Worm.NSIS.BitMin.d и HEUR:Worm.Win32.Generic и mem trojan.script.angrypower.gen

**lagutniki** · 14.05.2020, 09:55

Появились на машинках, mem trojan.script.angrypower.gen в памяти KVRT не смог удалить, компы отключал от сети проверял KVRT и с загрузочной флешки, все осталось.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.05.2020, 09:58

Уважаемый(ая) lagutniki, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 14.05.2020, 10:26

Лог от 27.04, свежий нужен.

**lagutniki** · 14.05.2020, 10:32

Недосмотрел, прошу прощения

**Vvvyg** · 14.05.2020, 11:14

Если антивирус находит что-то в памяти и только в памяти - mem.trojan это и означает - может быть что угодно: ложное срабатывание, реакция на модули от сторонних программ. Есть обращения в ТП Касперского и на форум с такой же проблемой, но пока конкретики нет.

В дальнейшем просьба пользоваться актуальной версией autologger по первой ссылке из правил.

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "RegOrganizerQuickLaunch" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters', 'AutoShareWks', 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**lagutniki** · 14.05.2020, 11:41

Сделал.

**Vvvyg** · 14.05.2020, 14:01

Уточняю: скрипт в AVZ выполняли?

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VID001.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BC338206CA82 60 Adware.Downware.918 [DrWeb] 7

zoo %SystemDrive%\USERS\1\START MENU\PROGRAMS\STARTUP\VID001.EXE
zoo %SystemDrive%\USERS\206000028-004\START MENU\PROGRAMS\STARTUP\VID001.EXE
zoo %SystemDrive%\USERS\ADMIN\START MENU\PROGRAMS\STARTUP\VID001.EXE
zoo %SystemDrive%\USERS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\VID001.EXE
zoo %SystemDrive%\USERS\USER\START MENU\PROGRAMS\STARTUP\VID001.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\VID001.EXE

chklst
delvir

deltsk %SystemDrive%\USERS\SLEKONTSEVA\DESKTOP\REG ORGANIZER 8.29 REPACK (&AMP; PORTABLE) BY ELCHUPACABRA\REGORGANIZER\APP\REGORGANIZER\REGORGANIZER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\53.0.2785.143\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\USERS\SLEKONTSEVA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.3.314\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DRWEB ENTERPRISE SUITE\DWSCANNER.EXE
apply
deltmp
czoo
restart

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

**lagutniki** · 15.05.2020, 06:49

Да скрипт выполнил, после сделал лог.

**Vvvyg** · 15.05.2020, 07:46

На момент выполнения скрипта троян уже был удалён, видимо касперским.

Я уже писал, как с сетевым червём бороться. На этом компьютере административные шары отключены, теоретически, сюда больше файлы VID001.EXE попадать не должны, да и Kaspersky Endpoint Security должен на лету отстреливать.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**lagutniki** · 15.05.2020, 08:05

Как вы говорили так и сделали, отключили от сети и прошлись KVRT, но после включения компьютеров в статистике все так же были срабатывания.

**Vvvyg** · 15.05.2020, 08:42

Не подключали компьютеры к сети, пока не пролечили ВСЕ? Это важно, если в сети хоть один заражённый, перекинется на другие снова и снова.
Чудес не бывает и червяк из ниоткуда не возьмётся. Есть подключения из других филиалов, к серверам в других сетях?

**lagutniki** · 15.05.2020, 08:56

Срабатывания были только на этих машинах, в другие филиалы доступа нет, стоят ограничения на cisco. Есть подозрения на еще одну машину в сети без антивируса, будем шерстить сеть. На этом компьютере так же появились сейчас срабатывания антивируса, по трем вирусам сразу:
HEUR:Worm.Win32.Generic
UDS:Trojan.Win32.Miner
Worm.NSIS.BitMin.d

Тот что был в памяти больше не всплывает!

Да отключали все машины, запускались с образа касперского и на ночь запускали проверки.

**Vvvyg** · 15.05.2020, 09:34

Значит, проверяйте тот, без антивируса.

**CyberHelper** · 15.05.2020, 09:44

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

Worm.NSIS.BitMin.d и HEUR:Worm.Win32.Generic и mem trojan.script.angrypower.gen (заявка № 225025)

Опции темы