB69-D39D-AA58-32AF-128EA24F0BB0}','x64');
 DeleteFile('C:\Windows\system32\Tasks\{16C35034-2999-D374-A49A-CE2DC61C8DFF}','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Изменено 21 августа, 2018 пользователем regist

[Кирилл Иневатов]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Малой\AppData\Local\UpdaterProBrowser\UpdaterProBrowser.exe','');
 QuarantineFile('C:\Windows\SysWOW64\AsQnAEITmY.exe','');
 QuarantineFile('C:\Windows\SysWOW64\TGYoVFKBpyU.exe','');
 QuarantineFile('C:\Users\Малой\AppData\Roaming\SpeedSurf-client\speedsurf.exe','');
 QuarantineFile('C:\Users\Малой\AppData\Roaming\Sysfiles\Driver.exe','');
 QuarantineFile('C:\Users\Малой\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AudioDriver.url','');
 QuarantineFile('C:\Users\Малой\AppData\Local\Kryptex\app-2.6.1\Kryptex.exe','');
 QuarantineFile('E:\Money\WEBISIDA\Webisida.Browser.exe','');
 QuarantineFile('C:\Program Files\inteldriverpack\intel.exe','');
 DeleteFile('C:\Program Files\inteldriverpack\intel.exe','64');
 DeleteFile('E:\Money\WEBISIDA\Webisida.Browser.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WebisidaSecureSurf');
 DeleteFile('C:\Users\Малой\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AudioDriver.url','64');
 DeleteFile('C:\Windows\SysWOW64\TGYoVFKBpyU.exe','64');
 DeleteFile('C:\Windows\SysWOW64\AsQnAEITmY.exe','64');
 DeleteFile('C:\Windows\system32\Tasks\{C9E61B28-BEEB-A8EF-9B35-479590EC2474}','x64');
 DeleteFile('C:\Windows\system32\Tasks\{66C4AB69-D39D-AA58-32AF-128EA24F0BB0}','x64');
 DeleteFile('C:\Windows\system32\Tasks\{16C35034-2999-D374-A49A-CE2DC61C8DFF}','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Результат загрузки Файл сохранён как 180821_200305_quarantine_5b7c6ff957167.zip Размер файла 9335885 MD5 0ac62163c88a7d3074bbd90e95fd45fe Файл закачан, спасибо!

Прикрепляю новые логи

CollectionLog-2018.08.22-01.06.zip

[thyrex]

1. Я правильно понимаю, что C:\Users\Малой\AppData\Local\Kryptex\app-2.6.1\Kryptex.exe - нужный Вам майнер и его нельзя удалять?

 

2. Выложите ссылку на скриншот содержимого вашей Панели управления.

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Кирилл Иневатов]

1. Я правильно понимаю, что C:\Users\Малой\AppData\Local\Kryptex\app-2.6.1\Kryptex.exe - нужный Вам майнер и его нельзя удалять?

 

2. Выложите ссылку на скриншот содержимого вашей Панели управления.

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

Майнер Kryptex нужен мне, да, а вот скрытый не очень 

Ссылка на панель управления - http://prntscr.com/kldj3i/ http://prntscr.com/kldkd5

Logs.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Program Files\inteldriverpack\intel.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
OPR Extension: (ScriptMonkey) - C:\Users\Малой\AppData\Roaming\Opera Software\Opera Stable\Extensions\lblbnlfhhblmfconjalikamamlgoobbe [2018-08-21]
2018-08-04 18:04 - 2018-08-04 18:04 - 000000000 ____D C:\Users\Малой\AppData\Roaming\Sysfiles
2018-08-04 18:04 - 2018-08-04 18:04 - 000000000 ____D C:\Users\Малой\AppData\Roaming\1337
2018-08-21 02:53 - 2018-08-21 02:53 - 000263168 _____ () C:\Users\Малой\AppData\Local\Temp\aqowar642z6gjj5.exe
2018-08-21 02:54 - 2018-08-21 02:54 - 000308736 _____ () C:\Users\Малой\AppData\Local\Temp\brz43jwxf8ht47x.exe
2018-08-21 02:39 - 2018-08-21 02:39 - 000152064 _____ () C:\Users\Малой\AppData\Local\Temp\d3v17lcbjve4nbh.exe
2018-08-21 02:55 - 2018-08-21 02:55 - 000263168 _____ () C:\Users\Малой\AppData\Local\Temp\fid3n12bffpxc1u.exe
2018-08-21 02:20 - 2018-08-21 02:20 - 001049656 _____ () C:\Users\Малой\AppData\Local\Temp\nbb_uyr.exe
FirewallRules: [{6A883132-D11B-4EFC-89EC-2A1D1FBDA3E5}] => (Allow) C:\Windows\SysWOW64\AsQnAEITmY.exe
FirewallRules: [{4E0BC902-8D8A-4902-ABF4-7DF38AFAA402}] => (Allow) C:\Windows\SysWOW64\TGYoVFKBpyU.exe
MSCONFIG\startupreg: speedsurf => C:\Users\Малой\AppData\Roaming\SpeedSurf-client\speedsurf.exe -up
Task: {84DA0C6F-112C-42DF-9A8C-E0CA59E7FB95} - System32\Tasks\UpdaterProBrowser => C:\Users\Малой\AppData\Local\UpdaterProBrowser\UpdaterProBrowser.exe [2018-08-02] () <==== ATTENTION
Task: {9FDF397C-9BBD-4EFF-9BB0-9A6ED44F70CE} - \{66C4AB69-D39D-AA58-32AF-128EA24F0BB0} -> No File <==== ATTENTION
Task: {A8980CD9-23B5-434D-A300-2E45EB4E2F26} - \4d2c2ecf-315c-573f-352d42e93e948951 -> No File <==== ATTENTION
Task: {413C5B53-AF39-4B24-83F0-2D3C625C5271} - \{C9E61B28-BEEB-A8EF-9B35-479590EC2474} -> No File <==== ATTENTION
Task: {2C77EBD1-09B7-48FD-B537-3C3547D14D56} - \{16C35034-2999-D374-A49A-CE2DC61C8DFF} -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Кирилл Иневатов]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Program Files\inteldriverpack\intel.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
OPR Extension: (ScriptMonkey) - C:\Users\Малой\AppData\Roaming\Opera Software\Opera Stable\Extensions\lblbnlfhhblmfconjalikamamlgoobbe [2018-08-21]
2018-08-04 18:04 - 2018-08-04 18:04 - 000000000 ____D C:\Users\Малой\AppData\Roaming\Sysfiles
2018-08-04 18:04 - 2018-08-04 18:04 - 000000000 ____D C:\Users\Малой\AppData\Roaming\1337
2018-08-21 02:53 - 2018-08-21 02:53 - 000263168 _____ () C:\Users\Малой\AppData\Local\Temp\aqowar642z6gjj5.exe
2018-08-21 02:54 - 2018-08-21 02:54 - 000308736 _____ () C:\Users\Малой\AppData\Local\Temp\brz43jwxf8ht47x.exe
2018-08-21 02:39 - 2018-08-21 02:39 - 000152064 _____ () C:\Users\Малой\AppData\Local\Temp\d3v17lcbjve4nbh.exe
2018-08-21 02:55 - 2018-08-21 02:55 - 000263168 _____ () C:\Users\Малой\AppData\Local\Temp\fid3n12bffpxc1u.exe
2018-08-21 02:20 - 2018-08-21 02:20 - 001049656 _____ () C:\Users\Малой\AppData\Local\Temp\nbb_uyr.exe
FirewallRules: [{6A883132-D11B-4EFC-89EC-2A1D1FBDA3E5}] => (Allow) C:\Windows\SysWOW64\AsQnAEITmY.exe
FirewallRules: [{4E0BC902-8D8A-4902-ABF4-7DF38AFAA402}] => (Allow) C:\Windows\SysWOW64\TGYoVFKBpyU.exe
MSCONFIG\startupreg: speedsurf => C:\Users\Малой\AppData\Roaming\SpeedSurf-client\speedsurf.exe -up
Task: {84DA0C6F-112C-42DF-9A8C-E0CA59E7FB95} - System32\Tasks\UpdaterProBrowser => C:\Users\Малой\AppData\Local\UpdaterProBrowser\UpdaterProBrowser.exe [2018-08-02] () <==== ATTENTION
Task: {9FDF397C-9BBD-4EFF-9BB0-9A6ED44F70CE} - \{66C4AB69-D39D-AA58-32AF-128EA24F0BB0} -> No File <==== ATTENTION
Task: {A8980CD9-23B5-434D-A300-2E45EB4E2F26} - \4d2c2ecf-315c-573f-352d42e93e948951 -> No File <==== ATTENTION
Task: {413C5B53-AF39-4B24-83F0-2D3C625C5271} - \{C9E61B28-BEEB-A8EF-9B35-479590EC2474} -> No File <==== ATTENTION
Task: {2C77EBD1-09B7-48FD-B537-3C3547D14D56} - \{16C35034-2999-D374-A49A-CE2DC61C8DFF} -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Fixlog.txt

[thyrex]

Отвечайте, пожалуйста, без полного цитирования выдаваемых Вам рекомендаций.

 

Сделайте лог МВАМ

[Кирилл Иневатов]

Прикрепляю логи MBAM

logs.txt

[thyrex]

E:\MONEY\PROXYWEB\PROXYWEB.EXE тоже не трогаем?

[Кирилл Иневатов]

Да

[thyrex]

Ну тогда отметьте в МВАМ все записи, не относящиеся к Kryptex, PROXYWEB и DriverPack Cloud (если тоже нужен), и поместите их в карантин