Trojan.Agent.BTMGen (conhost.exe)

[mike 1]

Сделайте пожалуйста еще такой лог https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/#post-113520

 

И если не трудно свежие логи FRST.txt, Addition.txt 

Изменено 13 октября, 2018 пользователем mike 1

[Илья Зверь]

Если решения нет, то скажите. Мне проще переустановить систему будет.

Addition.txt

FRST.txt

[mike 1]

Случай у Вас интересный. Не хотелось бы его терять. К тому же он уже интересен не только мне.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
Task: {00C35E52-3A74-40F9-AB5C-D7A4D079008A} - \COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} -> No File <==== ATTENTION
Task: {1BF24446-7D6F-43BD-9F3C-CA7763272B97} - System32\Tasks\{42BA3F0E-B0BD-4157-9B93-2156E045EA4B} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.21.59.104/ru/abandoninstall?page=tsProgressBar
Task: {2F98B427-44D0-4918-8644-2D865D7632C4} - System32\Tasks\{A457739D-86B0-4536-8A6E-0CA942405DD8} => D:\Steam\steamapps\common\Runaway The Dream of the Turtle\RunawayTDOTT.exe
Task: {3F1B0E9E-AC2C-47FF-8237-252B7B355CCD} - \COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} -> No File <==== ATTENTION
Task: {42EC0F61-9D8D-4BE7-B386-3C6250760941} - System32\Tasks\{058C2AA4-FE1F-4FBC-87BA-C4BA7515BB71} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.21.59.104/ru/abandoninstall?page=tsProgressBar
Task: {49F6A4DE-DF99-49E9-880B-FBF26B627886} - System32\Tasks\{81674E69-9AF6-4899-A5F6-65E65573DD04} => C:\Windows\system32\pcalua.exe -a "D:\LostGames\Runaway222222222222\Video card setup.exe" -d D:\LostGames\Runaway222222222222
Task: {4E669356-A44C-4449-A6A2-49D5AF6E2FA9} - System32\Tasks\{6314E34B-6AB5-4C70-BE72-FF96C86221EE} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.21.59.104/ru/abandoninstall?page=tsProgressBar
Task: {55789900-4252-414E-AC54-6E5B82033565} - System32\Tasks\{724616ED-5999-47C9-B7BD-F62955C8ACC7} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.21.59.104/ru/abandoninstall?page=tsProgressBar
Task: {5E406697-4080-4823-BB1C-E489C86E24F6} - System32\Tasks\{B0CF9E2C-7330-48DB-B907-DC491386BB05} => D:\LostGames\Runaway22222\runaway2.exe
Task: {6CB74646-41A7-4EF7-A7B3-F23727EEA90E} - System32\Tasks\{1F92FB0E-D5BE-4A0C-BD3E-C3DB77D12C18} => "c:\users\user\appdata\local\google\chrome\application\chrome.exe" hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=5.1.0.104&LastError=404
Task: {92A30569-D2DE-4455-A20A-5BFE97B66E7A} - System32\Tasks\{9003D2E9-E223-4496-A47F-683A5FDC1866} => C:\Windows\system32\pcalua.exe -a "D:\LostGames\PENDULO Studios\Runaway 2 - Сны черепахи\Video card setup.exe" -d "D:\LostGames\PENDULO Studios\Runaway 2 - Сны черепахи"
Task: {9D267D80-02F6-4DE1-AD6D-71EAF97000AA} - System32\Tasks\{4D32358B-2AD2-4F53-9AD4-EAACF632FEF9} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.21.59.104/ru/abandoninstall?page=tsProgressBar
Task: {B01E0612-70FB-4A2F-9A83-91800426B34A} - \COMODO\COMODO Telemetry {18AD3DFA-30C0-4B5F-84F7-F1870B1A4921} -> No File <==== ATTENTION
Task: {C069B7EA-CDEC-4CC1-B136-7EC232FE6A87} - System32\Tasks\{DA15C84B-A1B7-4280-A301-96F2811673BA} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.21.59.104/ru/abandoninstall?page=tsProgressBar
Task: {C950A9B4-17C2-47FF-B49C-8521EDA8E96D} - System32\Tasks\{409579BA-EACD-4D46-BA29-867502263FE6} => C:\Windows\system32\pcalua.exe -a "D:\LostGames\Dream of Turtle\Video card setup.exe" -d "D:\LostGames\Dream of Turtle"
Task: {C9C64EB6-8558-4105-8DEF-36E497BCB9C9} - System32\Tasks\MyDefrag v4.3.1 Monthly => C:\Program Files\MyDefrag v4.3.1\Scripts\AutomaticMonthly.MyD [2010-05-21] ()
Task: {D1B2AF68-B68D-43A1-98E0-47044BE81300} - System32\Tasks\MyDefrag v4.3.1 Daily => C:\Program Files\MyDefrag v4.3.1\Scripts\AutomaticDaily.MyD [2010-05-21] ()
Task: {D1D459BC-DE8D-41F2-BE66-D9D8BD8CBE7F} - System32\Tasks\{1A8F8804-8DA4-41AB-A87D-93A810C0690F} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.21.59.104/ru/abandoninstall?page=tsProgressBar
Task: {D25638D8-646D-4ABE-8A8E-AEC5CD0B49CB} - \COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} -> No File <==== ATTENTION
Task: {D739835E-14CC-4E2B-A0CE-6A65D642D590} - System32\Tasks\{CCA25CC2-0ECD-45DE-AD09-AAAE1ECB96CF} => "c:\users\user\appdata\local\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/5.1.0.104/ru/abandoninstall?source=lightinstaller&page=tsProblems&LastError=404&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;ienotdefaultbrowser2
Task: {E3399161-9559-4A70-B832-F5B844F13CC5} - \COMODO\COMODO CMC {06A09C0F-DD9C-4191-A670-71115CD78627} -> No File <==== ATTENTION
Task: {F2B0BEB9-B6F2-4FC8-9D2F-02C54EBBA92B} - System32\Tasks\{969D0B41-3B29-4ACB-A4C1-40E3F4C2F912} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.21.59.104/ru/abandoninstall?page=tsProgressBar
MSCONFIG\startupreg: GoogleChromeAutoLaunch_BCEA24321E5E4F1401136BBEDFB545FE => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

 

 

[Илья Зверь]

Сделайте пожалуйста еще такой лог https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/#post-113520

 

И если не трудно свежие логи FRST.txt, Addition.txt 

Первый лог сделать не могу, т.к. F8 это выбор места загрузки(boot device ) если выбрать F7, то окно выдает либо загрузку Виндоус либо диагностика памяти.

 

 

Не понимаю, почему вы не ищете  проблему именно в файле conhost.exe где и сидит этот троян-майнер.  Я давно бы вам его скинул, покопались бы в нем посмотрели что а как. Подключение с одного и того же айпишника идет. 

 

Fixlog.txt

Изменено 13 октября, 2018 пользователем Илья Зверь

[mike 1]

Больше представляет интерес тот файл, который его дропает (https://ru.wikipedia.org/wiki/Дроппер). А загрузочного диска с Windows 7 нет? Там если загрузится с диска можно будет открыть командную строку, а дальше уже можно будет запустить с флешки uVS.

 

Кстати, а в диагностическом режиме проблема наблюдается?

 

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе. В этом случае выполните следующие действия.

Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.

Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

 

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.

Аналогичным образом можно поступить на вкладке Автозагрузка.

Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

 

Подробнее об этой диагностике читайте здесь.

[Илья Зверь]

 

 

Больше представляет интерес тот файл, который его дропает

 

Так conhost я так понимаю и дропает этот троян-майнер, который он содержит.

 

 

 

 

Кстати, а в диагностическом режиме проблема наблюдается?

 

что за диагностический режим?

 

 

 

 

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе.

Я так уже пробовал, когда в безопасном антивирусом проверял. Проблема остается. Если войти в сейф.мод без интернета, то конечно проблемы нет.

 

В Автозагрузке у меня только Ccleaner включен.

[mike 1]

Стоп, а этот компьютер случайно не находится в локальной сети? У Вас каталоги расшарены

 

 

 

Если закрыть общие ресурсы, либо отключить службу Сервер проблема наблюдается? 

[Илья Зверь]

@mike 1, всмысле в локальной сети? он один у меня в квартире. Я верно понимаю что в  таблице удаленный IPC это угроза? И как закрыть общие ресурсы?

 

Кстати сейчас отключаю службы и conhost.exe не появляется. Но компьютер очень медленно стал работать и включаться долго. Правда у меня malvarebytes закончилась триал-лицензия поэтому не могу по угрозам ничего пока сказать.

Изменено 13 октября, 2018 пользователем Илья Зверь

[mike 1]

У Вас целые разделы дисков являются общими сетевыми папками, т.е. формально можно получить доступ ко всем файлам, которые находятся на диске. Нажмите Win+R , введите services.msc, найдите и отключите службу Сервер. Перезапуск службы поставьте в положение Отключено.  

[Илья Зверь]

@mike 1,а удаленный админ и   удаленный IPC это норма?

 

Доступ к папкам отключил

[mike 1]

Если хотите совсем закрыть, то отключите службу Сервер. В организации использовать есть смысл, а на домашнем ПК не вижу смысла использовать. 

[Илья Зверь]

@mike 1,я так и сделал как вы сказали. Но не уверен что помогло. MalwareBytes закончилась лицензия. Аналогичных програам не знаю, вернее использовал комодо. Но оно и не видело ничего, да и  было ужасно. Но компьютер в целом медленнее работает. И долго Виндоус стал загружаться.

[mike 1]

Windows может тормозить и не только из-за вирусов. Покажите SMART вашего жёсткого диска программой CrystalDiskInfo.

[Илья Зверь]

Windows может тормозить и не только из-за вирусов.

 

ну вот до этой истории он не тормозил. А после всех этих программ,анализов,логов и др. действий стал медленно работать и загружаться долго.

 

смарт я прикладывал. Вот еще раз сделал.

СМАРТ ДИСКОВ.txt

[mike 1]

Создайте точку восстановления. 

 

Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

• Нажмите на кнопку Run

• Прикрепите лог delfix.txt