Троян майнер

[pastral]

Добрый день. Поймал на компьютер майнер, маскрующийся под бездействие системы, создающий дубли исполняемых файлов, новыхпользователей и прочую нечисть. кратко описал проблему тут: https://community.kaspersky.com/kaspersky-rescue-disk-79/virus-menyaet-parametry-zagruzki-9189 за последние 2 дня прошёл систему на несколько раз KVRT и Cure IT KVRT перестал вообще что либо обнаруживать, CureIT крайний раз нашёл 4 dll от майнера и удалил. По реестру и загрузке системы вижу что малварь в системе и ни куда не делся. Часть настроек системы не доступна из-за пониженных привелегий пользователя вирусом. Прикладываю крайний лог работы AVZ. Что делать и как бороться не знаю, систему форматировать в 0 очень не хочется. 

CollectionLog-2020.05.31-23.15.zip

[regist]

@pastral,

 

1) Просьба сделайте экспорт ключа реестра

HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\

2) Скачайте актуальную версию Автологера, ваша уже устарела.

 

3) Просьба соберите логи свежей версией Автологера запустив его с ключом

 -! dbg=y 

Это можно сделать например создав ярлык для запуска Автологера и дописав этот ключ в поле "Объект" после имени файла, либо просто запустим с этим ключом с командной строки.

 

4) Прикрепите свежие логи Автологера, а также файлы report* которые будут созданы в папке с ним.

[pastral]

Добрый день. Готово. 

CollectionLog-2020.06.01-13.53.zip report1.log report2.log system.reg

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Sandor]

Дополнительно (2)

Еще раз, пожалуйста, скачайте Автологер (он уже обновился) и соберите CollectionLog стандартно (без ключей).

[pastral]

Готово.

FRST.txt Addition.txt

 

Готово (2)

CollectionLog-2020.06.01-19.24.zip

[Sandor]

Судя по скриншотам из темы на Community, у вас включен GodMode.

Проблема стала проявляться до его включения?

[pastral]

Он включается автоматически, даже если загружаюсь в ограниченном режиме.

[regist]

Просьба удалите ранее скачанный Автологер и собранные им логи, ещё раз скачайте свежий и соберите свежие логи.
Там просто неправильно парсило и по вашему экспорту реестра доработан вывод в лог. Сейчас пнул сборку вручную и уже должен быть свежий (выше, что просил Сандор собрать был ещё предыдущий).

[pastral]

Готово

CollectionLog-2020.06.01-21.39.zip

[regist]

Странно, вы опять собрали предыдущей версией. Видать у вас закешировался файл. Перезалил его сюда, попробуйте скачать отсюда.

Дополнительно перепроверить скачали действительно свежий если откроете AVZ (появится в папке Автологера после его запуска) и проверите версию. То есть открыть AVZ - Справка - О программе. Должно быть написано версия 5.16 от 01.06.2020. Либо проконтролировать эту версию в html логах (написана внизу лога) которые входят в комплект логов которые собирает Автологер.

 

[pastral]

Готово. Версия в AVZ-Справка 5.16 от 01.06.2020

CollectionLog-2020.06.01-22.17.zip

[regist]

Здравствуйте!

 

1) Включите восстановление системы.

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\VirusovNet\AppData\Roaming\vcredistx86.exe', '');
 QuarantineFile('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows\system32\iologmsg.dll', '');
 QuarantineFileF('D:\7Work\Mount\Windows\System32\config\SYSTEM\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\VirusovNet\AppData\Roaming\vcredistx86.exe', '64');
 DeleteFile('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows\system32\iologmsg.dll', '64');
 DeleteFileMask('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows', '*', true);
 DeleteDirectory('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft visual C++ 2010', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zona', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

3)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupfolder: C:^Users^VirusovNet^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^EmEditor.lnk [backup] => C:\Program Files (x86)\EmEditor\emedtray.exe (2020/05/27) (file missing)
O4 - MSConfig\startupreg: Microsoft visual C++ 2010 [command] = C:\Users\VirusovNet\AppData\Roaming\vcredistx86.exe (HKCU) (2020/04/15) (file missing)
O4 - MSConfig\startupreg: Zona [command] = C:\Program Files (x86)\Zona\Zona.exe /MINIMIZED (HKCU) (2020/04/03) (file missing)
O4 - MSConfig\startupreg: clip2net [command] = C:\Program Files (x86)\Clip2net\Clip2net.exe (HKCU) (2020/04/03) (file missing)
O23 - Service S2: Adobe Acrobat Update Service - (AdobeARMservice) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe  (file missing)

5) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

Изменено 1 июня, 2020 пользователем regist

[pastral]

Вижу что вы редактируете периодически свой пост. Начинаю все с п.1 сейчас. 23:11 и так же вопрос по отправке на newvirus@kaspersky.com ответ придет спустя какое то время или сразу?

 

UPD:  quarantine.zip пустой

 

1 - готово

2 - готово

3 - готово, архив пустой.

4 - готово

5 - https://virusinfo.info/virusdetector/report.php?md5=879BD281AB5E7A69ECBFB441397D4C15

 

CollectionLog-2020.06.02-00.50.zip

Изменено 1 июня, 2020 пользователем pastral

[regist]

При выполнение предыдущего скрипта некорректно отработала чистка реестра.

1) Скачайте свежую (исправленную) версию AVZ по ссылке.

2) Добавьте в реестр рег-файл экспорт которого вы раньше делали. На случай если он у вас не сохранился добавил его в архив с AVZ.

3) Выполните скрипт в AVZ

begin
 DeleteFile('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows\system32\iologmsg.dll', '64');
ExecuteSysClean;
SaveLog(GetAVZDirectory+'ExecuteSysClean.log');
RebootWindows(false);
end.

После скрипта компьютер перезагрузится.

4) Файл ExecuteSysClean.log из папки с AVZ просьба прикрепите.

5) Соберите свежие логи Автологером.

6) Отпишите подробней проблему, по каким признакам вы видите наличие вируса. И заодно есть ли улучшения после скрипта?