Майнер HostXmrig.exe

@Linaiven · Регистрация: 02.04.2018

Author24 — интернет-сервис помощи студентам

Здравствуйте!

На компьютере присутствует данный вирус, после лечения Dr.Web cure it долго не подает признаков активности, но через некоторое время возвращается.
В папке C:\Windows\ есть папка HhSm, в ней лежит client.exe, на который ругается Dr.web.
Так же в C:\Windows\ создается папка min, в которой находятся файлы HostStore.exe, s.exe, setup.exe
В С:\ProgramData\ лежит папка indus

Вложение 925242

@Linaiven · 02.04.2018, 19:19 **[ТС]**

CollectionLog-2018.04.02-22.38.zip

@Sandor · 03.04.2018, 10:17

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Linaiven. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

CleanMyPC, версия 1.8.4.779
indus version 1.5
Skype Toolbars
Интернет
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\indus\rundll32.exe');
 TerminateProcessByName('c:\windows\hhsm\client.exe');
 StopService('AdobeFlashPlayerHash');
 QuarantineFile('c:\programdata\indus\rundll32.exe', '');
 QuarantineFile('C:\ProgramData\indus\Rundll32.exe\servicemanager.pyd', '');
 QuarantineFile('C:\ProgramData\indus\start.vbs', '');
 QuarantineFile('C:\Users\Linaiven\AppData\Local\MICROS~1\Windows\WINUPD~1.EXE', '');
 QuarantineFile('C:\Users\Linaiven\appdata\local\microsoft\windows\winupdate.exe', '');
 QuarantineFile('c:\windows\hhsm\client.exe', '');
 QuarantineFile('C:\Users\Linaiven\AppData\Local\Temp\4154369aq', '');
 QuarantineFile('C:\Users\Linaiven\AppData\Local\Temp\4154384aq', '');
 QuarantineFile('C:\Users\Linaiven\AppData\Local\Temp\658932aq', '');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "At2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "At3" /F', 0, 15000, true);
 DeleteFile('c:\programdata\indus\rundll32.exe', '32');
 DeleteFile('C:\ProgramData\indus\Rundll32.exe\servicemanager.pyd', '32');
 DeleteFile('C:\ProgramData\indus\start.vbs', '32');
 DeleteFile('C:\Users\Linaiven\AppData\Local\MICROS~1\Windows\WINUPD~1.EXE', '32');
 DeleteFile('C:\Users\Linaiven\appdata\local\microsoft\windows\winupdate.exe', '32');
 DeleteFile('c:\windows\hhsm\client.exe', '32');
 DeleteFile('C:\Users\Linaiven\AppData\Local\Temp\4154369aq', '32');
 DeleteFile('C:\Users\Linaiven\AppData\Local\Temp\4154384aq', '32');
 DeleteFile('C:\Users\Linaiven\AppData\Local\Temp\658932aq', '32');
 DeleteService('AdobeFlashPlayerHash');
 DeleteService('Rundll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Linaiven · 03.04.2018, 14:20 **[ТС]**

Проследовал вашим рекомендациям. Новые логи прилагаю CollectionLog-2018.04.03-17.55.zip

@Sandor · 03.04.2018, 14:29

Сообщение от Sandor

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте

Отправили?

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Linaiven · 03.04.2018, 14:55 **[ТС]**

Сообщение от Sandor

Отправили?

Да, через форму вверху страницы этой темы.

FRST.zip

Addition.zip

Shortcut.zip

@Sandor · 03.04.2018, 15:28

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKU\S-1-5-21-1664932189-1729769401-1392589785-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://deposit.stuff-house-poisk.ru/?wkey=591045
Toolbar: HKU\S-1-5-21-1664932189-1729769401-1392589785-1001 -> No Name - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} -  No File
Toolbar: HKU\S-1-5-21-1664932189-1729769401-1392589785-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Linaiven\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2015-12-28] [Legacy]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Linaiven\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2015-12-28] [Legacy] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Linaiven\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-12-28] [Legacy]
FF Extension: (superpromokody) - C:\Users\Linaiven\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{D723D90A-8E67-11E3-81AA-43CE6088709B}.xpi [2014-02-07] [Legacy] [not signed]
S4 Updater.Mail.Ru; C:\Program Files\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [6058712 2016-01-15] (Mail.Ru) <==== ATTENTION
2018-04-02 23:01 - 2018-04-02 23:08 - 000000000 ____D C:\ProgramData\RunDLL
2018-04-03 17:16 - 2018-02-05 14:18 - 000000000 ____D C:\ProgramData\indus
2018-04-03 17:16 - 2018-01-26 14:29 - 000000000 ____D C:\Windows\HhSm
2018-04-03 17:09 - 2018-02-17 20:53 - 000000000 ____D C:\Program Files\CleanMyPC
2018-01-26 14:29 - 2018-02-25 19:25 - 007835995 _____ () C:\ProgramData\temp1.exe
2010-07-26 19:48 - 2004-08-18 20:38 - 000184370 _____ () C:\Users\Linaiven\macshift.exe
Task: {26710E8A-5BC5-478E-82F8-AD5469190706} - System32\Tasks\CMPCUAC => C:\Program Files\CleanMyPC\CleanMyPC.exe
Task: {C9E22A36-CCA6-401B-A2A5-6BF68819D6FD} - \y3anbw -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Linaiven\Local Settings:init [4539288]
AlternateDataStreams: C:\Users\Linaiven\AppData\Local:init [4539288]
AlternateDataStreams: C:\Users\Linaiven\AppData\Local\Application Data:init [4539288]
MSCONFIG\Services: Guard.Mail.ru => 2
MSCONFIG\Services: Updater.Mail.Ru => 2
MSCONFIG\startupreg: Guard.Mail.ru.gui => "C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /gui
MSCONFIG\startupreg: MailRuUpdater => C:\Users\Linaiven\AppData\Local\MailRu\MailRuUpdater.exe
MSCONFIG\startupreg: multibar.exe => "C:\Program Files\Ticno\Multibar\multibar.exe" /auto
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Linaiven · 03.04.2018, 15:41 **[ТС]**

Fixlog.txt

@Sandor · 03.04.2018, 15:50

Проблема решена?

@Linaiven · 03.04.2018, 16:01 **[ТС]**

На данный момент нагрузка на процессор перестала скакать до 100% процентов, сейчас не поднимается более чем до 35%.
В папке C:\Windows\min, помимо HostStore.exe, s.exe, setup.exe появились еще novichek.exe и SkypeAgent.exe

@Sandor · 03.04.2018, 16:11

Тогда продолжим:
Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания работы программы.

Подготовьте лог uVS.

@Linaiven · 03.04.2018, 19:18 **[ТС]**

LINAIVEN-ПК_2018-04-03_23-10-46.7z

@Sandor · 04.04.2018, 09:58

Выполните скрипт в UVS.

Код

;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\PROGRA~2\MSDQJJ.EXE
apply

zoo %SystemRoot%\MIN\HOSTSTORE.EXE
bl B7A59F6868623E0A95EB58A0D09F4810 1010176
addsgn 71007B5D5012403D0BD4AEB164207CB62D8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46E602FA82CA18441ADA33C029F2645BB48FE1B4 8 Win32.BitMiner.gen [Kaspersky] 7

zoo %Sys32%\SETUP.EXE
bl 60B27D691663E1A2E8FEDD063E6ED583 7635023
addsgn A7679B1991AE1F245CE76E3821389B40F962D2707605F74D1D3C3A54CC4D8EB3CBA05CA8C1BDCBF6D47F6C72AEE9B6122935178D661AE54444C6E42FA3F91217 19 BackDoor.Spy.3364 [DrWeb] 7

zoo %SystemRoot%\MIN\SETUP.EXE
bl BCC5251933BC5E395B4C05884BA39984 6363797
zoo %SystemRoot%\MIN\SKYPEAGENT.EXE
bl 541E7F18AD1FA06309CDADF83F46A278 1053696
addsgn 71007B5D5012E03D0BD4AEB16420DC302C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB468605FA82CA54A41ADA33C029F2645BB48FE1B4 8 Trojan.Win32.Miner.gen [Kaspersky] 7

dirzooex %SystemRoot%\MIN\

chklst
delvir

; Java(TM) 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Соберите и прикрепите контрольный лог uVS.

@Linaiven · 04.04.2018, 13:04 **[ТС]**

Сообщение от Sandor

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Отправил

Сообщение от Sandor

Соберите и прикрепите контрольный лог uVS.

LINAIVEN-ПК_2018-04-04_16-57-23.7z

@Sandor · 04.04.2018, 13:34

Что сейчас с проблемой?

@Linaiven · 04.04.2018, 13:54 **[ТС]**

В C:\Windows\min, еще остаются s.exe, novichek.exe, mainer.zip, temp.zip

@Sandor · 04.04.2018, 14:03

Вручную удалите и последите не появятся ли заново.

@Linaiven · 06.04.2018, 14:21 **[ТС]**

Все получилось! Огромное Вам спасибо за помощь!

@Sandor · 06.04.2018, 14:27

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
		1
	Майнер HostXmrig.exe 02.04.2018, 19:15. Показов 2043. Ответов 18 Метки нет (Все метки) Здравствуйте! На компьютере присутствует данный вирус, после лечения Dr.Web cure it долго не подает признаков активности, но через некоторое время возвращается. В папке C:\Windows\ есть папка HhSm, в ней лежит client.exe, на который ругается Dr.web. Так же в C:\Windows\ создается папка min, в которой находятся файлы HostStore.exe, s.exe, setup.exe В С:\ProgramData\ лежит папка indus Вложение 925242 0

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
	02.04.2018, 19:19 [ТС]	2
	CollectionLog-2018.04.02-22.38.zip 0

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
	03.04.2018, 14:20 [ТС]	4
	Проследовал вашим рекомендациям. Новые логи прилагаю CollectionLog-2018.04.03-17.55.zip 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	03.04.2018, 14:29	5
	Сообщение от Sandor Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте Отправили? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
	03.04.2018, 14:55 [ТС]	6
	Сообщение от Sandor Отправили? Да, через форму вверху страницы этой темы. FRST.zip Addition.zip Shortcut.zip 0

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
	03.04.2018, 15:41 [ТС]	8
	Fixlog.txt 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	03.04.2018, 15:50	9
	Проблема решена? 0

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
	03.04.2018, 16:01 [ТС]	10
	На данный момент нагрузка на процессор перестала скакать до 100% процентов, сейчас не поднимается более чем до 35%. В папке C:\Windows\min, помимо HostStore.exe, s.exe, setup.exe появились еще novichek.exe и SkypeAgent.exe 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	03.04.2018, 16:11	11
	Тогда продолжим: Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания работы программы. Подготовьте лог uVS. 0

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
	03.04.2018, 19:18 [ТС]	12
	LINAIVEN-ПК_2018-04-03_23-10-46.7z 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	06.04.2018, 14:27	19
	Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

	06.04.2018, 14:27

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	04.04.2018, 09:58	13
	Выполните скрипт в UVS. Код ;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref %SystemDrive%\PROGRA~2\MSDQJJ.EXE apply zoo %SystemRoot%\MIN\HOSTSTORE.EXE bl B7A59F6868623E0A95EB58A0D09F4810 1010176 addsgn 71007B5D5012403D0BD4AEB164207CB62D8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46E602FA82CA18441ADA33C029F2645BB48FE1B4 8 Win32.BitMiner.gen [Kaspersky] 7 zoo %Sys32%\SETUP.EXE bl 60B27D691663E1A2E8FEDD063E6ED583 7635023 addsgn A7679B1991AE1F245CE76E3821389B40F962D2707605F74D1D3C3A54CC4D8EB3CBA05CA8C1BDCBF6D47F6C72AEE9B6122935178D661AE54444C6E42FA3F91217 19 BackDoor.Spy.3364 [DrWeb] 7 zoo %SystemRoot%\MIN\SETUP.EXE bl BCC5251933BC5E395B4C05884BA39984 6363797 zoo %SystemRoot%\MIN\SKYPEAGENT.EXE bl 541E7F18AD1FA06309CDADF83F46A278 1053696 addsgn 71007B5D5012E03D0BD4AEB16420DC302C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB468605FA82CA54A41ADA33C029F2645BB48FE1B4 8 Trojan.Win32.Miner.gen [Kaspersky] 7 dirzooex %SystemRoot%\MIN\ chklst delvir ; Java(TM) 6 Update 31 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Соберите и прикрепите контрольный лог uVS. 0

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
	04.04.2018, 13:04 [ТС]	14
	Сообщение от Sandor Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Отправил Сообщение от Sandor Соберите и прикрепите контрольный лог uVS. LINAIVEN-ПК_2018-04-04_16-57-23.7z 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	04.04.2018, 13:34	15
	Что сейчас с проблемой? 0

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
	04.04.2018, 13:54 [ТС]	16
	В C:\Windows\min, еще остаются s.exe, novichek.exe, mainer.zip, temp.zip 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	04.04.2018, 14:03	17
	Вручную удалите и последите не появятся ли заново. 1

@Linaiven 0 / 0 / 0 Регистрация: 02.04.2018 Сообщений: 10
	06.04.2018, 14:21 [ТС]	18
	Все получилось! Огромное Вам спасибо за помощь! 0