Подозрение на скрытый майнер

[regist 592]

По поводу "7-Zip 9.20" - стоит версия 16.04. Или я не туда смотрю? Всё равно удалить?

у вас стоят обе версии

7-Zip 16.04 (x64) [2017/02/10 12:49:23]-->C:\Program Files\7-Zip\Uninstall.exe
7-Zip 9.20 [20120615]-->MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000}

вот старую и предлагаю удалить. Раз не видите в списке установленных, то попробуйте с командной строки

MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000}

Вышеупомянутых "Java 7 Update 17", "Java™ 6 Update 29" вообще в этом списке нет. Или где-то ручками нужно удалить?

вообще должны быть видны

Java 7 Update 17 [20130306]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
Java(TM) 6 Update 29 [20110315]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF}

Но раз не получается, то пробуйте по инструкции https://www.java.com/ru/download/uninstalltool.jsp

 

Unity Web Player - ставил сам, но всё же удалил ради эксперимента.

раз сами, то можно было не удалять. Просто программа часто ставится в составе разных бандлов без ведома пользователя.

 

 

Папку C:\MB2010\BIN вообще в упор не вижу. Может быть снова не туда смотрю?

значит просто хвосты в реестре и тоже можно зачистить как мусор.

 

 

Заодно посмотрите, а папка

C:\PROGRAM FILES (X86)\NORMCAD\

есть или на неё тоже только хвосты в реестре?

[Artem017 0]

Пардон за долгое молчание. Стал чистить реестр, а заодно и многое из программ по-удалял. Некоторые программы стали ругаться. Тот же Kaspersky Free начал жаловаться на отсутствие Framework 4.0. Долго возился с восстановлением этим фреймворков - куча версий. Вобщем, почти весь день убил, чтобы восстановить работу программ... 

 

По теме: выполнение операции MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000} из командной строки ни к чему ни привело:

То же было и с выполнением: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}

 

Утилита Java Uninstall Tool тоже ничего не удалила - программ Java не было. Помнится, я их уже давно самостоятельно удалял, это просто видимо хвосты в реестре остались. Чистил реестр CCleaner`ом. Там также обнаружилась ветка C:\MB2010\BIN:

 

Папка C:\PROGRAM FILES (X86)\NORMCAD\ осталась ещё от предыдущего пользователя - это был вроде какой-то сетевой справочник. Раньше пользовались, а сейчас его уже не поддерживают. Папку NormCAD удалил.

 

Также загрузил несколько обновлений. Критических среди них вроде не было. Основная масса предлагаемых к загрузке - это обновления для MS Office.

Изменено 5 октября, 2018 пользователем Artem017

[regist 592]

Сделайте свежий лог uVS.

[Artem017 0]

Сделал лог заново.

URAN-289_2018-10-05_19-47-02_v4.0.21.7z

[regist 592]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   

  ;uVS v4.0.21 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  uidel  MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000}
  uidel  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
  uidel  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF}
  ;---------command-block---------
  delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
  delref {0468C085-CA5B-11D0-AF08-00609797F0E0}\[CLSID]
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  delref {0E2877D3-2641-4970-B794-A553E295428D}\[CLSID]
  delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
  delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
  delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
  delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
  delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
  delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
  delref {4853DF44-7D6B-48E9-9258-D800EEE54AF6}\[CLSID]
  delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
  delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
  delref %SystemDrive%\PROGRA~2\COMMON~1\MI
  delref %SystemDrive%\PROGRAM FILES (X86)\MAXTHON5\BIN\MAXTHON.EXE
  apply
  cexec bitsadmin.exe /RESET /ALLUSERS
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может будет перезагружен.
• проверьте, что с проблемой.

Изменено 5 октября, 2018 пользователем regist

[Artem017 0]

@regist, скрипт выполнил.

На первый взгляд - проблема осталась - открытый Диспетчер задач самостоятельно закрылся примерно через 5 минут и нагрузка на ЦП снова возросла. При повторном открытии Диспетчера нагрузка на ЦП падает. Конечно нужно более длительно понаблюдать, но сейчас уже поздно, так что наверно только в понедельник смогу погонять машину.

 

Дополнение: Ан нет, диспетчер и второй раз закрылся... Правда я не отследил, тот ли самый процесс его закрывает. Но нагрузка при этом  держится в районе 22-30% вместо 50-55% как раньше...

Изменено 5 октября, 2018 пользователем Artem017

[regist 592]

Вот отчёт о проверке вашего подозреваемого: https://www.virustotal.com/ru/file/aa0bf8f9ddf86ba5e995463c41270ab40f41932a9c72fd1d994fcbf1014647ce/analysis/
Пока считается чистым, но практически уверен, что это вирус замаскированный. Так что жду карантина.

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
  

  ;uVS v4.0.21 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81\RB_1.4.12.11.EXE
  dirzooex %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81
  czoo
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
  

  Если архив отсутствует, то заархивруйте папку ZOO

  с паролем virus.
• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Изменено 5 октября, 2018 пользователем regist

[Artem017 0]

@regist, Доброе утро! Скрипт выполнил, архив ZOO отправил.

 

Интересно имя файла: APSDaemon.exe - с виду безобидное.

 

Дополню "анамнез" - может быть эта информация чем-то поможет: долгое время пользовался обозревателем Maxthon. В последнее время, после обновления обозревателя, начала вылезать "штатная" реклама, мол "Подключайтесь к майнингу и майните на всех устройствах"

Стал читать, что за баннер, оказывается, конечно может быть я что-то и путаю, но вроде как сами разработчики встроили майнер непосредственно в сам обозреватель. Данный факт мне стал неприятен, поэтому пришлось вернуться на Оперу. Пишу это к тому, что источником этого скрытого майнера может быть был ранее установленный Макстон?

 

Ещё пункт - после того как я заметил повышенную нагрузку на проц, ещё до обращения на данный форум, я заметил в папке C:\Windows\Temp три файла, в именах которых были IP-адреса и расширение .exe: например 67.67.67.67.exe (именно такой был точно), и ещё пара похожих. То что файлы не мои, я был уверен. Позвонил админам, думал может они чего мутят - нет, говорят, не наши. Поиск в инете показал, что все три адреса американские. Удалить самостоятельно у меня их не получилось, так как доступа к файлам не было. И как вирус они тоже не определялись. Удалось удалить администратору при помощи UnLocker`а.

Изменено 8 октября, 2018 пользователем Artem017

[regist 592]

Послал файлы в вирлаб. Так что подождите пока придёт ответ от них.

[regist 592]

1) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки.
• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
  

  ;uVS v4.0.5 [http://dsrt.dyndns.org]
  v400c
  adddir dirzooex %SystemRoot%\SYSWOW64\
  crimg

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
• После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• 2) "Пофиксите" в HijackThis:
  

  O22 - Task: \Microsoft\Windows\Google\GoogleUpdateTaskMachineGU - C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\RB_1.4.12.11.exe

   
  3) Посмотрите, что находится в папке
  

  C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\
  

  можете например скрином или другим способом показать, какие файлы там есть.

Изменено 9 октября, 2018 пользователем regist

[Artem017 0]

@regist, Здравствуйте!

Скрипт в uVS выполнил. Также выполнил скрипт в HijackThis. Он правда ругнулся на нехватку памяти (на тот момент было чуть больше 500 Мб), но тем не менее операцию завершил.

Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет:

Небольшое "резюме" - перед уходом на обед, специально открыл Диспетчер задач, дабы проверить, не закроется ли он самостоятельно. Вышел из системы, прошло где-то 50 минут, вернулся, зашёл - Диспетчер работает, нагрузки на ЦП нет - нагружен на 1-2%, как и прежде.

 

Получается победили? 

URAN-289_2018-10-09_11-39-51_v4.0.21.7z

[regist 592]

Получается победили?

пока просто отключили запуск. Сейчас лог посмотрю и дочистим.

 

 

Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет:

а если перезагрузиться, то всё равно не будет?

 

 

Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет:

либо, давайте по другому посмотрим.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

   

  Start::
  CreateRestorePoint:
  Folder: C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST64 от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Изменено 9 октября, 2018 пользователем regist

[Artem017 0]

а если перезагрузиться, то всё равно не будет?

Перезагружался - доступа всё равно нет.

Fixlog.txt

[regist 592]

Ещё раз выполните скрипт в FRST на этот раз такой

Start::
CreateRestorePoint:
Folder: C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81
End::

отчёт снова прикрепите.

[Artem017 0]

Готово!

 

Fixlog.txt