Помогите вывести вирус-майнер VID001

[Nerff 0]

Добрый день.

На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами:

 

C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\

C:\Users\admin\Start Menu\Programs\Startup\

C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

в каждой из этих папок образуется файл vid001.exe
kaspersky endpoint security опеределяет его как Worm.NSIS.BitMin.d, удаляет, но зловред появляется вновь спустя несколько минут.
В сети более 40 машин, операционки разные: Win7, 8.1, 10, на каждой из них стоит лицензионный каспер, но от заражения это не уберегло. Помогите избавится.

[Sandor 833]

Здравствуйте!

 

8 минут назад, Nerff сказал:

В сети более 40 машин

Пролечите с помощью KVRT.

 

9 минут назад, Nerff сказал:

на каждой из них стоит лицензионный каспер

Пока ни о чем не говорит. Какая версия? Как настроена? Есть ли у локального администратора возможность отключать защиту?

 

10 минут назад, Nerff сказал:

На компьютере постоянно появляются папки

Порядок оформления запроса о помощи

 

Один компьютер - одна тема.

[Nerff 0]

После пролечивания вирус снова появляется.
 

Версия: Kaspersky Endpoint Security 11.3.0.773. Локальный администратор может выгрузить его.

 

Лог прикрепил.

CollectionLog-2020.07.15-17.40.zip

[Sandor 833]

1 час назад, Nerff сказал:

Локальный администратор может выгрузить его

Это одна из причин.

 

Утилиты лечения как раз следует запускать от имени администратора.

Цитата

Ran by:    s.eliseev    (group: Limited User)

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится. 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Sandor 833]

+

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[Nerff 0]

В virusinfo файл загрузил.
Ссылка на результаты анализа: Результаты анализа карантина

FRST_Addition.zip

[Sandor 833]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {73a3641d-9899-11ea-9264-1078d2d65be5} - "E:\setup.exe" 
  HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {a07b6970-9908-11ea-9264-1078d2d65be5} - "F:\setup.exe" 
  GroupPolicy: Restriction ? <==== ATTENTION
  CHR HKU\S-1-5-21-2267304049-600055561-1418866498-1515\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  AlternateDataStreams: C:\Windows\system32\Drivers\wtqqamae.sys:changelist [356]
  HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\exefile:  <==== ATTENTION
  HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.exe:  =>  <==== ATTENTION
  HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\comfile:  <==== ATTENTION
  HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.com:  =>  <==== ATTENTION
  HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\scrfile:  <==== ATTENTION
  HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.scr:  =>  <==== ATTENTION
  FirewallRules: [{F5580E7F-53B4-4815-85D1-65D1ECF0E81D}] => (Allow) LPort=15000
  FirewallRules: [{DE62FFD1-3661-4976-975B-AF59B4C398E6}] => (Allow) LPort=15000
  FirewallRules: [{770A74A2-14F1-4441-83BB-1E6287B5C9DF}] => (Allow) LPort=82
  FirewallRules: [{8920D700-D02E-413C-B976-1E8BF910D7CB}] => (Allow) LPort=82
  FirewallRules: [{1C708258-009E-4044-BD7A-733976361638}] => (Allow) LPort=15001
  FirewallRules: [{E58ED0D3-F92B-4201-B39B-B35F5F512FDF}] => (Allow) LPort=15001
  FirewallRules: [{DC92E695-89E5-4670-96A0-DEFB5725305E}] => (Allow) LPort=15000
  FirewallRules: [{0F22A1F5-0E47-4B40-A1C1-77BB17FAED15}] => (Allow) LPort=15001
  FirewallRules: [{B8E07461-D2F5-4210-831C-4F912B786961}] => (Allow) LPort=135
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[Nerff 0]

Спасибо за помощь, тему можно закрыть. Нашли основного распространителя, с остатками справился каспер.

[Sandor 833]

Версию KSC обновите до актуальной 12-й.