santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] после вируса майнера Todo Mysa, ok

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 13:45:32

да,
это скрип очистки, по сути мусора, хотя есть и детект на одну программу %SystemDrive%\PROGRAM FILES\FONTEXPERT\FONTEXPERT.EXE. (может и ложный)

имеет смысл выполнить наши рекомендации по безопасной работе в сети.
https://forum.esetnod32.ru/forum9/topic13764//

и на этом все.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] после вируса майнера Todo Mysa, ok

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 13:26:55

по второму образу ПОСЛЕ ПАТЧА И ПЕРЕЗАГРУЗКИ С ИНТЕРНЕТОМ____*

для очистки системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemDrive%\PROGRAM FILES\FONTEXPERT\FONTEXPERT.EXE addsgn 6E8C9F9A556A4C2F8839A93CE913E9FADA0AC5F7867E5D7A85C303BD515DB467A67838A8C1DC1826D07F7B9EC389B20582525D91AE254F2D2B22F245876E2263 8 Win32/LockScreen.BAS 7 chklst delvir delref %SystemDrive%\USERS\МЕРЗА\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\91YH7QU6.DEFAULT\EXTENSIONS\[email protected] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOIHLEDLMCHHOFENPACBHPHNBNPAKGMO%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\RECOVERY\GURCF7E.TMP\GOOGLEUPDATESETUP.CRX3 delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\89214746.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CS6\WMENCODINGHELPER.EXE delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\AFTERFX.EXE delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\MOCHA\BIN\MOCHA4AE_ADOBE.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAM FILES\FONTEXPERT\FONTEXPERT.EXE
addsgn 6E8C9F9A556A4C2F8839A93CE913E9FADA0AC5F7867E5D7A85C303BD515DB467A67838A8C1DC1826D07F7B9EC389B20582525D91AE254F2D2B22F245876E2263 8 Win32/LockScreen.BAS 7

chklst
delvir

delref %SystemDrive%\USERS\МЕРЗА\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\91YH7QU6.DEFAULT\EXTENSIONS\[email protected]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOIHLEDLMCHHOFENPACBHPHNBNPAKGMO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\RECOVERY\GURCF7E.TMP\GOOGLEUPDATESETUP.CRX3
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\89214746.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CS6\WMENCODINGHELPER.EXE
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\AFTERFX.EXE
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\MOCHA\BIN\MOCHA4AE_ADOBE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

Цитата
Не мог делать точки восстановления. (ошибка теневого копирования). Это может как то быть связано с ДаркГалакси?

возможно, что после установки патча MS-17-010 система создавала точку восстановления.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] после вируса майнера Todo Mysa, ok

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 13:22:46

по первому образу ПОСЛЕ_ПЕРЕЗАГРУЗКИ_ДО ПАТЧА_______*

HitmanPro 3.8 и это C:\PROGRAM FILES (X86)\TROJAN REMOVER\TRUPD.EXE имхо, можно и удалить.
достаточно для проверок проверенных программ: антивирусный монитор с обновлением, сканеры mbam, adwcleaner, FRST

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] после вируса майнера Todo Mysa, ok

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 13:16:47

возможно, было обновление какое то для системы. образ сейчас гляну.

[ Как создать образ автозапуска? ]

Перейти

WannaCash

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 12:05:43

как вариант, вы можете купить лицензию на продукт ESET и еще раз обратиться в службу техподдержки.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] после вируса майнера Todo Mysa, ok

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 11:30:58

судя по последнему образу ПОСЛЕ_СКРИПТА_ИПРОВЕРКИ_КИЛЛЕРОМ_____* политика безопасности ipsec удалена.

да, именно в такой последовательности:
проверить еще раз killer-ом (без сети) и убедиться в том, что mbr более не заражен.
пропатчить систему,
а потом еще раз провериться (киллером и в uVS) уже после подключения к инету.
--------

после этого можно будет решать проблему с незапуском антивируса, если она останется.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] после вируса майнера Todo Mysa, ok

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 10:48:21

Код
10:21:06.0719 0x0f78 ============================================================ 10:21:06.0719 0x0f78 Scan finished 10:21:06.0719 0x0f78 ============================================================ 10:21:06.0730 0x0ec8 Detected object count: 2 10:21:06.0730 0x0ec8 Actual detected object count: 2 10:24:43.0945 0x0ec8 System memory - cured 10:24:43.0945 0x0ec8 System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure 10:24:44.0685 0x0ec8 \Device\Harddisk0\DR0\# - copied to quarantine 10:24:44.0685 0x0ec8 \Device\Harddisk0\DR0 - copied to quarantine 10:24:44.0711 0x0ec8 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot 10:24:44.0713 0x0ec8 \Device\Harddisk0\DR0 - ok 10:24:44.0713 0x0ec8 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure

Код

10:21:06.0719 0x0f78  ============================================================
10:21:06.0719 0x0f78  Scan finished
10:21:06.0719 0x0f78  ============================================================
10:21:06.0730 0x0ec8  Detected object count: 2
10:21:06.0730 0x0ec8  Actual detected object count: 2
10:24:43.0945 0x0ec8  System memory - cured
10:24:43.0945 0x0ec8  System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure 
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0\# - copied to quarantine
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0 - copied to quarantine
10:24:44.0711 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 - ok
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure

вы можете пролечить систему в tdsskiller,
перегрузить ее без подключения к сети,

и сделать еще раз проверку в tdsskiller, и новый образ автозапуска добавить (после выполнения скрипта)

так же надо установить патч MS-17-010 для вашей системы,
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] после вируса майнера Todo Mysa, ok

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 10:27:24

по образу автозапуска все чисто, но из нормального режима мы не сможем увидеть заражен ли MBR#0 [149,0GB] или нет.
(сеть в момент перезагрузки системы пока не включайте)

сделайте пока лог проверки в tdsskiller

Цитата
сделайте проверку системы этой утилитой, http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe но ничего не удаляйте при обнаружении. (если будет что-то найдено)

+

такой скрипт выполните в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE regt 26 regt 27 QUIT

без перезагрузки системы, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun, Filecoder.Crysis / Encoder.3953; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 08:58:17

расшифровки по вышеуказанным расширениям для Crysis в настоящее время нет,
восстанавливаем документы из архивных копий, потому что теневые копии так же удаляются после того как отработал Crysis
(если был запущен с правами администратора).

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN del %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\INFO.HTA del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\INFO.HTA del %Sys32%\INFO.HTA zoo %Sys32%\1SVHOST.EXE addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7 zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE zoo %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\1SVHOST.EXE zoo %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE chklst delvir czoo QUIT

Код


;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN
del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN
del %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\INFO.HTA
del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\INFO.HTA
del %Sys32%\INFO.HTA
zoo %Sys32%\1SVHOST.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE
zoo %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\1SVHOST.EXE
zoo %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE
chklst
delvir

czoo
QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected], [email protected], [email protected]
------------
+
добавьте новый образ автозапуска для контроля.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] после вируса майнера Todo Mysa, ok

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2019 08:46:20

судя по логу мбам, по характерным признакам:
Trojan.BitCoinMiner, C:\WINDOWS\TEMP\CONHOST.EXE, Проигнорировано пользователем, [609], [589425],1.0.9940

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\"", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__EventFilter.Name="fuckyoumm3", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:CommandLineEventConsumer.Name="fuckyoumm4", Проигнорировано пользователем, [14548], [621747],1.0.9940

еще и политика безопасности IPSec обнаружена
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7dc75e5e-a9d9-443e-8d2d-e8b216c9090c}
--------------
у вас скорее всего заражение BOOT.DarkGalaxy, (с заражением MBR)

удалите все найденное в мбам,
перегрузите систему,
добавьте новый образ автозапуска системы

+
сделайте проверку системы этой утилитой,
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
но ничего не удаляйте при обнаружении. (если будет что-то найдено)

[ Как создать образ автозапуска? ]

Перейти