Trojan.Agent.BTMGen (conhost.exe)

[Илья Зверь]

Добрый день. Помогите решить проблему. После загрузки, пк постоянно подключается к некому домену mbr.kill0604.ru(cкрин добавляю). После чего создается файл conhost.exe в папке Windows/Temp.(скрин добавляю). Далее этот процесс добавляется в диспетчер задач и загружает систему на 100% пока не завершишь его оттуда. После установки программы malwarebytes это подключение он блокирует, но файл все равно создается,хоть теперь он  тоже сразу блокируется. Да я каждый раз удаляю этот файл, но после новой загрузки он появляется заново, как и это злосчастное подключение 66.117.2.182(всегда  с этого адреса, но через разные порты). Полагаю где-то находится файл или запись в реестре, которая это делает. Увы антивирусы это не видят. Заранее спасибо. Обращаюсь впервые,поэтому извините если оформил как то неверно. Все необходимое сделаю как скажете.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Илья Зверь]

@Mark D. Pearlstone, вот прикладываю.

CollectionLog-2018.10.06-14.15.zip

Изменено 6 октября, 2018 пользователем Илья Зверь

[mike 1]

 

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block

Порты сами блокировали?

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Илья Зверь]

 

 

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block

Порты сами блокировали?

 

 

 

 

Нет. Я сам обычно ничего не блокирую. Думаете это может быть причиной?

Addition.txt

FRST.txt

Shortcut.txt

[mike 1]

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/15) - {4107f19f-57a8-4ecd-8483-0c86c578698a} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: {DBB6DEFC-3E18-464E-ABB2-A947BF7E3AB1} - C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\UninstallTips.exe" -d "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219"
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1782037736-3503893882-2384731817-1000\...\MountPoints2: F - F:\setup.exe
HKU\S-1-5-21-1782037736-3503893882-2384731817-1000\...\MountPoints2: {2f871c4b-5d65-11e2-8c8b-806e6f6e6963} - E:\Bin\ASSETUP.exe
HKU\S-1-5-21-1782037736-3503893882-2384731817-1000\...\MountPoints2: {6b796f85-1869-11e3-81d3-10bf488532f0} - G:\Startme.exe
HKU\S-1-5-21-1782037736-3503893882-2384731817-1000\...\MountPoints2: {6b796fa2-1869-11e3-81d3-10bf488532f0} - G:\ICM_Manager.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{4107f19f-57a8-4ecd-8483-0c86c578698a} <==== ATTENTION (Restriction - IP)
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
S3 TSSKX64; System32\drivers\tsskx64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2018-09-15 22:50 - 2018-09-16 21:41 - 000000081 _____ C:\Windows\system32\s
2018-09-15 17:30 - 2018-09-15 17:30 - 000002079 _____ C:\Windows\system32\cpu.txt
2018-09-15 17:30 - 2018-09-15 17:30 - 000002075 _____ C:\Windows\system32\nvidia.txt
2018-09-15 17:29 - 2018-09-29 12:31 - 000000406 _____ C:\Windows\config.txt
2018-09-15 17:29 - 2018-09-29 12:31 - 000000337 _____ C:\Windows\ppl.txt
2018-09-15 17:29 - 2018-09-29 12:31 - 000000084 _____ C:\Program Files\Common Files\xp.dat
2018-09-15 17:28 - 2018-09-15 17:28 - 000000005 _____ C:\Windows\system32\1.txt
2018-09-15 17:29 - 2018-09-29 12:31 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
Task: {10E052D6-60ED-4F8A-9D36-973A89B235B6} - System32\Tasks\Microsoft\Windows\Apps\UpService => C:\ProgramData\InstallChecker\InstallChecker.exe <==== ATTENTION
Task: {6544215F-58AE-49F3-B9A0-EC702E3019AD} - System32\Tasks\{DBB6DEFC-3E18-464E-ABB2-A947BF7E3AB1} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\UninstallTips.exe" -d "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219"
Task: {FD192F1A-A281-4573-B9A0-10015E9A32AA} - System32\Tasks\Microsoft\Windows\Multimedia\FreeVPN => C:\Users\User\AppData\Roaming\FreeVPN\FreeVPN.exe <==== ATTENTION
AlternateDataStreams: C:\Windows\Temp:$DATA [16]
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [334]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:55B41E6A [334]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

 

[Илья Зверь]

del

Изменено 6 октября, 2018 пользователем Илья Зверь

[mike 1]

Если навести на слово "Пофиксите" курсор мыши, то на курсоре появится пальчик, нажмите на него и откроется окно с инструкцией. 

[Илья Зверь]

@mike 1,после всего вышесделанного и перезагрузки пк теперь не работает интернет. Диагностика показала,что днс- сервер не отвечает. Сейчас пишу с телефона. Прикол в том,что сейчас использую вай-фай соединение этого же роутера. Что означает,что проблема в пк,а не в провайдере и оборудовании. Более того,после этих фиксов и ребута у меня виндоус перестал видеть 1 жесткий диск. Точнее он есть в диспетчере устройств и айде,но в винде его нет. Прошу помочь,этот скрипт видимо все поломал.

@mike 1,прошу прощения одна проблема снята, но было установлено лишь методом тыка. В общем снятие этой галочки вернуло интернет обратно(скрин прикрепляю). Хотя программу с пк я удалял. По-прежнему файл conhost.exe появляется и по-прежнему содержит данный троян. Кстати жесткий диск по-прежнему не виден в системе.

Прикрепляю нужный файл , т.к. инет восстановлен.

Вот что по жесткому диску пишет диагностика. Может кто подскажет что? это не совпадение явно.

 

Fixlog.txt

[mike 1]

 

COMODO Firewall

Деинсталлируйте его, возможно идет конфликт c MalwareBytes на уровне драйверов. Потом еще воспользуйтесь этой https://www.comss.ru/page.php?id=4662 утилитой в безопасном режиме. Именно в безопасном режиме.

 

 

 

Прошу помочь,этот скрипт видимо все поломал.

В скрипте нет деструктивных команд. Судя по первой проблеме проблема скорее всего связана с некорректным удалением антивируса от Comodo.

 

Покажите SMART диска https://safezone.cc/threads/kak-poluchit-smart-diska.26672/

[Илья Зверь]

да как я уже писла проблема была действительно в Комодо. Вернее в его остатках, т.к. нормального унинсталера у него нет. Его  с трудом вычистил руками.

Касательно жесткого диска, то решил проблему перетыканием шлейфов. Т.к. средствами виндоуса он в онлайн так и не вышел. Правда из-за этого теперь изменилась его буква, ну со всеми вытекающими из этого. Но ладно это вторичные проблемы. К сожалению главная так и осталась идет то же самое исходящее подключение к  тому же самому айпи и созданию conhost.exe  с майнер-вирусом. Как на первоначальных скриншотах что я скидывал.

Какие следующие шаги?

[mike 1]

Потом еще воспользуйтесь этой https://www.comss.ru/page.php?id=4662 утилитой в безопасном режиме. Именно в безопасном режиме.

Использовали?

 

Покажите SMART диска

???

 

 

 

Скачайте Universal Virus Sniffer (uVS)

• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

[Илья Зверь]

@mike 1,да использовал он, потер хвосты

Смарт диска сделал. Прикрепляю. Только он то тут каким боком?

Запускаю Uvs  он мне вот что пишет(прикрепляю файл скрин)

Я просто не знаю, нажимать да ? очкую чего-то)

в общем везде нажимал "да" в выпадающих окнах программы. В итоге такой лог.

СмартДисков.txt

LOST_2018-10-07_16-52-19_v4.0.23.7z

[mike 1]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

;uVS v4.0.23 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v400c

breg

 

exec C:\Users\User\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned

delref HTTP://SECUREDSEARCH.LAVASOFT.COM/?PR=VMN&ID=WEBCOMPA&ENT=HP_WCYID10454__181007

delref HTTP://SECUREDSEARCH.LAVASOFT.COM/RESULTS.PHP?PR=VMN&ID=WEBCOMPA&ENT=CH_WCYID10454__181007&Q={SEARCHTERMS}

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLADLJMABBOANHIHFKJACNNKGJHNOKHJ%26INSTALLSOURCE%3DONDEMAND%26UC

delall %SystemDrive%\FIREFOX.BAT

delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE

delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CFPCONFG.EXE

delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CIS.EXE

delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CISTRAY.EXE

deltmp

restart 

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  

 

[Илья Зверь]

@mike 1,выполнил. Жду дальнейшие инструкции. 

Ничего не изменилось. С того же айпи адреса, с того жа домена. Порты разные, но все на 47... или 49... начинаются. Ну и conhost там же.