Подозрительный dll (CPU-майнер?)

[Георгий Богданов]

Запускается через rundll32 и нагружает n-1 ядра процессора.

При включении диспетчера задач перестает нагружать, и как только диспетчер закроется продолжает - в то же время логики для других схожих программ не предусмотренно.

Шлет в сеть менее килобайта данных.

Внутри DLL несколько джипегов и текстовых записей никак по смыслу не обьединенных, выглядит как рандом выгрепанный из ютуба (мб такой способ рандомизировать бинари?).

На вирустотале почти ничего: https://www.virustotal.com/ru/file/be6b147b5f297a22ab3796bdada7061fe464b8801dd75511a98ccb83fb0f105f/analysis/1552033157/

Зашифрованных данных не замечено, счетчик байт записи у соответствующего процесса rundll32 нулевой.

 

c330w80p.7z

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Георгий Богданов]

CollectionLog-2019.03.08-16.10.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('c:\Program Files (x86)\Corel\CUH\v2\CUH.exe','');

 QuarantineFile('C:\Users\User\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat','');

 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','');

 QuarantineFile('C:\Windows\System32\wsaudio.dll','');

 QuarantineFile('C:\Windows\System32\ihctrl32.dll','');

 DeleteFile('C:\Windows\System32\ihctrl32.dll','64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll','x64');

 DeleteFile('C:\Windows\System32\wsaudio.dll','64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll','x64');

 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','278D2BF5-530C-43FB-931B-D8927DB609BC','x32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','278D2BF5-530C-43FB-931B-D8927DB609BC','x64');

 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','64');

 DeleteFile('C:\Users\User\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat','64');

 DeleteSchedulerTask('31D3DFAx3D');

 DeleteFile('c:\Program Files (x86)\Corel\CUH\v2\CUH.exe','64');

 DeleteSchedulerTask('CorelUpdateHelperTaskCore');

 DeleteSchedulerTask('Microsoft\extsetup');

 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','64');

 DeleteSchedulerTask('Microsoft\KRBUUS\KRBLNKRUN');

 DeleteSchedulerTask('Microsoft\SafeBrowser');

 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','64');

 DeleteSchedulerTask('Microsoft\Windows\A278D2BF5-530C-43FB-931B-D8927DB609BC');

 DeleteSchedulerTask('Microsoft\Windows\extsetup');

 DeleteSchedulerTask('Microsoft\Windows\SafeBrowser');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки автологгера).

 

O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

 

Сделайте новые логи Автологгером.