Вирус майнер VID001

[uropek]

Здравствуйте, нашCollectionLog-2022.03.10-08.23.zipли зараженный компьютер

Проверил с KVRT

[SQ]

Здравствуйте,

 

Знакома ли вам?

O4 - Startup: C:\Users\Перинатальный_центр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\search.cmd    ->    (PE EXE)

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - HKCU\..\Run: [AdopeUpdate] = C:\GoogleChrome\GoogleUpdate.lnk
O4-32 - HKLM\..\Run: [JavaUpdate] = C:\GoogleChrome\GoogleUpdate.lnk
O22 - Task (.job): (Not scheduled) {69A8FFAB-2B0B-ED0C-1A45-7FEF08712F34}.job - C:\Users\Перинатальный_центр\AppData\Local\Todufekafose\updtask.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5128FBE8-3139-414F-B75F-1B954C56AA81} - \{69A8FFAB-2B0B-ED0C-1A45-7FEF08712F34} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8CBA33FE-4284-4166-8260-C454497F6C21} - \Microsoft LocalManager[c599c6ee-efe9-4133-9aab-7435685d54b7] (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C8B512BE-C54E-48A4-85DB-88C7D13F9A67} - \Microsoft LocalManager[7b7c15f9-747a-455f-9ba5-f521dde4252d] (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

 

[uropek]

O4 - Startup: C:\Users\Перинатальный_центр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\search.cmd -> (PE EXE)

Нет, не знакома

AdwCleaner[S00].txt

[SQ]

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Startup: C:\Users\Перинатальный_центр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\search.cmd    ->    (PE EXE)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[uropek]

FRST.txt Addition.txt

[SQ]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   HKU\S-1-5-21-1734145176-637486657-1783376301-1000\...\MountPoints2: {45127a22-bf5b-11eb-84b6-d050997b8634} - 华为手机助手安装向导.exe
   File: C:\Program Files (x86)\bookingDesktopApp\Update\bookingDesktopAppUpdate.exe
   File: C:\Users\Перинатальный_центр\AppData\Local\Todufekafose\updtask.exe
   Folder: C:\Users\Перинатальный_центр\AppData\Local\Todufekafose
   Folder: C:\ProgramData\{26409738-2640-2640-264097384645}
   Folder: C:\ProgramData\{73327183-7332-7332-733271837694}
   Folder: C:\ProgramData\{10300881-1030-1030-103008811873}
   Folder: C:\ProgramData\{26937804-2693-2693-269378040593}
   Folder: C:\ProgramData\{63659752-6365-6365-636597522421}
   Folder: C:\ProgramData\{02276950-0227-0227-022769507118}
   Folder: C:\ProgramData\{62922031-6292-6292-629220312271}
   Folder: C:\ProgramData\{82417856-8241-8241-824178566851}
   2022-03-10 12:17 - 2016-01-13 14:46 - 000000000 _____ C:\Users\Перинатальный_центр\AppData\Roaming\temp.cmd
   CMD: type C:\Users\Перинатальный_центр\AppData\Roaming\temp.cmd
   Folder: C:\ProgramData\{99308141-9930-9930-993081414012}
   Folder: C:\ProgramData\{09139200-0913-0913-091392005617}
   Folder: C:\MozillaFirefox
   Folder: C:\GoogleChrome
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[uropek]

Fixlog.txt

При запуске системы, открывается Chromium, хотя я его удалил 

 

В D диске появился вот такая папка

[SQ]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   C:\MozillaFirefox
   C:\GoogleChrome
   C:\Users\Перинатальный_центр\AppData\Roaming\temp.cmd
   C:\Users\Перинатальный_центр\AppData\Local\Todufekafose
   C:\ProgramData\{26409738-2640-2640-264097384645}
   C:\ProgramData\{73327183-7332-7332-733271837694}
   C:\ProgramData\{10300881-1030-1030-103008811873}
   C:\ProgramData\{26937804-2693-2693-269378040593}
   C:\ProgramData\{63659752-6365-6365-636597522421}
   C:\ProgramData\{02276950-0227-0227-022769507118}
   C:\ProgramData\{62922031-6292-6292-629220312271}
   C:\ProgramData\{82417856-8241-8241-824178566851}
   C:\ProgramData\{99308141-9930-9930-993081414012}
   C:\ProgramData\{09139200-0913-0913-091392005617}
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

 

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('D:\$RECYCLE.BIN\ S-1-5-21-1734145176-637486657-1783376301-1000.scr','');
 QuarantineFile('D:\Photo.scr','');
 DeleteFile('D:\$RECYCLE.BIN\ S-1-5-21-1734145176-637486657-1783376301-1000.scr','32');
 DeleteFile('D:\Photo.scr','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.