Вирус (или майнер). В папке temp создает папки с privoxy, tor, ,mmm

[Антон Макаровв]

Доброго времени суток! Появилось подозрение на наличие вредоносного ПО (может быть майнер).
2-3 дня назад было замечено падение скорости интернет (например просмотра видео).
В диспетчере задач windows появился процесс dllhost.exe потребляющий основную массу ресурсов ЦП.
Свойства процесса указывают на расположение C:\Windows\Temp\mj1wu3un.0l5\1 (прикрепленный файл "снимок").
В C:\Windows\Temp содержатся 3 (три) "подозрительных" папки ("прикрепленный файл "снимок2"):
1.3v5h00a0.22o - при попытке удаления ссылается на использование процессом privoxy.exe;
2.jh3z2mbl.tj3- при попытке удаления ссылается на использование процессом tor.exe;
3.mj1wu3un.0l5 - при попытке удаления ссылается на использование процессом dllhost.exe;
При загрузке системы в безопасном режиме удаление вышеперечисленных папок возможно, но при последующей загрузке системы в обычном режиме происходит их повторное создание после подключения сетевого соединения.

[Info_bot]

Уважаемый(ая) Антон Макаровв, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Windows\Temp\mj1wu3un.0l5\1\dllhost.exe');
 TerminateProcessByName('c:\windows\temp\3v5h00a0.22o\privoxy\privoxy-3.0.26\privoxy.exe');
 TerminateProcessByName('c:\windows\temp\jh3z2mbl.tj3\tor\tor\tor.exe');
 StopService('svchost');
 QuarantineFile('C:\Windows\Temp\mj1wu3un.0l5\1\dllhost.exe', '');
 QuarantineFile('c:\windows\temp\3v5h00a0.22o\privoxy\privoxy-3.0.26\privoxy.exe', '');
 QuarantineFile('C:\Windows\Systеm32\svchost.exe', '');
 QuarantineFile('c:\windows\temp\jh3z2mbl.tj3\tor\tor\tor.exe', '');
 QuarantineFile('C:\Windows\TEMP\jh3z2mbl.tj3\tor\Tor\LIBEAY32.dll', '');
 QuarantineFile('C:\Windows\TEMP\jh3z2mbl.tj3\tor\Tor\SSLEAY32.dll', '');
 DeleteFile('C:\Windows\Temp\mj1wu3un.0l5\1\dllhost.exe', '32');
 DeleteFile('c:\windows\temp\3v5h00a0.22o\privoxy\privoxy-3.0.26\privoxy.exe', '32');
 DeleteFile('c:\windows\temp\jh3z2mbl.tj3\tor\tor\tor.exe', '32');
 DeleteFile('C:\Windows\TEMP\jh3z2mbl.tj3\tor\Tor\LIBEAY32.dll', '32');
 DeleteFile('C:\Windows\TEMP\jh3z2mbl.tj3\tor\Tor\SSLEAY32.dll', '32');
 DeleteFile('C:\Users\ТА\AppData\Local\Amigo\Application\amigo.exe', '32');
 DeleteFile('C:\Users\ТА\AppData\Local\Amigo\Application\vk.exe', '32');
 DeleteFile('C:\Users\ТА\AppData\Local\Amigo\Application\ok.exe', '32');
 DeleteService('svchost');
 DeleteFileMask('c:\users\та\appdata\local\amigo', '*', true);
 DeleteDirectory('c:\users\та\appdata\local\amigo');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новые логи по правилам.

[Антон Макаровв]

Выполнил указанные вами действия. Архив с карантином отправлен по ссылке "Прислать запрошенный карантин".
После перезагрузки и по настоящий момент проблемы больше не возникало (в папке C:\Windows\Temp больше не создаются "вредоносные" файлы).

[Vvvyg]

Сделайте лог сканирования МВАМ.

[Антон Макаровв]

Лог сканирования MBAM

[Vvvyg]

Удалите в MBAM (переместите в карантин) всё, кроме:

Код:

HackTool.WpaKill, E:\DOWNLOADS\REMOVEWAT\REMOVEWAT.EXE, Проигнорировано пользователем, [4139], [75683],1.0.878
HackTool.WinActivator, E:\DOWNLOADS\TORRENT\WINDOWS LOADER 2.2.1 BY DAZ\WINDOWS LOADER.EXE, Проигнорировано пользователем, [2273], [352889],1.0.878
RiskWare.Tool.HCK, E:\DOWNLOADS\TORRENT\KEYS\KEYS_KASPERSKY\KASPERSKY RESET TRIAL 5.0.0.111\KRT_5.0.0.111.EXE, Проигнорировано пользователем, [2476], [69818],1.0.878
RiskWare.Tool.HCK, E:\DOWNLOADS\TORRENT\KASPERSKY INTERNET SECURITY 2016 16.0.1.445 (C) MR1 FINAL\KASPERSKY_RESET_TRIAL_5.1.0.25.EXE, Проигнорировано пользователем, [2476], [69818],1.0.878
RiskWare.Tool.HCK, E:\DOWNLOADS\TORRENT\AUTODESK_AUTOCAD_2015_SP1\CRACK\XF-ADSK2015_X64.EXE, Проигнорировано пользователем, [2476], [65468],1.0.878
RiskWare.Tool.CK, E:\SOFT\ADOBE-AUDITION\ADOBE.AUDITION.V3.0.MULTILINGUAL.RETAIL.INCL.KEYMAKER.READ.NFO-AGAIN\KEYGEN.EXE, Проигнорировано пользователем, [341], [26575],1.0.878
Trojan.Agent.CK, E:\SOFT\CAD\CAD10\ACTIVATION\AUTODESK_2010_64_BITS\XF-A2010.EXE, Проигнорировано пользователем, [3162], [135525],1.0.878
CrackTool.Agent.Keygen, E:\SOFT\CAD\CAD10\ACTIVATION\AUTODESK_2010_32_BITS\XF-A2010.EXE, Проигнорировано пользователем, [418], [355559],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\ACRONIS POWER UTILITIES 2005 V7.0.614 RUSSIAN\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [341], [54025],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\SISOFTWARE SANDRA V2007 SP1\ENGINEER\KEYGEN.EXE, Проигнорировано пользователем, [341], [26575],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\WINAMP PRO V5.21.497\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [341], [26575],1.0.878
CrackTool.Zuma.Keygen, E:\SOFT\WINDOWS SOFT 2007\ACRONIS DISK DIRECTOR SUITE V10.0.2064 RUSSIAN\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [10215], [92944],1.0.878
Trojan.Agent.CK, E:\SOFT\WINDOWS SOFT 2007\ADOBE CS 2.0\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [3162], [135512],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\ZONEALARM SECURITY SUITE V6.5.722.000\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [341], [54025],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\ACRONIS TRUE IMAGE V9.0.2302 RUSSIAN\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [341], [54025],1.0.878
Trojan.MalPack.NSPack, E:\SOFT\WINDOWS SOFT 2007\PASSMARK BURNINTEST PRO V4.0.1032\CRACK\BIT.EXE, Проигнорировано пользователем, [18904], [279517],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\CYBERLINK POWERDVD DELUXE V6.0.0.2023\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [341], [133319],1.0.878
Worm.Brontok, E:\SOFT\WINDOWS SOFT 2007\OSL 2000 BOOT MANAGER V8.81\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [1214], [273877],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\LAVALYS EVEREST 2006.V3.00.626\ULTIMATE EDITION\KEYGEN.EXE, Проигнорировано пользователем, [341], [26575],1.0.878
Trojan.MalPack.Generic, E:\SOFT\WINDOWS SOFT 2007\ETRUST EZ ANTIVIRUS V7.1.8.0\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [1558], [83906],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\O&O DEFRAG PROFESSIONAL EDITION V8.0\PRO\KEYGEN.EXE, Проигнорировано пользователем, [341], [54025],1.0.878
PUP.Optional.MediaGet, E:\SYSTEM VOLUME INFORMATION\_RESTORE{6EF06ED5-A30E-47FE-9AE8-91562AA09231}\RP1212\A0261767.EXE, Проигнорировано пользователем, [3919], [10419],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\FLASHGET V1.72\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [341], [26575],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\O&O DEFRAG PROFESSIONAL EDITION V8.0\SERVER\KEYGEN.EXE, Проигнорировано пользователем, [341], [54025],1.0.878
RiskWare.Tool.CK, E:\SOFT\WINDOWS SOFT 2007\NVIDIA PUREVIDEO DECODER V1.02.233\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [341], [296583],1.0.878

[Антон Макаровв]

Удалено в МВАМ, согласно вашим инструкциям. Нужны ли какие-либо еще действия?

[Vvvyg]

Удалите Malwarebytes Anti-Malware

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Антон Макаровв]

Программа Malwarebytes Anti-Malware удалена.
Приложены отчеты FRST.txt, Addition.txt.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2272819588-2288160951-924661014-1000\...\Policies\Explorer: [] 
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HomePage: Profile 1 -> hxxps://mail.ru/cnt/11956636
CHR DefaultSearchURL: Profile 1 -> hxxp://go.mail.ru/search?q={searchTerms}&fr=xtn8
CHR DefaultSearchKeyword: Profile 1 -> mail.ru
CHR DefaultSuggestURL: Profile 1 -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Video Ad Blocker Plus) - C:\Users\ТА\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\hegneaniplmfjcmohoclabblbahcbjoe [2016-07-11]
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
S1 ESProtectionDriver; \??\C:\Windows\system32\drivers\mbae64.sys [X]
S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X]
S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X]
S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X]
S0 MBAMSwissArmy; system32\drivers\MBAMSwissArmy.sys [X]
S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
C:\ProgramData\RegistryReviver.exe
2016-12-30 01:42 - 2014-08-22 20:44 - 00000000 ____D C:\ProgramData\ReviverSoft
2016-12-30 01:42 - 2014-08-22 20:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ReviverSoft
Task: {CFCE9FB0-54C9-4DFB-AA3E-BA04B1432E33} - \Start Registry Reviver for ТА-ПК@ТА(logon) -> No File <==== ATTENTION
Shortcut: C:\Users\ТА\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk -> C:\Users\ТА\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
Shortcut: C:\Users\ТА\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk -> C:\Users\ТА\AppData\Local\Amigo\Application\vk.exe (No File) <===== Cyrillic
Shortcut: C:\Users\ТА\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Users\ТА\AppData\Local\Amigo\Application\ok.exe (No File) <===== Cyrillic
Shortcut: C:\Users\Public\Desktop\Google Планета Земля.lnk -> C:\Program Files (x86)\Google\Google Earth\client\googleearth.exe (No File) <===== Cyrillic
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
MSCONFIG\startupreg: amigo => 
MSCONFIG\startupreg: MailRuUpdater => 
MSCONFIG\startupreg: Malwarebytes TrayApp => E:\PROGRAMS\ANTI-MALWARE\mbamtray.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Антон Макаровв]

Выполнено согласно инструкции.
Приложен лог-файл (Fixlog.txt).

[Vvvyg]

Всё на этом.

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

И - с наступающим Новым Годом!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены