[ Закрыто ] после вируса майнера Todo Mysa, ok

не запускается ни автоматически ни вручную Smart Security (после вируса майнера Todo  Mysa, ok)
В реестре стоит  - "egui" = ""C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide"   но в процессах нет его
Изменено: Гриша Мясцов - 01.04.2019 08:40:28
Гриша Мясцов


Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
deltmp
regt 26
restart
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\TROJAN REMOVER\TRANTIHJ.EXE
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\OPERA\LAUNCHER.EXE
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\63.0.3239.84\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\73.0.3683.86\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\ATI2EVXX.EXE
delref %SystemDrive%\USERS\08E7~1\APPDATA\LOCAL\TEMP\GPU-Z.SYS
delref %Sys32%\DRIVERS\PFC.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\CONIME.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX 2016\INVENTOR SERVER\BIN\TESTSERVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CS6\WMENCODINGHELPER.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\CREATIVE\SHAREDLL\PFMOD.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBESUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ADOBE ILLUSTRATOR CS6\ADOBE ILLUSTRATOR CS6\SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref K:\AUTORUN\CDRUN.EXE
delref G:\AUTORUN.EXE
delref %SystemDrive%\USERS\МЕРЗА\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\AFTERFX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LOOKSBUILDER\LOOKSBUILDERPL.EXE
delref %SystemRoot%\INSTALLER\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}\APPLESOFTWAREUPDATEICO.EXE
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\MOCHA\BIN\MOCHA4AE_ADOBE.EXE
delref %SystemRoot%\INSTALLER\{5783F2D7-7001-0419-0102-0060B0CE6BBA}\ACAD162_ICON.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\3DSMAX.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\JSR\M3GPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\MAXFIND.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\VRLSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\SETVRLSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\STARTVRLSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\FILTER_GENERATOR.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\IMAPVIEWER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\LENS_ANALYZER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\VRMESH_VIEWER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\V-RAY\3DSMAX 2010 FOR X64\UNINSTALL\WININSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\VRAYSPAWNER2010.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\V-RAY\RT FOR 3DS MAX 2010 FOR X64\BIN\VRAYRTSPAWNER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\V-RAY\RT FOR 3DS MAX 2010 FOR X64\BIN\OCLDEVICESELECT.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\XLICONS.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\WORDICON.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\MSPICONS.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\OISICON.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\MISC.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\CAGICON.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\OPWICON.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STREAMTRANSPORT\HELP.URL
delref %SystemDrive%\PROGRAMDATA\APPDATA\LOCAL\UMMYVIDEODOWNLOADER\UMMYVIDEODOWNLOADER.EXE
delall %SystemDrive%\USERS\МЕРЗА\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\91YH7QU6.DEFAULT\EXTENSIONS\HELPER-SIG@SAVEFROM.NET.XPI
apply





+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Изменено: RP55 RP55 - 01.04.2019 08:40:28
Скрипт выполнил. нод попрежнему открывается и закрывается почти сразу.  

отчет от майл вайрЬайт прикрепил
там найдено несколько кейгенов и Дат-файл. В нем строка - "45.58.135.106
103.213.246.23
ok.mymyxmra.ru
18.218.14.96
74.222.14.61
78.142.29.152
"
Рядом Дат с другим именем, но его не нашел майлвайрБайт

В реестре все так же стоит Хайд у Нод 32 -  "egui" = ""C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide"   Удаляю в реестре вручную командуХайд. Порсле перезагрузки оно снова там появляется.. И снова появился манер как толкьо открыфл браузер Хром при подключенном интернете. С Мусой и Ок в Планировщике заданий, и с xpdown.dat в той папке

прилагаю обновлённый скан с майнером
Изменено: Гриша Мясцов - 01.04.2019 08:40:28
судя по логу мбам, по характерным признакам:
Trojan.BitCoinMiner, C:\WINDOWS\TEMP\CONHOST.EXE, Проигнорировано пользователем, [609], [589425],1.0.9940

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\"", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__EventFilter.Name="fuckyoumm3", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:CommandLineEventConsumer.Name="fuckyoumm4", Проигнорировано пользователем, [14548], [621747],1.0.9940

еще и политика безопасности IPSec обнаружена
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7dc75e5e-a9d9-443e-8d2d-e8b216c9090c}
--------------
у вас скорее всего заражение BOOT.DarkGalaxy, (с заражением MBR)

удалите все найденное в мбам,
перегрузите систему,
добавьте новый образ автозапуска системы

+
сделайте проверку системы этой утилитой,
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
но ничего не удаляйте при обнаружении. (если будет что-то найдено)
Удалил все МайлвайрБайтом, Перегрузился. Открыл ГуглХром, но не подключился к интернету. Выждал минут 10, подключился к интернету. Майнер не скачался (уже месяца 4 так делаю, инача если сразу подключиться - скачивается майнер)   ... Просканировал майлвайрбайтом - чисто, ни одной угрозы. Сделал лог, прилагаю
Так же прилагаю лог автозагрузки

Щая перезагружу, сразу подключусь к интернету и открою хром. Снова сделаю логи и приложу

Сразу не увидел. Сделал проверку TDSSKiller-ом ... обнаружены две угрозы. как вы и предполагали -  DarkGalaxy. ... Ничего не удаляю
Dark.JPG (60.13 КБ)
Изменено: Гриша Мясцов - 01.04.2019 10:31:18
по образу автозапуска все чисто, но из нормального режима мы не сможем увидеть заражен ли MBR#0 [149,0GB] или нет.
(сеть в момент перезагрузки системы пока не включайте)

сделайте пока лог проверки в tdsskiller
Цитата
сделайте проверку системы этой утилитой,
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
но ничего не удаляйте при обнаружении. (если будет что-то найдено)
+

такой скрипт выполните в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 26
regt 27
QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
я еще не перезагружался. TDSSKILLER сделал. Щас без перезагрузки сделаю скрипт .. Но без перезагрузки после скрипта все будет чисто. Именно после перезагрузки снова скачивается манер
Dark.JPG (60.13 КБ)
скрипт выполнил при закрытом браузере и других программах. Ничего не удалилось. программа uVSсразу закрылась сама. TDSSKiller ничего не нашел. 0 угроз

НОд 32 все так же не запускается (даже через кнурку "запуск от Администратора)

Пока не перегружаюсь
Изменено: Гриша Мясцов - 01.04.2019 10:49:09
Код
10:21:06.0719 0x0f78  ============================================================
10:21:06.0719 0x0f78  Scan finished
10:21:06.0719 0x0f78  ============================================================
10:21:06.0730 0x0ec8  Detected object count: 2
10:21:06.0730 0x0ec8  Actual detected object count: 2
10:24:43.0945 0x0ec8  System memory - cured
10:24:43.0945 0x0ec8  System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure 
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0\# - copied to quarantine
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0 - copied to quarantine
10:24:44.0711 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 - ok
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure 


вы можете пролечить систему в tdsskiller,
перегрузить ее без подключения к сети,

и сделать еще раз проверку в tdsskiller, и новый образ автозапуска добавить (после выполнения скрипта)

так же надо установить патч MS-17-010 для вашей системы,
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Образ автозагрузки после выполнения скрипта и проверки Киллером..... Скачал патч. Вручную удалил Хайд у ключа автозагрузки Нода32 ......  Перезружусь без интернета, проверюсь киллером, пропатчу.   Пререгружусь с подключением к интернету, открою хром, сделаю проверку килером и образ автозагрузки.  
Читают тему (гостей: 1)