вирус mysa

[regist 617]

@_Rom, понаблюдайте, что с проблемой.

+ Проверьте этот файл на virustotal

C:\WINDOWS\SYSWOW64\REGSEARCH.DLL

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

[_Rom 0]

conhost.exe - остался.

к пк нельзя получить доступ по протоколу smb

 

https://www.virustotal.com/ru/file/09c88acf9bf005b5b4fb12259b14371c054a9c42deee6db36b7213271de39874/analysis/1544161406/

[regist 617]

@_Rom, свежий образ автозапуска сделайте.

[_Rom 0]

вот

SERVER_2018-12-07_12-59-17_v4.1.2.7z

[regist 617]

1) На всякий случай проверьте эти файлы на virustotal

C:\WINDOWS\SYSWOW64\CRTSLV.DLL
C:\WINDOWS\SYSWOW64\CRVIEWERX.DLL
C:\WINDOWS\SYSWOW64\EXPORTMODELLER.DLL
C:\WINDOWS\SYSWOW64\FREXTENSION2.DLL
C:\WINDOWS\SYSWOW64\REGTRANS.DLL
C:\WINDOWS\SYSWOW64\ETFONDSRV.DLL
C:\WINDOWS\SYSWOW64\HICLGRID.OCX

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

2)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.0
   v400c
   BREG
   delref HTTP://JS.FTP0930.HOST:280/V.SCT
   zoo %SystemRoot%\DEBUG\LSMOSE.EXE
   bl 0C17491CBA1062BE447C0076EBF47896 5929472
   addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.Win64.Miner.jlm [Kaspersky] 7
   
   zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL
   bl 3F5363C475177E62AC64309785754C9D 10135552
   addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 64 Win64.BitCoinMiner.irwy [Kaspersky] 7
   
   zoo %SystemRoot%\DEBUG\ITEM.DAT
   bl 5506F673EB568897B1DB7C06EB4E761A 2359296
   addsgn 19E477AA516A4C720BD4CE5964C81205780B11E689FA1FF968ABC32D505CF5680B17C357BEAD9C46AF87849F46777A3A3D1DE472BCDEB02C2D30AEEF9EBE4A75 64 Trojan.Win32.DiskWriter.gen [Kaspersky] 7
   
   zoo %SystemRoot%\TEMP\CONHOST.EXE
   bl DB0E205613407C4E260BCB585270D8CD 782848
   addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
   
   chklst
   delvir
   
   ;---------command-block---------
   delref %SystemDrive%\USERS\9335~1\APPDATA\LOCAL\TEMP\ATICDSDR.SYS
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте отправьте по адресу newvirus@kaspersky.com
   Полученный ответ сообщите здесь (с указанием номера KLAN).

 

3) Проверьте систему с помощью Kaspersky Virus Removal Tool. Результат сообщите.
 

[_Rom 0]

1) https://www.virustotal.com/ru/file/0b39b442e27645f8dc54d0a724fff883d3db42e2ce33992216863bc1a7436a78/analysis/1544187097/

https://www.virustotal.com/ru/file/e3b3e0ee3f0e03c8f24ecdee2689026beab4dfb7a8633073c429ac253506a38d/analysis/1544187165/

https://www.virustotal.com/ru/file/21d6b9321ac86dc68505d6be546f9f4858ef7ead4f3313ddf1cd8d547235069a/analysis/1544187248/

https://www.virustotal.com/ru/file/62593f0cf8b12baf9e077d6f0c47214b625296b481d42275c0ef83dfbf71c133/analysis/1544187354/

https://www.virustotal.com/ru/file/8c5acc6577d325d759d72c19952000d0c7e7a1da69ed64b9e91d17037442ae41/analysis/1544187395/

https://www.virustotal.com/ru/file/175bb5e1ea90865435ba4e35af1c11c11734ce136a01e56a8b391e58ef137eeb/analysis/1544187510/

https://www.virustotal.com/ru/file/3bd2770708bae412d0f0cd9ff15f0942485a61612616f968d1e61e2e52e9e193/analysis/1544187640/

 

2) Скрипт выполнил.

Архив отправил, KLAN-9235243643

В следующих файлах обнаружен вредоносный код:
CONHOST.EXE._5382188BCBEB66B40BDCD8AE618561F9A2FF1464 - Trojan.Win64.Miner.ijc

В антивирусных базах информация по присланным вами файлам отсутствует:
CONHOST.EXE._5382188BCBEB66B40BDCD8AE618561F9A2FF1464.txt

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

3) Результат проверки KVRT:

 

Trojan.Multi.GenAutorunReg.a

Системная память

Троянская программа

--------------------------------------------------------

not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen

Файл: C:\Windows\SysWOW64\drivers\vdm4mtg5.sys

Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя

    MD5:  8698843A69A239FF023AEC6CAF3939CC

    SHA256:  8680259309E2D54B51292637761EEAF40FE74907F9085A2560E33F21DAFF08BD

--------------------------------------------------------

Trojan.Win64.Miner.ijc

Файл: C:\Windows\Temp\conhost.exe

Троянская программа

    MD5:  DB0E205613407C4E260BCB585270D8CD

    SHA256:  1169576411670C9305B921D2C2C1500EBBAE0158FB9CC3E43A5042237A3D00D9

--------------------------------------------------------

HEUR:Trojan.Win32.DiskWriter.gen

Файл: C:\Windows\Debug\item.dat

Троянская программа

    MD5:  5506F673EB568897B1DB7C06EB4E761A

    SHA256:  AE161E582DE9EC380B3E0B295EFFD62EB8889AC35BC6631A9492CF41563ED14A

--------------------------------------------------------

Trojan.Win64.Miner.jlm

Файл: C:\Windows\Debug\lsmose.exe

Троянская программа

    MD5:  0C17491CBA1062BE447C0076EBF47896

    SHA256:  EAEF82223EEB8CF404A1D46613D36B9E582304B215201B5E557DB578DD73E04E

--------------------------------------------------------

not-a-virus:RiskTool.Win64.BitCoinMiner.irwy

Файл: C:\Windows\Debug\xmrstak_cuda_backend.dll

Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя

    MD5:  3F5363C475177E62AC64309785754C9D

    SHA256:  A6FA12FEC1BA2D857E6B956117C533E3A711035AE1940D2111AAA0F4D4920FB1

 

 

KVRT проверил, пролечил (удалил). После перезагрузки в процессах опять висит conhost.exe

Изменено 7 декабря, 2018 пользователем _Rom

[regist 617]

@_Rom, какой-нибудь Live CD/USB у вас есть?

 

+

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

Подробную инструкцию читайте в руководстве.