Скрытый майнер, повышенная нагрузка, переадресация

Начну с истории заражения и попыток лечения.
По своей глупости скачал файл с непроверенного источника. После запуска, увидел резко подскочившее потребление трафика и нагрузку на систему, потому оперативно выдернул сеть и далее работал изолированно.
Первым делом в диспетчере увидел новые процессы:
Wup.exe
Kplnixo.exe
и csrss, который поглощал больше обычного.
диспетчер вывел меня на C:\User\AppData\Roaming\temp где эти 3 приложения и тусовались.
На рабочем столе появились новые ярлыки, какой-то blackempire, ярлык на порносайт и ярлык с рандомнеймом. А старые получили приписку к выполнению команды запуска.
Всё это добро вело уже в другую директорию C:\ProgramData\EpicNet
После удаления файлов и очистки реестра от связанных с ними записей, я вернул сеть и скачал Dr.Web CureIt, который не нашел угроз.

Через некоторое время, свернув игру я заметил, что фпс жутко просел, проводником, да и всем остальным, просто невозможно было пользоваться, лагал курсор. Открыв диспетчер, комп постепенно успокоился и вышел на нормальное потребление ресурсов. В диспетчере же нагрузка CPU была процентов на 10 выше, чем сумма по приложениям, как и память, 1.5Гб составляли 30% от 16Гб.

После долгого отслеживания процессов уже в Process Hacker, удалось выявить старых друзей, но в более далеких и скрытых директориях:
Wup.exe
Kplnixo.exe
windefender.exe (Который оказался без цифровых подписей, и в нетипичной директории /Windows/)
CloudNet.exe (EpicNet)
csrss.exe
SheduleUpdate.exe (тусовался с ними в одной директории, без цифровых подписей)

В реестре они все снова прописались, но уже удалось найти раздел, в котором описаны были все их пути размножения.
Более того, были найдены ссылки на левые ресурсы
monopeets com
protoblues com
weekdanys com
okonewacon com
blackempirebuild com

Все эти адреса были успешно вписаны в hosts, но на всякий случай глянул в netstat да и в раздел Network в Process Hacker'е.
Многие процессы продублированы, с переходом на внешний адрес monopeets com.

Попробовал зайти в безопасном режиме, дополнительной нагрузки нет.
Попробовал зайти в безопасном режиме с загрузкой сетевых драйверов, появляются эти попытки зайти на monopeets, но доп.нагрузки вроде бы нет.

Пытался сканировать всю систему и реестр по всем ключевым словам и путям, везде чисто. Нашел упоминание monopeets в логах очистки RegOrganizer, в качестве команды для CMD
Уже проверялся:
Dr.Web CureIt - Ничего кроме модифицированного мной Hosts не видит
MalwareBytes - Увидел парочку троянов, корень проблемы так и не нашел.
AVZ - ничего, что могло бы вызвать такие последствия.

Система:
Win10 (17763) (Офф установка с рандомным ключиком). Win defender кастрирован вручную. Обновы должны быть свежими (ведь шиндовс обошел политики и службы, да сам обновился, хотя я был против).

Из главных симптомов на данный момент:

• Во время повышенных нагрузок, что-то дополнительно нагружает систему, вплоть до дерганья изображения в диспетчере или проводнике. (особенно заметно при просмотре видео на втором экране).
• При выключении или перезагрузке компа, всплывает окно с предложением завершить процесс G, или же просто пустой процесс.
  (поиск этого процесса, файла, ключа не дали результатов)
• Огромное количество сетевых процессов, которые жаждут попасть на monopeets

monopeets я гуглил, та единственная инструкция по этому вирусу не сходиться почти ни в чем.

Вложил:
Лог проверки
Скриншот реестра, где указывались вредоносные сайты
Скриншот processHacker'а Network в безопасном режиме.

Миниатюры

   

Вложения

CollectionLog-2018.11.27-02.08.zip (140.6 Кб, 7 просмотров)

0

Здравствуйте!

Файл

d:\crypt\bio_wallet\bio_wallet\biocoin-qt.exe

вам известен?

Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner.

0

Известен. Уже больше года у меня висит кошелек biocoin (есть парочка резервных копий по всем дискам)

Уже запускал два раза до сообщения, запустил снова, все 3 лога прикрепил.

Вложения

	AdwCleaner[S01].txt (1.3 Кб, 0 просмотров)
	AdwCleaner[S00].txt (1.3 Кб, 0 просмотров)
	AdwCleaner[C00].txt (1.5 Кб, 1 просмотров)

0

Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы.

Подготовьте лог uVS.

0

Прикрепил результат Autoruns и uvs

Вложения

	SUPRIMEKAIR1911_2018-11-27_20-50-19_v4.1.7z (825.5 Кб, 1 просмотров)
	SUPRIMEKAIR1911.rar (229.4 Кб, 0 просмотров)

0

Сообщение от SUPRIMEkair Огромное количество сетевых процессов

Отключите в FF все дополнения/расширения и проверьте. Результат сообщите.

0

Тот скрин был сделан в безопасном режиме, из запущенных был только браузер. Дублируются с переадресацией не только процессы FF, но и других приложений, даже тех, которых не было в момент заражения.
Больше всего напрягает explorer.exe, с чего бы ему вообще ломиться в сеть?

Удалил все дополнения, и отключил FF, скрин ниже.
При нагрузке опять пошли тормоза.

Миниатюры

 

0

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

0

Прикрепил

Вложения

FRST.rar (29.1 Кб, 2 просмотров)

0

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Code
  1 2 3 4 5 6 7 8 Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION EmptyTemp: Reboot: End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Если проблема сохранится, проверьте наблюдается ли она в безопасном режиме с поддержкой сети.

0

Лог вложил.
Скрин из безопасного режима (с подгрузкой сетевых драйверов)

Миниатюры

 

Вложения

Fixlog.txt (1.6 Кб, 1 просмотров)

0

К сети подключаетесь через роутер? Если да, какая модель и сколько устройств подключено?

0

Роутер ASUS RT-AC51U
Подключен только ПК и смартфон

0

Сообщение от SUPRIMEkair и смартфон

Тут подобных проблем не наблюдаете?

0

Вроде бы работает нормально.
Глянул с помощью Network Connections, ничего подозретельного нет.

Раз уж подозрение на роутер, стряхнул пыль со старого ноута, никакой лишней активности замечено не было. (хотя он сам по себе рассадник разного рода "живности")

Миниатюры

   

0

Проблемный компьютер запустите в безопасном режиме с поддержкой сети и проверьте. Результат сообщите.

0

С прошлой проверки в безопасном режиме ничего не поменялось.

0

Виноват, не посмотрел, что мы это уже проверяли. Подождите некоторое время.

0

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите [/B]"Ок"[B]
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

0

Извиняюсь, что так долго.

Вложения

Reports.rar (1.8 Кб, 0 просмотров)

0