Перейти к содержанию

trojan.vbs.miner.ak


Рекомендуемые сообщения

Добрый день! Использовал Kaspersky free.
Режили проверить KVRT. Утилита обнаружила майнер. Удалила. После перезагрузки майнер появился на прежнем месте. Использовал загрузочный диск. Проверил, удалил. После перезагрузки файлы вернулись.

Проверка Kaspersky free ничего не находит.

Поставил пробный Total Security - ничего не нашёл.

Проверил cureit и eset с CD  - ничего не нашли.

adwcleaner - ничего не обнаружил

Подскажите, где может быть проблема? Решаема ли?

 

dvrt-data.rar

post-40476-0-64658500-1587134459_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

Удалите остатки от антивируса Avast утилитой Avast Remover.

 

HiJackThis профиксить

O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: PythonUpdate - C:\Python34\pythonw.exe C:\ProgramData\Temporary\sound.pyw -f https://pastebin.com/raw/6VeRQtVt (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Temporary\sound.pyw','');
 TerminateProcessByName('c:\windows\wmiprvsf.exe');
 QuarantineFile('c:\windows\wmiprvsf.exe','');
 DeleteFile('c:\windows\wmiprvsf.exe','32');
 DeleteSchedulerTask('PythonUpdate');
 DeleteFile('C:\ProgramData\Temporary\sound.pyw','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Windows\DAODx.exe
    File: C:\Windows\System\HsMgr64.exe
    File: C:\Windows\SysWOW64\HsMgr.exe
    Task: {1ABE424C-FD7A-441D-AE21-963761F3F88B} - \Microsoft\Windows\SoftwareProtectionPlatform\SoftwareProtectionPTask -> No File <==== ATTENTION
    Toolbar: HKU\S-1-5-21-4221263581-88050684-563876530-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
    FF Plugin-x32: @videolan.org/vlc,version=3.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
    FF Plugin-x32: @videolan.org/vlc,version=3.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
    FF Plugin-x32: @videolan.org/vlc,version=3.0.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
    FF Plugin-x32: @videolan.org/vlc,version=3.0.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
    FF Plugin-x32: @videolan.org/vlc,version=3.0.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
    File: C:\WINDOWS\System32\OpenSSH\sshd.exe
    S3 TermService; C:\WINDOWS\System32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
    S3 TermService; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
    File: C:\Users\vv_t\.mongorc.js
    CustomCLSID: HKU\S-1-5-21-4221263581-88050684-563876530-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
    ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [146]
    FirewallRules: [UDP Query User{A06575E4-A023-48E0-9EB1-86B16D4B6DD8}C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe No File
    FirewallRules: [TCP Query User{B9994012-ADCF-4D1B-8096-6FDA74BA9F7C}C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe No File
    FirewallRules: [{A8E42A35-2549-4FD9-B0A9-0FB22C9BD45D}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File
    FirewallRules: [{72D03B9D-5384-41C2-AEDD-938788F57D39}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File
    FirewallRules: [UDP Query User{DB3D3514-BA3F-4AA1-9363-EB6E30065313}C:\program files\tenable\nnm\nnm.exe] => (Allow) C:\program files\tenable\nnm\nnm.exe No File
    FirewallRules: [TCP Query User{FDDC48C4-275D-4A3F-AB32-CE3222E6587D}C:\program files\tenable\nnm\nnm.exe] => (Allow) C:\program files\tenable\nnm\nnm.exe No File
    FirewallRules: [UDP Query User{B1DEDEF7-8373-4B82-8FD1-9798E3F5A442}C:\program files (x86)\nmap\nmap.exe] => (Allow) C:\program files (x86)\nmap\nmap.exe No File
    FirewallRules: [TCP Query User{43B0CE30-A167-4206-958A-E7C10CED7B0C}C:\program files (x86)\nmap\nmap.exe] => (Allow) C:\program files (x86)\nmap\nmap.exe No File
    FirewallRules: [{AF805DFD-4C67-481E-9280-B67F34105D52}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe No File
    FirewallRules: [{6CE39BA8-8239-4B3A-8FDA-FC170654EF1D}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe No File
    FirewallRules: [UDP Query User{64887608-7E65-4201-86EF-D6FF6BB24590}C:\program files\java\jdk-9.0.4\bin\jmc.exe] => (Allow) C:\program files\java\jdk-9.0.4\bin\jmc.exe No File
    FirewallRules: [TCP Query User{47DBEA98-6C68-4AB9-847E-4D4E72C882B3}C:\program files\java\jdk-9.0.4\bin\jmc.exe] => (Allow) C:\program files\java\jdk-9.0.4\bin\jmc.exe No File
    FirewallRules: [UDP Query User{F1F33C91-7BA6-4CC5-9CDF-D347AF4CEA21}C:\program files\openshot video editor\launch.exe] => (Allow) C:\program files\openshot video editor\launch.exe No File
    FirewallRules: [TCP Query User{CCC11766-3EB0-4F1D-BE5B-1EF4413E5EBA}C:\program files\openshot video editor\launch.exe] => (Allow) C:\program files\openshot video editor\launch.exe No File
    FirewallRules: [UDP Query User{4BBB1B12-B79C-4588-8B7B-F31AECADB6E4}D:\eclipse\eclipse.exe] => (Allow) D:\eclipse\eclipse.exe No File
    FirewallRules: [TCP Query User{9FD6DD47-F157-4542-A105-FE6C340EF4EA}D:\eclipse\eclipse.exe] => (Allow) D:\eclipse\eclipse.exe No File
    FirewallRules: [UDP Query User{D2ED27F7-E92B-4B33-8623-B42AC5A45C33}D:\xampp\apache\bin\httpd.exe] => (Allow) D:\xampp\apache\bin\httpd.exe No File
    FirewallRules: [TCP Query User{3969679F-8104-4CC6-9001-A65080DB74E3}D:\xampp\apache\bin\httpd.exe] => (Allow) D:\xampp\apache\bin\httpd.exe No File
    FirewallRules: [UDP Query User{DBC5C5E6-FE74-4101-9B70-C21AE38C223B}D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe] => (Allow) D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe No File
    FirewallRules: [TCP Query User{D3507FBB-2E4E-4EF9-AF8D-8595969044C7}D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe] => (Allow) D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe No File
    FirewallRules: [UDP Query User{F2861CC1-20A8-414E-A230-C831B278765E}C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe No File
    FirewallRules: [TCP Query User{C8F5C590-4E5F-4F4C-BB29-5CE43042F4CE}C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe No File
    FirewallRules: [TCP Query User{EACB87F5-8E0D-4E57-B3D6-732E4867C52D}C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe] => (Allow) C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe No File
    FirewallRules: [UDP Query User{C7DE6DA6-C3B8-4E71-A597-E777F275053B}C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe] => (Allow) C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe No File
    FirewallRules: [TCP Query User{27916522-B293-49E4-A702-AE71D78EA582}D:\xampp\mysql\bin\mysqld.exe] => (Allow) D:\xampp\mysql\bin\mysqld.exe No File
    FirewallRules: [UDP Query User{DE525FAA-AFF1-4B7E-B303-F23A824B66DC}D:\xampp\mysql\bin\mysqld.exe] => (Allow) D:\xampp\mysql\bin\mysqld.exe No File
    FirewallRules: [TCP Query User{C4D553D0-EF15-422C-88B6-3EB6EC6CB99D}D:\xampp\filezillaftp\filezillaserver.exe] => (Allow) D:\xampp\filezillaftp\filezillaserver.exe No File
    FirewallRules: [UDP Query User{974C8476-E8BC-4E3B-8E63-7C977BDB89F1}D:\xampp\filezillaftp\filezillaserver.exe] => (Allow) D:\xampp\filezillaftp\filezillaserver.exe No File
    FirewallRules: [TCP Query User{C71ACDBC-CBF3-4A2E-AD33-287D6B311357}D:\xampp\mercurymail\mercury.exe] => (Allow) D:\xampp\mercurymail\mercury.exe No File
    FirewallRules: [UDP Query User{617956AC-2C63-47AC-923A-D0B47DA72961}D:\xampp\mercurymail\mercury.exe] => (Allow) D:\xampp\mercurymail\mercury.exe No File
    FirewallRules: [{E95A054C-8D72-4FD8-AE77-DD2C2123B12B}] => (Allow) C:\Users\vv_t\AppData\Roaming\Zoom\bin\airhost.exe No File
    FirewallRules: [{5A805496-23A7-422F-B597-151C154A0108}] => (Allow) C:\WINDOWS\ehome\MediaCenter\wmserver.exe No File
    FirewallRules: [{744328C4-1E92-4FA4-A728-EB195F14EB3D}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File
    FirewallRules: [TCP Query User{699B6735-22DD-4A6C-B463-91895DDE7727}I:\sam19\sdi64-drv.exe] => (Allow) I:\sam19\sdi64-drv.exe No File
    FirewallRules: [UDP Query User{59EE9DBA-A187-457A-B5F8-BE4F5CBA8C43}I:\sam19\sdi64-drv.exe] => (Allow) I:\sam19\sdi64-drv.exe No File
    FirewallRules: [{BC9297F9-7C5C-4096-8034-FE40CC7AFAF4}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File
    FirewallRules: [TCP Query User{D88DC126-6BB7-45C3-B0CC-550B39441485}D:\downloads\aa_v3 (1).exe] => (Allow) D:\downloads\aa_v3 (1).exe No File
    FirewallRules: [UDP Query User{8FA1985A-E051-44DA-812A-562F59E9ACB4}D:\downloads\aa_v3 (1).exe] => (Allow) D:\downloads\aa_v3 (1).exe No File
    FirewallRules: [{F4233E25-1F51-4F61-88DB-F9CA80B454CE}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File
    FirewallRules: [{8C764644-187F-495C-BBE0-CE1D89DFDAC7}] => (Allow) C:\Users\vv_t\AppData\Local\Temp\DriverPack-20200329124728\tools\aria2c.exe No File
    FirewallRules: [{97DE79B7-9401-485C-B01A-CCD2D3E8219A}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

P.S. При нахожение каких-то угроз, самостоятельно не удаляйте

Ссылка на сообщение
Поделиться на другие сайты

К сожалению прочитал уже позже и удалил при помощи KVRT эти зловреды. Перезагрузил систему. Проверяю ещё раз. Вдруг уже не восстановятся. Результат сообщу.

Изменено пользователем Vitaly Tokarenko
Ссылка на сообщение
Поделиться на другие сайты

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 


Послу удаления при помощи kvrt фиксируется только avz овская утилита.

Для исправления выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

Ссылка на сообщение
Поделиться на другие сайты

Всё удачно. Повторные проверки проблем не выявили. Не зря я многим организациям именно Касперского рекомендовал.
Теперь наверное пора и самому приобрести домой.

 

Не скажу за прочие модули, но модуль белых/чёогых списков программ это просто чудо из чудес! Только за это стоит обожать бизнес версию антивируса Касперского!

Ссылка на сообщение
Поделиться на другие сайты

Послу удаления при помощи kvrt фиксируется только avz овская утилита.

Для исправления выполните следующее AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...