Подозрение на майнер

[Saiberex]

https://www.virustotal.com/gui/file/9f3b6e019a85634a82219936ffd9a7cc5ab0b3d065f7dc8f93b39e78c826fadc/detection

[Sandor]

Посмотрите моё предыдущее сообщение, там есть дополнение, ждём лог.

[Saiberex]

Готово

A-NAUKA524C01_2019-03-28_13-16-11_v4.1.2.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.1.2 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  SREG
  icsuspend
  dirzoo %SystemRoot%\NETWORKDISTRIBUTION
  
  
  ;---------command-block---------
  bl 0ABDAC01D3756E03DFB872373966D1B2 129024
  zoo %Sys32%\SECURENETBIOSSYSTEM.DLL
  delall %Sys32%\SECURENETBIOSSYSTEM.DLL
  apply
  
  zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBEAY32.DLL
  bl F01F09FE90D0F810C44DCE4E94785227 903168
  addsgn 79132211B9E9317E0AA1AB5952CB12057863670B76059487D048293DBCFE724C23B4732B3345144487FC898FCF03E18670CF616FF1A6BD3CA4420453CA16AB4E 64 Win32:Rootkit-gen [Rtk] [Avast] 7
  
  zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBICONV-2.DLL
  bl 5ADCBE8BBBA0F6E733550CE8A9762FA0 970393
  addsgn A76592CC06E9A06280A1A2329AC96642ACFED8F202BF0FF1C1E7CD3715DEF84807FF59713F55148AA86C881CB817466EBFEE28F78ED524ECA8B5D16842F0577F 64 Trojan.Equation.135 [DrWeb] 7
  
  zoo %SystemRoot%\NETWORKDISTRIBUTION\X64.DLL
  bl 6DC722C9844E61427A47A2759A8FBEC0 156160
  addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B891744C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4105AD038CAEEBF 64 Trojan.Win64.BitMin.aoy [Kaspersky] 7
  
  chklst
  delvir
  
  deldir %SystemRoot%\NETWORKDISTRIBUTION\
  
  czoo
  areg
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению.

 

Подробнее читайте в этом руководстве.

[Saiberex]

Saiberex, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2019.03.28_ZOO_2019-03-28_14-32-47_e89b25b0dead49e701e05ca51697d68b.7

[Sandor]

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению

Ещё это, пожалуйста.

[Saiberex]

Держите

2019-03-28_14-32-48_log.txt

[Sandor]

Предположу, что папка на месте, верно?

[Sandor]

Если да, повторите тот же последний скрипт, загрузив систему в безопасном режиме (карантин можно уже не отправлять).

[Saiberex]

Предположу, что папка на месте, верно?

 

Неа, не верно.

Я специально решил подождать сутки, полтора, вирус исчез, папка не создаётся... %)

 

Ладно, вот Вам еще один пациент, уже сервер, библиотечный. Перезагружать тоже не желательно, но далеко не так критично, как, например, сервер с 1С (воплей будет меньше... гораздо меньше)

 

Правда с отключением антивирусного ПО сложновато, т.к. стоит KSWS 10.1.0.622

 

 

Если скажете как его отключить буду очень благодарен

CollectionLog-2019.03.30-12.10.zip

Изменено 30 марта, 2019 пользователем Saiberex

[Sandor]

вот Вам еще один пациент,

Другой компьютер - другая тема.

 

Здесь в завершение:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Saiberex]

ок

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 20 (64-bit) v.8.0.200 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u201-windows-x64.exe)^

Java 8 Update 20 v.8.0.200 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u201-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Shockwave Player + Authorware Web Player v.v12.1.3.153 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 65.0.1 (x64 ru) v.65.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Opera Stable 58.0.3135.107 v.58.0.3135.107 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------

HaoZip, версия 4.3.1.9468 v.4.3.1.9468 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Malwarebytes, версия 3.7.1.2839 можете деинсталлировать.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

 

Рекомендации после удаления вредоносного ПО

[Saiberex]

Спасибо