Два вируса trojan win32.miner

[Роман Стасюк]

Активирус Кашперского постоянно находит два вирусаtrojan win32.miner. Требует перезагрузку компьютера для удаления вирусов, после перезагрузки снова их находит.

 

Пробовал также лечить с помощью Kaspersky Virus Removal Tool 2015, не помогло.

 

Файл с логом прилагаю.

[kmscom]

 

 

Файл с логом прилагаю.

еще раз приложите. первая попытка неудачна

[Роман Стасюк]

Прилагаю файл с логом.

CollectionLog-2018.08.25-02.27.zip

[regist]

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

[Роман Стасюк]

Вкладываю ссылку полученную после загрузки карантина https://virusinfo.info/virusdetector/upload.php

 

Прилагаю файл лога к сообщению.

Повторно  высылаю ссылку полученную после загрузки карантина.

 

 https://virusinfo.info/virusdetector/upload.php

В общем вот ссылка на результаты анализа карантина 

 

https://www.virusinfo.info/virusdetector/report.php?md5=D4078755CC6E682A455A243079BAE95E

ZELOS12_2018-08-25_22-46-41.7z

[regist]

 

Extension afkpfjljjhhonjehpkmgonimjjgaheap 0 MusVK - Плеер ВКонтакте 6.5.1

Extension agdhembpgcpfegeigidembjopfhghnpj 1 Sudoku 1.2.0.2

Extension ahfgeienlihckogmohjhadlkjgocpleb 1 Интернет-магазин Chrome 0.2

Extension aneocnaidpcnglaifdknecamllkdfngj 0 Elvenar 1.0.4

Extension bgnkhhnnamicmpeenaelnjfhikgbkllg 0 AdGuard Антибаннер 2.9.2

Extension blakpkgjpemejpbmfiglncklihnhjkij 1 Звонки Skype 0.0.0.26

Extension cfhdojbkjhnklbpkdaibdccddilifddb 0 Adblock Plus 3.2

Extension eogmadihniohlnmipdhchaoagjhfnohc 1 Mahjong Solitaire 1.56

Extension gfdkimpbcpahaombhbimeihdjnejgicl 1 Feedback 1.0

Extension ggdljnjjajocmjaldkldaapkkclbaclb 0 Goodgame Empire 10

Extension gighmmpiobklfepjocnamgkkbiglidom 1 AdBlock 3.32.1

Extension gpdjojdkbbmdfjfahjcgigfpmkopogic 0 Кнопка Pinterest «Сохранить» 3.0.98

Extension ibmlkgieigeddcedpbijnpojheoddido 0 Arcane Legends 1.5.5.3

Extension jmkhcdngpkacgjkmpnkhbocdemapfhhl 0 Aviasales — поиск авиабилетов 2.0.11

Extension kmendfapggjehodndflmmgagdbamhnfd 1 CryptoTokenExtension 0.9.73

Extension mchjnmdbdlkdbfliogedbnpnanfjnolk 1 Kaspersky Protection 5.1.93.0

Extension mdnmhbnbebabimcjggckeoibchhckemm 0 friGate Light 2.53

Extension mfehgcgbbipciphmccgaenjidiccnmng 1 Cloud Print 0.1

Extension mhjfbmdgcfjbbpaeojofohoefgiehjai 1 Chrome PDF Viewer 1

Extension mkelkmkgljeohnaeehnnkmdpocfmkmmf 1 FastProxy - обход блокировки сайтов 5.0.4

Extension neajdppkdcdipfabeoofebfddakdcjhd 1 Google Network Speech 1.0

Extension neojceinbonpjjcokpokpeobkhcpiloc 1 Mahjong Solitaire 1.0.1.0

Extension nkeimhogjdpnpccoofpliimaahmaaome 1 Google Hangouts 1.3.8

Extension nlbejmccbhkncgokjcmghpfloaajcffj 0 Бесплатный прокси-сервер VPN Hotspot Shield — разблокировка сайтов 3.4.5

Extension nmmhkkegccagdldgiimedpiccmgmieda 1 Платежная система Интернет-магазина Chrome 1.0.0.4

Extension ojagfgibjiofppmilfbgmipfelkhcccn 1 Free Residential VPN | Tuxler 1.2.4

Extension pfmgfdlgomnbgkofeojodiodmgpgmkac 1 Экономия трафика 2.0.2

Extension pnhflmgomffaphmnbcogleagmloijbkd 1 uBlock Adblocker Plus 2.3.3

Эти рассширения все сами ставили?

[Роман Стасюк]

Думаю не все, но не уверен.

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.14 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %SystemRoot%\SYSTEMNODE\0.0.2.2\SYSNODE.EXE
   dirzooex %SystemRoot%\SYSTEMNODE
   zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\CHROME_BITS_3584_7499\4651_ALL_CRL-SET-17496874365648334183.DATA.CRX3
   delall %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\CHROME_BITS_3584_7499\4651_ALL_CRL-SET-17496874365648334183.DATA.CRX3
   bl 6933B643FEC3617CE5D5CC4F566A845F 3660288
   zoo %SystemRoot%\TEMP\OLD-MOONLIGHT.DLL
   delall %SystemRoot%\TEMP\OLD-MOONLIGHT.DLL
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref HTTP://MAIL.RU/CNT/10445?GP=821268
   apply
   
   czoo
   restart 

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте отправьте по адресу newvirus@kaspersky.com.
8. Полученный ответ сообщите здесь (с указанием номера KLAN)

Думаю не все, но не уверен.

зайдите в управление рассширениями и удалите незнакомые.

 

Сделайте свежий лог uVS.

[Роман Стасюк]

Свежий лог прилагаю.

ZELOS12_2018-08-26_01-02-56.7z

Изменено 25 августа, 2018 пользователем Роман Стасюк

[regist]

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

не сделали, жду.

 

и провреьте, что с проблемой?

[Роман Стасюк]

Высылаю присланный ответ по почте:

 

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
4651_ALL_CRL-SET-17496874365648334183.DATA.CRX3.---.txt
OLD-MOONLIGHT.DLL._41F927B149DE17F09524CAC105D7C576CA4A7C2B.txt
SYSNODE.EXE._9A6EC281AA1C499707C1812B6E07E8236F5BF6BF
SYSNODE.EXE._9A6EC281AA1C499707C1812B6E07E8236F5BF6BF.txt

В следующих файлах обнаружен вредоносный код:
OLD-MOONLIGHT.DLL._41F927B149DE17F09524CAC105D7C576CA4A7C2B - Trojan.Win32.Miner.uobj

 

 

Проблема сохранилась

[regist]

Содержимое этой папки вам знакомо?

C:\Windows\SYSTEMNODE\

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

[Роман Стасюк]

С содержимым папки по адресу C:\Windows\SYSTEMNODE\ незнаком.

 

Прилагаю файл с результатами скана.

Scan.txt

[regist]

1) Навсякий случай сделайте точку восстановления.

2) Удалите всё найденное в MBAM.

3) Проверьте проблему.

[Роман Стасюк]

Выполнил ваши указания, проблема осталась.