Троян и PowerShell майнер

[IvanVasil]

Добрый день.

 

На нескольких компьютерах начали появляться процессы PowerShell нагружающие CPU. Иногда в c:\windows\temp либо в c:\windows\users\*username*\appdata\local\temp появляются файлы cohernece.exe, и часто java-log-9527.log плюс a25hY2tlcmVk.txt с паролями в открытом виде. Определяется KVRT под несколькими названиями: trojan.multi.genautoruntask.c, trojan.multi.genautoruntaskfile.a, trojan.multi.genautorunwmi.a., Trojan.Win32.Skillis.blru Windows Defender определяет как Nitol.B. Ни тот, ни другой его не лечат. Причем на некоторых компьютерах cohernece.exe определяется KVRT, на некоторых не определяется.

 

Заранее спасибо.

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

 

Причем на некоторых компьютерах

Для каждого компьютера отдельная тема.

[IvanVasil]

Да, в курсе, извините - лог не прицепился в первом сообщении.

 

Это лог с первой машины, конкретно здесь нашлись файл java-log-9527 и троян Trojan.Multi.GenAutorunWMI.A

CollectionLog-2019.06.05-17.14.zip

Изменено 5 июня, 2019 пользователем IvanVasil

[Sandor]

1. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

 

3. "Пофиксите" в HijackThis:

O25 - WMI Event:  (no consumer) - Systems Manage Filter - Event="__InstanceModificationEvent WITHIN 5601 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 

4. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[IvanVasil]

1. https://virusinfo.info/virusdetector/report.php?md5=0311F5AB28B0FFF54BCC906026FD2B9D

Он в карантин забрал кучу dll, defender, skype.

 

2. Скрипт не работает. Undeclared identifier: "DeleteSchedulerTask" в позиции 2:21

 

3. Выполнил

 

4. Лог прилагаю

CollectionLog-2019.06.06-09.35.zip

[Sandor]

Скрипт не работает. Undeclared identifier

AVZ следует запускать эту (как и сказано в инструкции):

 

C:\AV\AutoLogger\AVZ\avz.exe

[IvanVasil]

Все переделал заново.

1. Ссылка https://virusinfo.info/virusdetector/report.php?md5=0311F5AB28B0FFF54BCC906026FD2B9D

2. Ок

3. Ок

4. Новый лог

CollectionLog-2019.06.06-09.56.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[IvanVasil]

Отчеты

FRST.txt

Addition.txt

[Sandor]

Проблема еще актуальна?

[IvanVasil]

Включил Defender, пока ничего не выводит.

 

А из карантина AVZ можно восстановить все? А то часть приложений стала некорректно работать.

[Sandor]

из карантина AVZ можно восстановить все?

Ничего не удалялось.

 

часть приложений стала некорректно работать

Каких именно?

[IvanVasil]

Skype сбросил все настройки и запускается в 3-4 экземплярах, Хром ругается на отсутствие dll. Ну не страшно, я их переустановлю полностью.

 

Спасибо.

[Sandor]

Рекомендации после удаления вредоносного ПО