Скрытый майнер в процессе lsass.exe

@Николай_Иванов · Регистрация: 03.07.2021

Author24 — интернет-сервис помощи студентам

Доброго времени суток, проблема следующая:
В поисках одной программы установил себе скрытый майнер и кучу другой разной дряни. Помимо майнера Дроппером были установлены всякие яндекс шляпы и разная рекламная дрянь, от которой я избавился, ибо понимал, что возможно тот софт, что я качаю - вирусный. Сделал заранее бэкап системы и откатился на него, но в результате всё равно были украдены пароли от разных аккаунтов, которые я уже восстановил, пароли сменил (думал, что самый умный, но кодер вируса оказался умнее). Вирусом были загружены видео на мой YT канал, которые я тут же удалил, была удалена двухфакторная аутентификация с Google-аккаунта, тоже восстановил. В общем с помощью бэкапа удалилось всё, кроме самого майнера. Прогонял сканы различными программами, в числе которых:
AVG Antivirus, HitmanPro, Malwarebytes, RogueKiller, SpyHunter 5, Kaspersky Interner Security, NOD32, ни один из них не определил майнер как вирус. Пробовал сканировать в Safe Mode, но майнер активен даже в этом случае. Пробовал сканировать с помощью Kaspersky Rescue Disc, безрезультатно. Утилита, опять же, не распознаёт майнер как угрозу.
Поведение майнера следующее: запускается он не сразу, а спустя минуту-две после входа в систему. При попытке удаления файла tDEx1u.sys (а именно этот файл был создан в каталоге C:/Windows/System32/drivers в то время, когда я ставил этот софт, я запомнил время) - он сам себя восстанавливает, сразу же. При открытии Диспетчера задач майнер приостанавливает свою деятельность, но т.к. у меня постоянно на втором мониторе открыт MSI Afterburner - я вижу скачки загруженности процессора в диапазоне 15-80%, график во вложениях. Пробовал заархивировать файл, не даётся, ошибка с правами доступа. Ни переименовать, ни скопировать себя так же не даёт, те же права доступа. Судя по всему, гадёныш как-то защищает себя от сканирования, т.к. при попытке ручного сканирования именно этого файла любым вышеперечисленным способом мне выдаёт "Угроз не обнаружено, просканировано файлов: 0". Искал файлы по дате создания за 26.06.2021, в списке найденных именно за промежуток времени, когда я запускал этот софт есть только этот файл (между 23:40 и 23:50). Через AnVir в потоках процесса lsass.exe нашёл 8 потоков, нагружающих процессор. При их убийстве нагрузка снижается до нормальных в простое значений (3-10%). После длительного сна и перезагрузки потоки возвращаются к работе. Прикрепляю логи с работающим майнером и изображения графика загрузки ЦП, а так же скриншот потоков, если последнее вдруг будет полезно.
Не пойму как же его убрать. Он вроде и не сильно мешает, т.к. нагрузку я понял как убрать, но сам факт наличия его в моей системе меня не устраивает. Знаю что сам дурак, поэтому прошу помощи, заранее благодарю.

Кликните здесь для просмотра всего текста

Название: изображение_2021-07-03_152107.png
Просмотров: 114

Размер: 2.2 Кб

@Николай_Иванов · 03.07.2021, 08:51 **[ТС]**

Забыл запустить логгер от имени админа, прикладываю новый лог. Кстати, в моей винде отключен дефолтный защитник (прям с потрохами выпилен), как и Центр Обновлений.

@Sandor · 04.07.2021, 10:10

Здравствуйте!

Дополнительно:
Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы.
Подготовьте лог uVS.

@Николай_Иванов · 04.07.2021, 13:33 **[ТС]**

Готово. По поводу Autoruns, там ведь не графическая версия, которая не создаёт логов (по ссылке, что вы мне дали). Я запустил и эту версию, она сделала свои дела и закрылась, потом скачал ещё графическую версию и на всякий случай прикрепил лог от неё.

@Николай_Иванов · 04.07.2021, 13:43 **[ТС]**

И ещё кое-что забыл, нашёлся ещё один файл под названием C_32770.NLS в каталоге C:\Windows\System32, созданный 26.06.2021 23:46, то есть через 5 минут после создания tDEx1u.sys. Этот файл уже сканится, Касперский угроз не обнаружил. На Virustotal он не загружается, по архивации/копированию и т.д. ведёт себя точно так же, как и tDEx1u.sys. В каталоге имеются другие файлы .NLS, но все они за 2019 год.

@Sandor · 04.07.2021, 14:38

Внимание! Рекомендации написаны специально для пользователя Николай_Иванов. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Выполните скрипт в UVS.

Код

;uVS v4.11.6 [[url]http://dsrt.dyndns.org:8888][/url]
;Target OS: NTv10.0
v400c
regt 39
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер может быть перезагружен.

Соберите образ автозапуска uVS по этой инструкции.

@Николай_Иванов · 05.07.2021, 12:47 **[ТС]**

Есть ли какая-то альтернатива создания загрузочной флешки? Я не могу понять, как интегрировать драйвера в образ. Пытался делать по инструкции через команду Dism /image:C:\winpe\mount /Add-Driver /Driver:Путь к .inf, но что скачанные в сети драйвера, что вытащенные из Win7 с помощью Dism++, в которой эти драйвера были уже зашиты изначально не интегрируются, всегда ошибка 2, не удалось установить пакет драйверов.
В логах вот это:

Кликните здесь для просмотра всего текста

DISM Driver Manager: PID=4308 Driver C:\Users\��\Desktop\drivers\1\amdhub31.inf is boot-critical. - CDriverPackage::FillInPackageDetails
2021-07-05 12:26:31, Info IsDriverPackageSigned: File [C:\Users\Николай\Desktop\drivers\1\amdhub31.inf] is signed by a catalog [C:\Users\Николай\Desktop\drivers\1\amdhub31.cat]
2021-07-05 12:26:31, Info DISM DISM Driver Manager: PID=4308 Signature status of driver C:\Users\��\Desktop\drivers\1\amdhub31.inf is: SIGNED - CDriverPackage::InitSignatureStatus
2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 Failed to install the driver package 'C:\Users\��\Desktop\drivers\1\amdhub31.inf'. - CDmiDriverStore::Import(hr:0x80070002)
2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 Failed to install the driver package 'C:\Users\��\Desktop\drivers\1\amdhub31.inf'. - CDriverPackage::InternalInstall(hr:0x80070002)
2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 d:\w7rtm\base\ntsetup\opktools\dism\providers\dmiprovider\dll\driverpackage.cpp: 433 - CDriverPackage::Install(hr:0x80070002)
2021-07-05 12:26:31, Info DISM DISM Driver Manager: PID=4308 Driver package C:\Users\��\Desktop\drivers\1\amdhub31.inf failed to install. (hr:0x80070002). - CDriverManager::AddDriverPackagesFromCollection
2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 d:\w7rtm\base\ntsetup\opktools\dism\providers\dmiprovider\dll\drivermanager.cpp: 1063 - CDriverManager::Internal_DoAddDriverPackage(hr:0x80070002)
2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 d:\w7rtm\base\ntsetup\opktools\dism\providers\dmiprovider\dll\drivermanager.cpp: 519 - CDriverManager::ExecuteCmdLine(hr:0x80070002)
2021-07-05 12:26:31, Info DISM DISM Driver Manager: PID=4308 Further logs for driver related operations can be found in the target operating system at %WINDIR%\inf\setupapi.offline.log - CDriverManager::ExecuteCmdLine
2021-07-05 12:26:31, Error DISM DISM.EXE: DriverManager processed the command line but failed. HRESULT=80070002

Эти драйвера для USB 3.0, с чипсетом х370 от AMD ни один USB-порт на 7 не работает, если только в неё уже не зашиты драйвера. Я сделал загрузочную флешку, поставил всё как надо, загрузился в Win PE, всё хорошо, вижу меню, вот только сделать я ничего там не могу, ни одно устройство ввода не работает. В плате нет PS/2, нет эмуляции PS/2 в UEFI, нет BIOSa, только этот самый UEFI, отключение XHCI не помогает. Перекинуть хранилище с заражённой системой на другой ПК не вариант, нет плат на старых чипсетах под рукой со слотами под SSD M.2 (моё системное хранилище). Второй день ковыряюсь, не знаю что делать уже. Хотел было уже форматнуть SSD и накатить систему по новой, да ведь не факт, что майнер удалится, они ведь и после форматирования могут выжить.

@Николай_Иванов · 06.07.2021, 07:06 **[ТС]**

С горем пополам сделал, спасибо человеку, который скинул в ЛС образ, созданный из-под Win10. Делал так: вытащил все накопители, контактировавшие с заражённой системой, поставил семёрку на чистый накопитель и делал на ней все манипуляции с записью образа и т.д.. Потом подключил все накопители обратно, отключил с чистой семёркой и просканил. Лог скидываю так же с семёрки.

@Sandor · 06.07.2021, 16:58

Выполните этот скрипт:

Код

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %Sys32%\DRIVERS\TDEX1U.SYS
addsgn 9AB03EF37D82AEA06FD4AEB165C216052FFEFEF68CCE1E7885C397C83C9114387572B124573AF3492B80CDF001733DBE18A98111309BC4584C14CC42A2685631 64 Win32/Agent.ABZW.gen 7

chklst
delvir

apply

deltmp
czoo
quit

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Убедитесь, что лог выполнения и карантин у вас сохранены на флешке.

Далее загружаетесь в нормальном режиме и соберите новый образ автозапуска uVS.

@Николай_Иванов · 07.07.2021, 09:15 **[ТС]**

Спасибо большое, майнер вроде бы кончился. Прикрепляю лог и образ автозапуска, карантин отправил.

@Sandor · 07.07.2021, 20:19

Отлично! В завершение:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Николай_Иванов · 08.07.2021, 10:24 **[ТС]**

Готово.

@Sandor · 08.07.2021, 20:48

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.329.19041.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5003637 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.22.0.32 v.3.22.0.32 Внимание! Скачать обновления
Wireshark 3.2.6 64-bit v.3.2.6 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 15.2.6 Basic v.15.2.6 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 76.0.4017.208 v.76.0.4017.208 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

Читайте Рекомендации после удаления вредоносного ПО

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	04.07.2021, 10:10	3
	Здравствуйте! Дополнительно: Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы. Подготовьте лог uVS. 1

@Николай_Иванов 0 / 0 / 0 Регистрация: 03.07.2021 Сообщений: 8
	04.07.2021, 13:43 [ТС]	5
	И ещё кое-что забыл, нашёлся ещё один файл под названием C_32770.NLS в каталоге C:\Windows\System32, созданный 26.06.2021 23:46, то есть через 5 минут после создания tDEx1u.sys. Этот файл уже сканится, Касперский угроз не обнаружил. На Virustotal он не загружается, по архивации/копированию и т.д. ведёт себя точно так же, как и tDEx1u.sys. В каталоге имеются другие файлы .NLS, но все они за 2019 год. 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	04.07.2021, 14:38	6
	Внимание! Рекомендации написаны специально для пользователя Николай_Иванов. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Выполните скрипт в UVS. Код ;uVS v4.11.6 [[url]http://dsrt.dyndns.org:8888][/url] ;Target OS: NTv10.0 v400c regt 39 restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер может быть перезагружен. Соберите образ автозапуска uVS по этой инструкции. 1

@Николай_Иванов 0 / 0 / 0 Регистрация: 03.07.2021 Сообщений: 8
	05.07.2021, 12:47 [ТС]	7
	Есть ли какая-то альтернатива создания загрузочной флешки? Я не могу понять, как интегрировать драйвера в образ. Пытался делать по инструкции через команду Dism /image:C:\winpe\mount /Add-Driver /Driver:Путь к .inf, но что скачанные в сети драйвера, что вытащенные из Win7 с помощью Dism++, в которой эти драйвера были уже зашиты изначально не интегрируются, всегда ошибка 2, не удалось установить пакет драйверов. В логах вот это: Кликните здесь для просмотра всего текста DISM Driver Manager: PID=4308 Driver C:\Users\��\Desktop\drivers\1\amdhub31.inf is boot-critical. - CDriverPackage::FillInPackageDetails 2021-07-05 12:26:31, Info IsDriverPackageSigned: File [C:\Users\Николай\Desktop\drivers\1\amdhub31.inf] is signed by a catalog [C:\Users\Николай\Desktop\drivers\1\amdhub31.cat] 2021-07-05 12:26:31, Info DISM DISM Driver Manager: PID=4308 Signature status of driver C:\Users\��\Desktop\drivers\1\amdhub31.inf is: SIGNED - CDriverPackage::InitSignatureStatus 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 Failed to install the driver package 'C:\Users\��\Desktop\drivers\1\amdhub31.inf'. - CDmiDriverStore::Import(hr:0x80070002) 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 Failed to install the driver package 'C:\Users\��\Desktop\drivers\1\amdhub31.inf'. - CDriverPackage::InternalInstall(hr:0x80070002) 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 d:\w7rtm\base\ntsetup\opktools\dism\providers\dmiprovider\dll\driverpackage.cpp: 433 - CDriverPackage::Install(hr:0x80070002) 2021-07-05 12:26:31, Info DISM DISM Driver Manager: PID=4308 Driver package C:\Users\��\Desktop\drivers\1\amdhub31.inf failed to install. (hr:0x80070002). - CDriverManager::AddDriverPackagesFromCollection 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 d:\w7rtm\base\ntsetup\opktools\dism\providers\dmiprovider\dll\drivermanager.cpp: 1063 - CDriverManager::Internal_DoAddDriverPackage(hr:0x80070002) 2021-07-05 12:26:31, Error DISM DISM Driver Manager: PID=4308 d:\w7rtm\base\ntsetup\opktools\dism\providers\dmiprovider\dll\drivermanager.cpp: 519 - CDriverManager::ExecuteCmdLine(hr:0x80070002) 2021-07-05 12:26:31, Info DISM DISM Driver Manager: PID=4308 Further logs for driver related operations can be found in the target operating system at %WINDIR%\inf\setupapi.offline.log - CDriverManager::ExecuteCmdLine 2021-07-05 12:26:31, Error DISM DISM.EXE: DriverManager processed the command line but failed. HRESULT=80070002 Эти драйвера для USB 3.0, с чипсетом х370 от AMD ни один USB-порт на 7 не работает, если только в неё уже не зашиты драйвера. Я сделал загрузочную флешку, поставил всё как надо, загрузился в Win PE, всё хорошо, вижу меню, вот только сделать я ничего там не могу, ни одно устройство ввода не работает. В плате нет PS/2, нет эмуляции PS/2 в UEFI, нет BIOSa, только этот самый UEFI, отключение XHCI не помогает. Перекинуть хранилище с заражённой системой на другой ПК не вариант, нет плат на старых чипсетах под рукой со слотами под SSD M.2 (моё системное хранилище). Второй день ковыряюсь, не знаю что делать уже. Хотел было уже форматнуть SSD и накатить систему по новой, да ведь не факт, что майнер удалится, они ведь и после форматирования могут выжить. 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	06.07.2021, 16:58	9
	Сообщение было отмечено Николай_Иванов как решение Решение Выполните этот скрипт: Код ;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %Sys32%\DRIVERS\TDEX1U.SYS addsgn 9AB03EF37D82AEA06FD4AEB165C216052FFEFEF68CCE1E7885C397C83C9114387572B124573AF3492B80CDF001733DBE18A98111309BC4584C14CC42A2685631 64 Win32/Agent.ABZW.gen 7 chklst delvir apply deltmp czoo quit В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Убедитесь, что лог выполнения и карантин у вас сохранены на флешке. Далее загружаетесь в нормальном режиме и соберите новый образ автозапуска uVS. 1

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	07.07.2021, 20:19	11
	Отлично! В завершение: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	08.07.2021, 20:48	13
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.329.19041.0 Внимание! Скачать обновления Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено ------------------------------- [ HotFix ] -------------------------------- HotFix KB5003637 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ NVIDIA GeForce Experience 3.22.0.32 v.3.22.0.32 Внимание! Скачать обновления Wireshark 3.2.6 64-bit v.3.2.6 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- K-Lite Codec Pack 15.2.6 Basic v.15.2.6 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Opera GX Stable 76.0.4017.208 v.76.0.4017.208 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Читайте Рекомендации после удаления вредоносного ПО 0

Опции темы

Скрытый майнер в процессе lsass.exe

Решение