Подозрение на скрытый майнер

[Artem017 0]

Всем доброго дня, уважаемые форумчане!

Дабы не плодить новую тему, напишу здесь, ибо есть подозрение на скрытый майнер на моём ПК.

Итак, компьютер рабочий, офисный, подключен к доменной сети. ОС Windows 7 Pro SP1.

Первое подозрение - в простое процессор нагружается на 50-55% (показывает гаджет, отображающий нагрузку на каждое ядро ЦП) - раньше этого не было.

Подозрение второе - при вызове Диспетчера задач (а также аналогичных ему, типа Process Explorer, AnVir) нагрузка моментально спадает и процесс не отследить. При последующем простое минут 10-15 и при открытом Диспетчере Задач (и ему подобных), данные приложения автоматически закрываются (чего быть не должно) и нагрузка на ЦП снова возрастает. Путём выжидания, всё же удалось засечь процесс, запускаемый автоматически перед закрытием всех этих приложений - некий RB_1.4.12.11.exe. Вот скриншоты:

 

При этом лишь AnVir показал путь к этому файлу: C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\RB_1.4.12.11.exe. Доступа к папке \S-1-89-81\ нет.

Проверка Kaspersky Free, Kaspersky Virus Removal Tool, а также dr. Web CureIt никаких результатов не принесли. Как быть? Прошу помощи.

Дополню: на первом скриншоте в стандартном Диспетчере Задач одновременно с появлением процесса RB_1.4.12.11.exe, также запустился процесс TiWorker.exe. Возможно, что между ними есть какая-то связь. Читал в интернете, что этот файл вроде как отвечает за установку обновлений, но обновления на компьютере отключены и в данный момент никаких обновлений не производилось.

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы

[Mark D. Pearlstone 1 704]

Порядок оформления запроса о помощи

[Artem017 0]

Вот, проверил AVZ

CollectionLog-2018.10.04-08.32.zip

[Sandor 1 249]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\sheglova\AppData\Roaming\Dorrible\Ribble\d.exe', '');
 DeleteFile('C:\Users\sheglova\AppData\Roaming\Dorrible\Ribble\d.exe', '64');
 DeleteSchedulerTask('Ribble');
 DeleteSchedulerTask('{61E77627-11C0-4AC0-93EB-B6A30BA5A38D}');
 DeleteSchedulerTask('{C2344B98-72F6-498B-A1D6-460A8B751DC7}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Artem017 0]

Добрый день. Скрипт выполнен. Файл quarantine.zip из папки AVZ отправлен: KLAN-8856868656

CollectionLog-2018.10.04-15.59.zip

[regist 617]

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN).

а вы только номер KLAN указали.

[Artem017 0]

Упс, извиняюсь, поторопился  .

Ответ таков:

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[regist 617]

Из предыдущего вашего поста не даёт скачать логи. Можете прикрепить их ещё раз?

[Mark D. Pearlstone 1 704]

@regist, исправил.

[Sandor 1 249]

@Artem017, что сейчас с проблемой?

[Artem017 0]

@Sandor, Всё тоже самое - в простое процессор грузится на 50-55%.

Изменено 4 октября, 2018 пользователем Artem017

[regist 617]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Artem017 0]

@regist, пардон, я видимо снова поторопился с выводами: после перезагрузки компьютера и запуска стандартного Диспетчера задач, процесс RB_1.4.12.11.exe стал в нём виден сразу же. Причём при нажатии в контекстном меню строчки "Открыть место хранения файла", ничего не происходит, так "адрес" пуст. Сейчас запустил полную проверку Kaspersky Free. При этом Диспетчер снова сам закрылся, но и папки C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\RB_1.4.12.11.exe уже нет. Видимо она уже удалена в результате предыдущих действий?

 

Дополнение: полная проверка Kaspersky Free снова ничего не дала. Мало того, после перезагрузки ситуация повторилась: открытый Диспетчер Задач самостоятельно закрылся, а перед закрытием снова появились процессы RB_1.4.12.11.exe и TiWorker.exe. Нагрузка на ЦП снова возросла.

 

Выполнил операции из вашего предыдущего поста:

 

После проверки AutorunsVTchecker нагрузки на ЦП нет - в простое показывает нагрузку 1-6%.

URAN-289_2018-10-04_19-22-28_v4.0.21.7z

Изменено 4 октября, 2018 пользователем Artem017

[regist 617]

C:\WINDOWS\DWRCS\DWRCST.EXE

not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen - это ваше?

7-Zip 9.20, Java 7 Update 17, Java 6 Update 29 - это устаревшие версии. Деинсталируйте их.

Unity Web Player - если сами не ставили, то тоже.

+

1) в этой папке, что у вас?

 

C:\MB2010\BIN

В реестре есть обращения на файлы  в этой папке, но при этом ни одного файла прописанного в реестре в ней не вижу.

 

2)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
   
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
   
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    

   ;uVS v4.0.21 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\VIBER\VIBER.EXE
   delref %SystemDrive%\USERS\BUKIN\APPDATA\LOCAL\VIBER\VIBER.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\7-ZIP\7-ZIP.DLL
   zoo %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS WORKSTATIONS MP4\X64\MCOUAS.DLL
   delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS WORKSTATIONS MP4\X64\MCOUAS.DLL
   delref HTTP://WWW.MAIL.RU/CNT/8305
   delref {A8B34163-8D4D-4120-ABD9-32A919CBE032}\[CLSID]
   delref {A662DA7E-CCB7-4743-B71A-D817F6D575DF}\[CLSID]
   delref {A0651028-BA7A-4D71-877F-12E0175A5806}\[CLSID]
   delref {69BD6A6D-F788-4A34-BAE9-76AB5F69EF9D}\[CLSID]
   delref {6BF14DD2-03C5-4D37-88A2-0BD890D3F522}\[CLSID]
   delref {70937038-46EA-4516-B5E8-4F20897AA60A}\[CLSID]
   delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
   delref {9E475432-4903-435E-A867-8DD97069E9D9}\[CLSID]
   delref {AE653072-1A0E-470D-B48E-ACDA378DE655}\[CLSID]
   delref {BBC9E769-CBDC-4738-B967-8BB4A0554611}\[CLSID]
   delref {C62A4A3E-9FE3-43E3-AC7C-EB73C65EEE00}\[CLSID]
   delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
   delref {CAFEEFAC-DEC7-0000-0001-ABCDEFFEDCBA}\[CLSID]
   delref {D9806E4E-82CE-4A75-83D0-A062EC605349}\[CLSID]
   delref {2EBF0673-8DC5-49F3-9251-5C72A4DD1A34}\[CLSID]
   delref {3F34437D-AFAC-4E17-B02C-D771E82441E0}\[CLSID]
   delref {2C58173F-BD58-4758-B78B-9E1D698937EF}\[CLSID]
   delref {2B7DE2B4-D0FE-45B7-AE3C-8FBC631AFF7B}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {1A69C109-5E65-4AD7-80BB-026EBB8C0972}\[CLSID]
   delref {424BE3CD-34AB-4F51-9C57-4341166DC8FA}\[CLSID]
   delref {42DA4263-6D54-4540-B3EC-6F7DD02AB426}\[CLSID]
   delref {715941D4-1AC2-4545-8185-BC40E053B551}\[CLSID]
   delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
   delref {75E513A9-6C41-4C91-BAA6-81E593FAAC10}\[CLSID]
   delref {611B6CB4-ACE6-4655-8D60-15FAC4AD0952}\[CLSID]
   delref {90BB2000-1BA4-4D88-45BC-5734E453A8EF}\[CLSID]
   delref {8AC780E1-BCDB-4816-A6EA-A88BCC064453}\[CLSID]
   delref {539E5890-0191-441C-997B-2D112808ACEC}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
   delref {E55DC989-FEE1-4A91-B539-5ED6B44F374A}\[CLSID]
   delref {F30B44B4-3E4A-4EF2-B763-880FE746929F}\[CLSID]
   delref {F26E13C5-F48E-48BF-9219-83DCE50D99FC}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {985F3CF7-D62F-46B2-8C48-5DF939FDA479}\[CLSID]
   delref {FB5C8867-34C9-43B3-9A03-4A8C37F59B24}\[CLSID]
   delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
   apply
   
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\WSDETECT.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE6\BIN\JP2IEXP.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
   delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_121\BIN\WSDETECT.DLL
   delref D:\DOWNLOADS\COLORNETWORKSCANGEAR-V271_WIN_UK_EN\DRIVER\SETUP.EXE
   delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
   delref %SystemDrive%\USERS\FILIPPOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
   delref %SystemDrive%\USERS\BUKIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
   delref %SystemDrive%\USERS\SAVELJEV\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
   delref %SystemDrive%\PROGRA~2\COMMON~1\MI
   delref %SystemDrive%\PROGRAM FILES (X86)\SKYPE\PHONE\SKYPE.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\ANVIR TASK MANAGER\ANVIRLAUNCHER.EXE
   delref %SystemDrive%\USERS\DROZDOV\APPDATA\LOCAL\TEMP\HYD5B4A.TMP.1486744121\HTA\3RDPARTY\FS.OCX
   zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\KWTP.DLL
   delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\KWTP.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\QIPGUARD\QIPGUARD.EXE
   delref D:\LAUNCH.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\EPU-4 ENGINE\FOURENGINE.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\VTUNE\TBPANEL.EXE
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
   
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

   
   

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

3) Проверьте в Центре обновления Windows - все обновления установлены? Нет ожидающих установки?

[Artem017 0]

not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen - это ваше?

Наше    - дабы админам не бегать по кабинетам, некоторые вопросы решают удалённо. DameWare устанавливался осознанно.

7-Zip 9.20, Java 7 Update 17, Java™ 6 Update 29 - это устаревшие версии. Деинсталируйте их.

По поводу "7-Zip 9.20" - стоит версия 16.04. Или я не туда смотрю? Всё равно удалить?

Вышеупомянутых "Java 7 Update 17", "Java™ 6 Update 29" вообще в этом списке нет. Или где-то ручками нужно удалить?

 

Unity Web Player - ставил сам, но всё же удалил ради эксперимента.

 

Папку C:\MB2010\BIN вообще в упор не вижу. Может быть снова не туда смотрю?

 

 

 

Проверьте в Центре обновления Windows - все обновления установлены? Нет ожидающих установки?

Обновления на данном компьютере отключены админами. Причину не знаю. Самостоятельно не включаю - ввиду малого объёма SSD диска, дабы места в обрез. В принципе включить могу, так как права есть, но может быть установить только критические обновления?

Изменено 5 октября, 2018 пользователем Artem017