после вируса майнера Todo Mysa, ok - Форум технической поддержки ESET NOD32

Сообщений: 8

Баллов: 4

Регистрация: 31.03.2019

Размещено 31.03.2019 08:33:57

не запускается ни автоматически ни вручную Smart Security (после вируса майнера Todo Mysa, ok)
В реестре стоит - "egui" = ""C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide" но в процессах нет его

Прикрепленные файлы

МЕРЗА-ПК_2019-03-31_08-24-42_v4.1.2.7z (620 КБ)
SysInspector-МЕРЗА-ПК-190331-083439.zip (315.1 КБ)

Изменено: Гриша Мясцов - 01.04.2019 08:40:28

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 31.03.2019 15:19:33

Гриша Мясцов

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE deltmp regt 26 restart ;---------command-block--------- delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\TROJAN REMOVER\TRANTIHJ.EXE delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref %SystemDrive%\PROGRAM FILES (X86)\OPERA\LAUNCHER.EXE delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\63.0.3239.84\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\73.0.3683.86\INSTALLER\CHRMSTP.EXE delref %Sys32%\BLANK.HTM delref APPMGMT\[SERVICE] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\ATI2EVXX.EXE delref %SystemDrive%\USERS\08E7~1\APPDATA\LOCAL\TEMP\GPU-Z.SYS delref %Sys32%\DRIVERS\PFC.SYS delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\CONIME.EXE delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX 2016\INVENTOR SERVER\BIN\TESTSERVER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CS6\WMENCODINGHELPER.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\CREATIVE\SHAREDLL\PFMOD.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ADOBESUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ADOBE ILLUSTRATOR CS6\ADOBE ILLUSTRATOR CS6\SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE delref K:\AUTORUN\CDRUN.EXE delref G:\AUTORUN.EXE delref %SystemDrive%\USERS\МЕРЗА\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\AFTERFX.EXE delref %SystemDrive%\PROGRAM FILES (X86)\LOOKSBUILDER\LOOKSBUILDERPL.EXE delref %SystemRoot%\INSTALLER\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}\APPLESOFTWAREUPDATEICO.EXE delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\MOCHA\BIN\MOCHA4AE_ADOBE.EXE delref %SystemRoot%\INSTALLER\{5783F2D7-7001-0419-0102-0060B0CE6BBA}\ACAD162_ICON.EXE delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\3DSMAX.EXE delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\JSR\M3GPLAYER.EXE delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\MAXFIND.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\UNINSTALL\INSTALLER.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\VRLSERVICE.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\SETVRLSERVICE.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\STARTVRLSERVICE.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\FILTER_GENERATOR.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\IMAPVIEWER.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\LENS_ANALYZER.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\VRMESH_VIEWER.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\V-RAY\3DSMAX 2010 FOR X64\UNINSTALL\WININSTALLER.EXE delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\VRAYSPAWNER2010.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\V-RAY\RT FOR 3DS MAX 2010 FOR X64\BIN\VRAYRTSPAWNER.EXE delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\V-RAY\RT FOR 3DS MAX 2010 FOR X64\BIN\OCLDEVICESELECT.EXE delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\XLICONS.EXE delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\WORDICON.EXE delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\MSPICONS.EXE delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\OISICON.EXE delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\MISC.EXE delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\CAGICON.EXE delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\OPWICON.EXE delref %SystemDrive%\PROGRAM FILES (X86)\STREAMTRANSPORT\HELP.URL delref %SystemDrive%\PROGRAMDATA\APPDATA\LOCAL\UMMYVIDEODOWNLOADER\UMMYVIDEODOWNLOADER.EXE delall %SystemDrive%\USERS\МЕРЗА\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\91YH7QU6.DEFAULT\EXTENSIONS\[email protected] apply

Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
deltmp
regt 26
restart
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\TROJAN REMOVER\TRANTIHJ.EXE
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\OPERA\LAUNCHER.EXE
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\63.0.3239.84\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\73.0.3683.86\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\ATI2EVXX.EXE
delref %SystemDrive%\USERS\08E7~1\APPDATA\LOCAL\TEMP\GPU-Z.SYS
delref %Sys32%\DRIVERS\PFC.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\CONIME.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX 2016\INVENTOR SERVER\BIN\TESTSERVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CS6\WMENCODINGHELPER.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\CREATIVE\SHAREDLL\PFMOD.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBESUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ADOBE ILLUSTRATOR CS6\ADOBE ILLUSTRATOR CS6\SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref K:\AUTORUN\CDRUN.EXE
delref G:\AUTORUN.EXE
delref %SystemDrive%\USERS\МЕРЗА\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\AFTERFX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LOOKSBUILDER\LOOKSBUILDERPL.EXE
delref %SystemRoot%\INSTALLER\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}\APPLESOFTWAREUPDATEICO.EXE
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\MOCHA\BIN\MOCHA4AE_ADOBE.EXE
delref %SystemRoot%\INSTALLER\{5783F2D7-7001-0419-0102-0060B0CE6BBA}\ACAD162_ICON.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\3DSMAX.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\JSR\M3GPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\MAXFIND.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\VRLSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\SETVRLSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\STARTVRLSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\FILTER_GENERATOR.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\IMAPVIEWER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\LENS_ANALYZER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\TOOLS\VRMESH_VIEWER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\V-RAY\3DSMAX 2010 FOR X64\UNINSTALL\WININSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2010\VRAYSPAWNER2010.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\V-RAY\RT FOR 3DS MAX 2010 FOR X64\BIN\VRAYRTSPAWNER.EXE
delref %SystemDrive%\PROGRAM FILES\CHAOS GROUP\V-RAY\RT FOR 3DS MAX 2010 FOR X64\BIN\OCLDEVICESELECT.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\XLICONS.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\WORDICON.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\MSPICONS.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\OISICON.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\MISC.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\CAGICON.EXE
delref %SystemRoot%\INSTALLER\{90110419-6000-11D3-8CFE-0150048383C9}\OPWICON.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STREAMTRANSPORT\HELP.URL
delref %SystemDrive%\PROGRAMDATA\APPDATA\LOCAL\UMMYVIDEODOWNLOADER\UMMYVIDEODOWNLOADER.EXE
delall %SystemDrive%\USERS\МЕРЗА\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\91YH7QU6.DEFAULT\EXTENSIONS\[email protected]
apply

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Изменено: RP55 RP55 - 01.04.2019 08:40:28

Сообщений: 8

Баллов: 4

Регистрация: 31.03.2019

Размещено 31.03.2019 19:25:19

Скрипт выполнил. нод попрежнему открывается и закрывается почти сразу.

отчет от майл вайрЬайт прикрепил
там найдено несколько кейгенов и Дат-файл. В нем строка - "45.58.135.106
103.213.246.23
ok.mymyxmra.ru
18.218.14.96
74.222.14.61
78.142.29.152
"
Рядом Дат с другим именем, но его не нашел майлвайрБайт

В реестре все так же стоит Хайд у Нод 32 - "egui" = ""C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide" Удаляю в реестре вручную командуХайд. Порсле перезагрузки оно снова там появляется.. И снова появился манер как толкьо открыфл браузер Хром при подключенном интернете. С Мусой и Ок в Планировщике заданий, и с xpdown.dat в той папке

прилагаю обновлённый скан с майнером

Прикрепленные файлы

МайлвайрБайт-результат.txt (3.18 КБ)
МайлвайрБайт-результат-2.txt (7.93 КБ)

Изменено: Гриша Мясцов - 01.04.2019 08:40:28

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 08:46:20

судя по логу мбам, по характерным признакам:
Trojan.BitCoinMiner, C:\WINDOWS\TEMP\CONHOST.EXE, Проигнорировано пользователем, [609], [589425],1.0.9940

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\"", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__EventFilter.Name="fuckyoumm3", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:CommandLineEventConsumer.Name="fuckyoumm4", Проигнорировано пользователем, [14548], [621747],1.0.9940

еще и политика безопасности IPSec обнаружена
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7dc75e5e-a9d9-443e-8d2d-e8b216c9090c}
--------------
у вас скорее всего заражение BOOT.DarkGalaxy, (с заражением MBR)

удалите все найденное в мбам,
перегрузите систему,
добавьте новый образ автозапуска системы

+
сделайте проверку системы этой утилитой,
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
но ничего не удаляйте при обнаружении. (если будет что-то найдено)

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 31.03.2019

Размещено 01.04.2019 10:19:46

Удалил все МайлвайрБайтом, Перегрузился. Открыл ГуглХром, но не подключился к интернету. Выждал минут 10, подключился к интернету. Майнер не скачался (уже месяца 4 так делаю, инача если сразу подключиться - скачивается майнер) ... Просканировал майлвайрбайтом - чисто, ни одной угрозы. Сделал лог, прилагаю
Так же прилагаю лог автозагрузки

Щая перезагружу, сразу подключусь к интернету и открою хром. Снова сделаю логи и приложу

Сразу не увидел. Сделал проверку TDSSKiller-ом ... обнаружены две угрозы. как вы и предполагали - DarkGalaxy. ... Ничего не удаляю

Прикрепленные файлы

Dark.JPG (60.13 КБ)

MWB_после удаления и без интернета.txt (2.45 КБ)
ДО ПЕРЕЗАГРУЗКИ____МЕРЗА-ПК_2019-04-01_10-10-32_v4.1.2.7z (655.39 КБ)
Отчет TDSSKiller.txt (97.4 КБ)

Изменено: Гриша Мясцов - 01.04.2019 10:31:18

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 10:27:24

по образу автозапуска все чисто, но из нормального режима мы не сможем увидеть заражен ли MBR#0 [149,0GB] или нет.
(сеть в момент перезагрузки системы пока не включайте)

сделайте пока лог проверки в tdsskiller

Цитата
сделайте проверку системы этой утилитой, http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe но ничего не удаляйте при обнаружении. (если будет что-то найдено)

+

такой скрипт выполните в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE regt 26 regt 27 QUIT

без перезагрузки системы, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 31.03.2019

Размещено 01.04.2019 10:35:57

я еще не перезагружался. TDSSKILLER сделал. Щас без перезагрузки сделаю скрипт .. Но без перезагрузки после скрипта все будет чисто. Именно после перезагрузки снова скачивается манер

Прикрепленные файлы

Dark.JPG (60.13 КБ)

Отчет TDSSKiller.txt (97.4 КБ)

Сообщений: 8

Баллов: 4

Регистрация: 31.03.2019

Размещено 01.04.2019 10:45:02

скрипт выполнил при закрытом браузере и других программах. Ничего не удалилось. программа uVSсразу закрылась сама. TDSSKiller ничего не нашел. 0 угроз

НОд 32 все так же не запускается (даже через кнурку "запуск от Администратора)

Пока не перегружаюсь

Прикрепленные файлы

TDSSKILL-чисто.JPG (33.58 КБ)

Изменено: Гриша Мясцов - 01.04.2019 10:49:09

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 10:48:21

Код
10:21:06.0719 0x0f78 ============================================================ 10:21:06.0719 0x0f78 Scan finished 10:21:06.0719 0x0f78 ============================================================ 10:21:06.0730 0x0ec8 Detected object count: 2 10:21:06.0730 0x0ec8 Actual detected object count: 2 10:24:43.0945 0x0ec8 System memory - cured 10:24:43.0945 0x0ec8 System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure 10:24:44.0685 0x0ec8 \Device\Harddisk0\DR0\# - copied to quarantine 10:24:44.0685 0x0ec8 \Device\Harddisk0\DR0 - copied to quarantine 10:24:44.0711 0x0ec8 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot 10:24:44.0713 0x0ec8 \Device\Harddisk0\DR0 - ok 10:24:44.0713 0x0ec8 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure

Код

10:21:06.0719 0x0f78  ============================================================
10:21:06.0719 0x0f78  Scan finished
10:21:06.0719 0x0f78  ============================================================
10:21:06.0730 0x0ec8  Detected object count: 2
10:21:06.0730 0x0ec8  Actual detected object count: 2
10:24:43.0945 0x0ec8  System memory - cured
10:24:43.0945 0x0ec8  System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure 
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0\# - copied to quarantine
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0 - copied to quarantine
10:24:44.0711 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 - ok
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure

вы можете пролечить систему в tdsskiller,
перегрузить ее без подключения к сети,

и сделать еще раз проверку в tdsskiller, и новый образ автозапуска добавить (после выполнения скрипта)

так же надо установить патч MS-17-010 для вашей системы,
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 31.03.2019

Размещено 01.04.2019 11:04:00

Образ автозагрузки после выполнения скрипта и проверки Киллером..... Скачал патч. Вручную удалил Хайд у ключа автозагрузки Нода32 ...... Перезружусь без интернета, проверюсь киллером, пропатчу. Пререгружусь с подключением к интернету, открою хром, сделаю проверку килером и образ автозагрузки.

Прикрепленные файлы

ПОСЛЕ_СКРИПТА_ИПРОВЕРКИ_КИЛЛЕРОМ_____МЕРЗА-ПК_2019-04-01_10-52-25_v4.1.2.7z (648.21 КБ)

[ Закрыто ] после вируса майнера Todo Mysa, ok