Модифицированный MSIL/CoinMiner.BLB - Форум технической поддержки ESET NOD32

Сообщений: 2

Баллов: 1

Регистрация: 05.08.2021

Размещено 05.08.2021 15:12:19

Через каждую минуту появляется сообщение о том, что, был обнаружен троян. NOD не дает ему запуститься, но при поиске его так же не находит.

Прикрепленные файлы

SysInspector-GOODWIN-ПК-210805-155751.zip (526.15 КБ)
AdwCleaner[S20].txt (3.46 КБ)

Сообщений: 6178

Баллов: 4942

Регистрация: 25.05.2010

Размещено 05.08.2021 18:08:36

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
актуальной версией uVS 4.11.8
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
+
Лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/
Программа FRST должна создать два файла: FRST.txt и Addition.txt

Сообщений: 2

Баллов: 1

Регистрация: 05.08.2021

Размещено 05.08.2021 21:23:11

Вот логи:

Прикрепленные файлы

FRST.txt (94.65 КБ)
Addition.txt (74.63 КБ)
GOODWIN-ПК_2021-08-05_22-17-27.rar (971.05 КБ)

Сообщений: 6178

Баллов: 4942

Регистрация: 25.05.2010

Размещено 05.08.2021 21:32:51

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.11.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemDrive%\USERS\GOODWIN\APPDATA\ROAMING\STEAMAPI\CHARTTABLE\GAMESLIST\STEAMAPILIB.DLL czoo deltmp restart ;---------command-block--------- delall %SystemDrive%\USERS\GOODWIN\APPDATA\ROAMING\STEAMAPI\CHARTTABLE\GAMESLIST\STEAMAPILIB.DLL delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%D.LOG delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%DSPUSER.LOG delref %SystemDrive%\USERS\GOODWIN\APPDATA\LOCAL\TEMP\CHROME_BITS_15192_1359890357\KIABHABJDBKJDPJBPIGFODBDJMBGLCOO_2021.08.05.01_ALL_ADKIS54SM7H2UJFYA4OUVNBULQYQ.CRX3 delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://GAMEZONA.ORG/ delref HTTP://LIVELENTA.COM/KAK-IZMENIT-STARTOVUYU-STRANICU-V-GOOGLE-CHROME.HTML delref HTTP://WW1.LIKETOUR.ORG/?SUB1=70655EA6-F077-11E8-90C7-04FF7F46109D delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02 delref HTTP=127.0.0.1:56508;HTTPS=127.0.0.1:56508 apply

Код

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\GOODWIN\APPDATA\ROAMING\STEAMAPI\CHARTTABLE\GAMESLIST\STEAMAPILIB.DLL
czoo
deltmp
restart
;---------command-block---------
delall %SystemDrive%\USERS\GOODWIN\APPDATA\ROAMING\STEAMAPI\CHARTTABLE\GAMESLIST\STEAMAPILIB.DLL
delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%D.LOG
delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%DSPUSER.LOG
delref %SystemDrive%\USERS\GOODWIN\APPDATA\LOCAL\TEMP\CHROME_BITS_15192_1359890357\KIABHABJDBKJDPJBPIGFODBDJMBGLCOO_2021.08.05.01_ALL_ADKIS54SM7H2UJFYA4OUVNBULQYQ.CRX3
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://GAMEZONA.ORG/
delref HTTP://LIVELENTA.COM/KAK-IZMENIT-STARTOVUYU-STRANICU-V-GOOGLE-CHROME.HTML
delref HTTP://WW1.LIKETOUR.ORG/?SUB1=70655EA6-F077-11E8-90C7-04FF7F46109D
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP=127.0.0.1:56508;HTTPS=127.0.0.1:56508
apply

+
Далее

2) Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2021-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку Zoo в архив с паролем infected

3) Выполните лог в AdwCleaner ( Если программа не установиться переходите к пункту №3 )
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

Изменено: RP55 RP55 - 05.08.2021 21:45:45

Сообщений: 6178

Баллов: 4942

Регистрация: 25.05.2010

Размещено 05.08.2021 21:44:55

Сохраните файл: fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
----------

Пишем по результату.

----------

Прикрепленные файлы

fixlist.txt (25.87 КБ)

Изменено: RP55 RP55 - 05.08.2021 21:46:26

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 06.08.2021 04:05:21

файлы из карантина ZOO** вышлите в почту [email protected] в архиве с паролем infected
+
сделайте копию данной папки:
C:\USERS\****\APPDATA\ROAMING\STEAMAPI\

[ Как создать образ автозапуска? ]

[ Закрыто ] Модифицированный MSIL/CoinMiner.BLB