Вирус Conhost TODO,mysa, lsmosee

[Vladimir.A.]

Доброго времени суток,

 

Поймал набор вирусов lsmosee, mysa, conhost, возможно после установки плагина для браузера opera.

 

Пытался удалить с помощью Malwarebytes Anti-Malware, AVZ, Dr.Web cureit, KVRT.

Cureit нашел вышеперечисленные вирусы и удалил их, спустя какое-то время после перезагрузки я заметил что проскакивает темное bat окно и понял что вирус не удален полностью.

В папке C:\Windows\Temp снова появился файл conhost.exe. Дальнейшие попытки удаления вируса при помощи cureit ни к чему не привели, после перезагрузки conhost.exe появлялся снова.

 

KVRT решил проблему, вирус после перезагрузки был удален. ВО время поиска был найден еще один зараженный объект по адресу C:\Windows\system32\wbem\repository\INDEX.BTR, удалить его не получилось и был помещен в карантин. В безопасном режиме тоже удалить не получилось.

Каким образом я смогу удалить или вылечить файл INDEX.BTR?

 

После вышеописанных манипуляций сделал лог, во время процесса логирования была повторяющаяся ошибка. см вложение.

 

Заранее спасибо.

 

С Уважением,

Владимир.

CollectionLog-2018.11.13-19.23.zip

[SQ]

Здравствуйте,

Сами прописывали следующие настройки?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = localhost:8080 (disabled)
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to &Teleport: (default) = (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\temp\conhost.exe','');
 QuarantineFile('C:\Windows\system32\wbem\repository\INDEX.BTR','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.
 
 
Убедитесь, чтобы на вашем ПК были установили обновления закрывающие уязвимость SMB:
KB4012212
KB4012215

[Vladimir.A.]

SQ

Сами прописывали следующие настройки?R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = localhost:8080 (disabled)

R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac

Да, прописывал в браузере mozilla firefox в настройках прокси, т.к. дополнение frigate перестало открывать некоторые заблокированные ресурсы. Это небезопасно?

Выполнил, логи во вложении.

Обновления установил.

Malwarebytes не работал когда вирус был активен, сейчас заработал.

Результат прикрепил.

AdwCleanerS00.txt

malware_log.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.



Удалите все, если ничего из перечисленного в логе вам неизвестно в МВАМ

UPD:

В карантите действительно выявляется какой-то вредоносный процесс/задача в WMI. Только после выполнения предыдущих рекомендации, выполните пожалуйста следующую.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[Vladimir.A.]

Отчет Adw прикрепил. Образ UVS тоже.

Сделал проверку KVRT еще раз, все так же находит вирус C:\Windows\system32\wbem\repository\INDEX.BTR и этот файл так же найден на рабочем столе, но его не видно невооруженным глазом.

После лечения с перезагрузкой вирус снова обнаруживается. Win32.avzdriver.gen - это к avz относится? Скопировал в карантин. см. снимок.

 

AdwCleanerS03.txt

MACH1NE_2018-11-13_23-19-07_v4.1.1.7z

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

- Подготовьте лог Autoruns и приложите его в теме.

[Vladimir.A.]

Сделал.

MACH1NE.rar

FRST.txt

Addition.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-3152209696-2922314650-528210150-1000\...\Run: [AdobeBridge] => [X]
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  2018-11-11 22:44 - 2018-11-12 00:25 - 000000000 ____D C:\Program Files (x86)\UnHackMe
  2018-11-11 22:44 - 2018-11-11 22:55 - 000000000 ____D C:\Users\Vladimir\Documents\RegRun2
  2018-11-11 22:44 - 2018-11-11 22:44 - 000000000 ____D C:\Users\Все пользователи\RegRun
  2018-11-11 22:44 - 2018-11-11 22:44 - 000000000 ____D C:\ProgramData\RegRun
  2018-11-05 03:50 - 2018-11-05 03:50 - 000002681 _____ C:\Windows\cpu.txt
  2018-11-05 03:50 - 2018-11-05 03:50 - 000000406 _____ C:\Windows\config.txt
  2018-11-05 03:50 - 2018-11-05 03:50 - 000000336 _____ C:\Windows\pools.txt
  2018-11-05 03:50 - 2018-11-05 03:50 - 000000084 _____ C:\Program Files\Common Files\xp.dat
  2018-11-05 03:25 - 2018-11-05 03:25 - 000027136 _____ (Microsoft Corporation) C:\Windows\system\down.exe
  2018-11-05 03:24 - 2018-11-05 03:24 - 000000005 _____ C:\Windows\system32\1.txt
  2018-11-05 03:50 - 2018-11-05 03:50 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
  Task: {3FA66798-51DC-47F1-8B33-164D1C0E05FA} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  Task: {63553A82-B1C3-4A32-B910-88C07DF14EE6} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
  WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
  AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [126]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [126]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79893734.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\93434870.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\79893734.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\93434870.sys => ""="Driver"
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Vladimir.A.]

Во вложении.

Fixlog.txt

[SQ]

Приложите пожалуйста новые логи FRST.

 

Уточните пожалуйста вы когда в последий раз устанавливали обновления Windows?

Windows 7 Professional Service Pack 1 (X64) (2014-01-23 18:33:21)

Если в вашем Outpost Firewall открыты (входящие) порты SMB (139, 445), то вам необходимо будет их закрыть.

[Vladimir.A.]

Обновления устанавливал 1 год назад.

Закрыл входящие TCP на NB_SS, 445 не нашел в списке.

Есть мысль переименовать папку Repository c hirens boot и удалить, если система стартанет.

FRST.txt

Addition.txt

Изменено 17 ноября, 2018 пользователем Vladimir.A.

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  ProxyServer: [S-1-5-21-3152209696-2922314650-528210150-1000] => localhost:8080
  Folder: C:\Users\Vladimir\AppData\Roaming\foobar2000
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

Есть мысль переименовать папку Repository c hirens boot и удалить, если система стартанет.

Уточните пожалуйста после выполнения предыдущего FRST по прежденнему KVRT видет угрозу в файле?

 

C:\Windows\system32\wbem\repository\INDEX.BTR

Не смысла этого делать (переименовать папку Repository c hirens boot), достаточно остановить службу WMI (Windows Management Instrumentation) для того чтобы переименовать каталог Repository, однако после этого могут некоторые приложения работать не корректно. 

 

Можно попробовать в командной строке остановить службу WMI, переименовать старый репозиторий, запустить обратно службу WMI и по идеи репозиторий должен пересоздаться :

net stop winmgmt /y
ren C:\WINDOWS\system32\wbem\Repository Repository.old
net start winmgmt /y

P.S. однако возможно не предвиденные случае в этом случае можем попробовать пересоздать репозиторий.

Также необходимо будет в дальнейшем проверить загрузочный сектор, так как при имеющей у Вас данного типа угрозы обычно в загрузочном секторе должно присутствовать вредоносное ПО.

[Vladimir.A.]

KVRT угрозу больше не видит, кроме этой

not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen
Файл: C:\Windows\SysWOW64\drivers\vdm1mjc4.sys
Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя
    MD5:  8698843A69A239FF023AEC6CAF3939CC
    SHA256:  8680259309E2D54B51292637761EEAF40FE74907F9085A2560E33F21DAFF08BD

Я уже спрашивал, это к AVZ относится?

 

Спасибо.

Fixlog.txt

[SQ]

Касаемо репозиторизия WMI, мне пришел результат от ЛК о ложном срабатывание, и если вы с помощью Hirens его не удаляли, то это хорошо.

C:\Windows\system32\wbem\repository\INDEX.BTR

 

KVRT угрозу больше не видит, кроме этой
not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen
Файл: C:\Windows\SysWOW64\drivers\vdm1mjc4.sys

На самом деле это не угроза, это драйвер утилиты AVZ, для исправления выполните следующее в AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

Сообщите результат.

[Vladimir.A.]

Выполнил. Ничего не обнаружено. Спасибо.