Вирус-майнер HostXmrig.exe

@lCrashl · Регистрация: 08.01.2018

Author24 — интернет-сервис помощи студентам

Добрый день.
В папке C:\Windows\ создается папка HhSm, через некоторое время в папке C:\Windows\ создается папка min, в которой находится файл HostXmrig.exe. Этот файл запускается, находиться в процессах и сильно грузит ЦП. Также к этому вирусу имеют отношение файл temp1.exe в c:\ProgramData\, служба AdobeFlashPlayerHash. Антивирусники видят инфицированные файлы (или видят частично), удаляют, но вирус каждый раз появляется снова. Переустановка Windows не помогла.

Ранее пытался вычистить вирус самостоятельно. Изначально была установлена программа с названием "indus v 1.5", а в папке c:\ProgramData\ лежала папка indus. После чистки в папке c:\ProgramData\ появилась уже другая папка Rundll с соответствующей службой Rundll. Удаление всех этих папок и и служб не помогло. При каждом запуске системы появляется сообщение о том, что не удается найти файл сценария c:\ProgramData\indus\start.vbs

Очень похожая проблема уже рассматривалась на Вашем сайте HostXmrig.exe

@Sandor · 08.01.2018, 14:36

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя lCrashl. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\temp1.exe');
 TerminateProcessByName('c:\windows\hhsm\client.exe');
 QuarantineFile('C:\ProgramData\indus\start.vbs', '');
 QuarantineFile('C:\ProgramData\Rundll\exel.exe', '');
 QuarantineFile('c:\programdata\temp1.exe', '');
 QuarantineFile('c:\windows\hhsm\client.exe', '');
 DeleteFile('C:\ProgramData\indus\start.vbs', '32');
 DeleteFile('C:\ProgramData\Rundll\exel.exe', '32');
 DeleteFile('c:\programdata\temp1.exe', '32');
 DeleteFile('c:\windows\hhsm\client.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@lCrashl · 08.01.2018, 15:40 **[ТС]**

Готово. Файл quarantine.zip отправил из формы.

@lCrashl · 08.01.2018, 15:45 **[ТС]**

К сожалению, это не помогло. Папки обновились и процесс HostXmrig.exe уже запущен.

@Sandor · 08.01.2018, 15:45

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@lCrashl · 08.01.2018, 15:52 **[ТС]**

Готово.

@Sandor · 08.01.2018, 15:58

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
() C:\ProgramData\temp1.exe
() C:\Windows\HhSm\Client.exe
() C:\ProgramData\temp1.exe
() C:\ProgramData\temp1.exe
(www.System.com) C:\Windows\min\HostXmrig.exe
2018-01-08 14:38 - 2018-01-08 14:38 - 001286748 _____ C:\ProgramData\temp1.exe
2018-01-08 12:46 - 2018-01-08 14:28 - 000000000 ____D C:\ProgramData\RunDLL
2018-01-08 12:38 - 2018-01-08 14:20 - 000000000 ____D C:\Windows\min
2018-01-08 11:59 - 2018-01-08 14:38 - 000000000 ____D C:\Windows\HhSm
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@lCrashl · 08.01.2018, 16:12 **[ТС]**

Видимо я поспешил, поскольку снял процессы temp1, client и hostXmrig самостоятельно незадолго до Вашего сообщения.

@Sandor · 08.01.2018, 16:51

Что сейчас с проблемой?

@lCrashl · 08.01.2018, 16:56 **[ТС]**

Без изменений. Папки HhSm и min, а также файл temp1 в ProgramData обновляются самостоятельно. Сейчас в процессах два temp1.exe и client.exe *32. К сожалению, ничего не помогло.

@Sandor · 08.01.2018, 16:58

Подготовьте лог uVS.

@lCrashl · 08.01.2018, 17:11 **[ТС]**

Готово.

@Sandor · 08.01.2018, 17:20

Выполните скрипт в UVS.

Код

;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1
v400c
BREG

zoo %SystemRoot%\HHSM\CLIENT.EXE
bl E019C4EFAB52427C3158EE7B8388CBA6 1282560
addsgn 9252779A226AC1CC0BC4674EA34F0A991B8ACE04FF0348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Trojan.Win32.Blouiroet.ea [Kaspersky] 7

zoo %SystemDrive%\PROGRAMDATA\TEMP1.EXE
bl 6600506C7EEFC0D870A31E011CB974CB 1286748
addsgn 7300F39B556A1F245CE775D965481205ACD6D8EE4EBE3B681D6285BCD98A556CE553E7431EAA88E1ABC0846053B2C9BA7DB9D57455AEA17FC50B8B2FC73DE107 8 Trojan.Win32.Blouiroet.ea [Kaspersky] 7

zoo %SystemRoot%\MIN\HOSTXMRIG.EXE
bl CA5A2704626CF154520D1DA2B123DC77 553472
addsgn BA6F9BB2BD5949720B9C2D754C2164FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 8 RiskTool.Win32.BitMiner.gen [Kaspersky] 7

chklst
delvir
deldir %SystemRoot%\MIN
deldir %SystemRoot%\HHSM
czoo
deltmp
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Соберите свежий лог uVS.

@lCrashl · 08.01.2018, 17:36 **[ТС]**

Готово.

@Sandor · 08.01.2018, 17:38

В логах порядок. Как внешне?

@lCrashl · 08.01.2018, 17:53 **[ТС]**

Пока хорошо. В ProgramDate пусто, в Windows пусто, процессы чисты, служб AdobeFlashPlayerHash и Rundll не наблюдаю. По своему опыту я знаю, что на построение цепочки из вредоносных файлов, процессов и служб может уходить довольно длительное время, в том числе несколько перезагрузок ПК. Я помониторю какое-то время и обязательно Вам отпишусь о присутствии или отсутствии прогресса.

@Sandor · 08.01.2018, 17:55

Конечно, понаблюдайте.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@lCrashl · 08.01.2018, 18:07 **[ТС]**

Готово.

@Sandor · 08.01.2018, 18:12

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Восстановление системы отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Есть чем заняться

Рекомендации после удаления вредоносного ПО

@lCrashl · 08.01.2018, 18:15 **[ТС]**

Процесс пошел восстанавливаться заново. В ProgramDate уже появился файл temp1.exe

@lCrashl 0 / 0 / 0 Регистрация: 08.01.2018 Сообщений: 16
	08.01.2018, 15:45 [ТС]	4
	К сожалению, это не помогло. Папки обновились и процесс HostXmrig.exe уже запущен. Миниатюры 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.01.2018, 15:45	5
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.01.2018, 15:58	7
	Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CreateRestorePoint: () C:\ProgramData\temp1.exe () C:\Windows\HhSm\Client.exe () C:\ProgramData\temp1.exe () C:\ProgramData\temp1.exe (www.System.com) C:\Windows\min\HostXmrig.exe 2018-01-08 14:38 - 2018-01-08 14:38 - 001286748 _____ C:\ProgramData\temp1.exe 2018-01-08 12:46 - 2018-01-08 14:28 - 000000000 ____D C:\ProgramData\RunDLL 2018-01-08 12:38 - 2018-01-08 14:20 - 000000000 ____D C:\Windows\min 2018-01-08 11:59 - 2018-01-08 14:38 - 000000000 ____D C:\Windows\HhSm EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.01.2018, 16:51	9
	Что сейчас с проблемой? 0

@lCrashl 0 / 0 / 0 Регистрация: 08.01.2018 Сообщений: 16
	08.01.2018, 16:56 [ТС]	10
	Без изменений. Папки HhSm и min, а также файл temp1 в ProgramData обновляются самостоятельно. Сейчас в процессах два temp1.exe и client.exe *32. К сожалению, ничего не помогло. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.01.2018, 16:58	11
	Подготовьте лог uVS. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.01.2018, 17:38	15
	В логах порядок. Как внешне? 0

@lCrashl 0 / 0 / 0 Регистрация: 08.01.2018 Сообщений: 16
	08.01.2018, 17:53 [ТС]	16
	Пока хорошо. В ProgramDate пусто, в Windows пусто, процессы чисты, служб AdobeFlashPlayerHash и Rundll не наблюдаю. По своему опыту я знаю, что на построение цепочки из вредоносных файлов, процессов и служб может уходить довольно длительное время, в том числе несколько перезагрузок ПК. Я помониторю какое-то время и обязательно Вам отпишусь о присутствии или отсутствии прогресса. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.01.2018, 17:55	17
	Конечно, понаблюдайте. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.01.2018, 18:12	19
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) Восстановление системы отключено ------------------------------- [ HotFix ] -------------------------------- HotFix KB3115858 Внимание! Скачать обновления HotFix KB3140735 Внимание! Скачать обновления HotFix KB3138910 Внимание! Скачать обновления HotFix KB3138962 Внимание! Скачать обновления HotFix KB3145739 Внимание! Скачать обновления HotFix KB3146963 Внимание! Скачать обновления HotFix KB3156013 Внимание! Скачать обновления HotFix KB3156016 Внимание! Скачать обновления HotFix KB3156019 Внимание! Скачать обновления HotFix KB3155178 Внимание! Скачать обновления HotFix KB3153171 Внимание! Скачать обновления HotFix KB3170455 Внимание! Скачать обновления HotFix KB3178034 Внимание! Скачать обновления HotFix KB3185911 Внимание! Скачать обновления HotFix KB3184122 Внимание! Скачать обновления HotFix KB3192391 Внимание! Скачать обновления HotFix KB3197867 Внимание! Скачать обновления HotFix KB3205394 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4019263 Внимание! Скачать обновления HotFix KB4022722 Внимание! Скачать обновления HotFix KB4015546 Внимание! Скачать обновления HotFix KB4025337 Внимание! Скачать обновления HotFix KB4034679 Внимание! Скачать обновления HotFix KB4041678 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ Есть чем заняться Рекомендации после удаления вредоносного ПО 0

@lCrashl 0 / 0 / 0 Регистрация: 08.01.2018 Сообщений: 16
	08.01.2018, 18:15 [ТС]	20
	Процесс пошел восстанавливаться заново. В ProgramDate уже появился файл temp1.exe Миниатюры 0