[ Закрыто ] Модифицированный MSIL/CoinMiner.BLB

1
RSS
Через каждую минуту появляется сообщение о том, что, был обнаружен троян. NOD не дает ему запуститься, но при поиске его так же не находит.
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
актуальной версией uVS 4.11.8
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
+
Лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/
Программа FRST должна создать два файла:  FRST.txt и Addition.txt
Вот логи:
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\GOODWIN\APPDATA\ROAMING\STEAMAPI\CHARTTABLE\GAMESLIST\STEAMAPILIB.DLL
czoo
deltmp
restart
;---------command-block---------
delall %SystemDrive%\USERS\GOODWIN\APPDATA\ROAMING\STEAMAPI\CHARTTABLE\GAMESLIST\STEAMAPILIB.DLL
delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%D.LOG
delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%DSPUSER.LOG
delref %SystemDrive%\USERS\GOODWIN\APPDATA\LOCAL\TEMP\CHROME_BITS_15192_1359890357\KIABHABJDBKJDPJBPIGFODBDJMBGLCOO_2021.08.05.01_ALL_ADKIS54SM7H2UJFYA4OUVNBULQYQ.CRX3
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://GAMEZONA.ORG/
delref HTTP://LIVELENTA.COM/KAK-IZMENIT-STARTOVUYU-STRANICU-V-GOOGLE-CHROME.HTML
delref HTTP://WW1.LIKETOUR.ORG/?SUB1=70655EA6-F077-11E8-90C7-04FF7F46109D
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP=127.0.0.1:56508;HTTPS=127.0.0.1:56508
apply





+
Далее

2) Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2021-00-20_18-49-40.rar/7z)
... отправить в почту safety@chklst.ru ;
*** если архив не был создан автоматически, самостоятельно добавьте папку Zoo в архив с паролем infected


3) Выполните лог в AdwCleaner   ( Если программа не установиться переходите к пункту №3 )
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой
Изменено: RP55 RP55 - 05.08.2021 21:45:45
Сохраните  файл:  fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.


Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
----------

Пишем по результату.


----------
Изменено: RP55 RP55 - 05.08.2021 21:46:26
файлы из карантина ZOO** вышлите в почту safety@chklst.ru в архиве с паролем infected
+
сделайте копию данной папки:
C:\USERS\****\APPDATA\ROAMING\STEAMAPI\
1
Читают тему (гостей: 1)