Trojan-Clicker и RiskTool.Win32.BitCoinMiner [not-a-virus:RiskTool.Win32.HackKMS.at, UDS:DangerousObject.Multi.Generic ]

**Djul-Djul** · 19.11.2017, 21:29

Вчера имела неосторожность запустить экзешник, который предположительно должен был помочь в замене некоторых библиотек dll. Вместо этого посыпались трояны, как из рога изобилия. Часть удалено с помощью dr.web cureit, часть - антивирусом 360. И еще остались...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.11.2017, 21:31

Уважаемый(ая) Djul-Djul, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**trueCrypt** · 19.11.2017, 23:10

Здравствуйте!

1. Выполните скрипт AVZ:

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);
SetAVZGuardStatus(True);

StopService('daetService');
DeleteService('daetService');

 QuarantineFile('c:\windows\system32\xmr\moonlight.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\Program Files\SDownloader\SpeeDownloader.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\o3jcydud2hh\litj5mk3f1b.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\ookih11ursn\nzuiyu0ljak.exe','');
 QuarantineFile('c:\users\user\appdata\local\temp\is-01les.tmp\nzuiyu0ljak.tmp','');
 QuarantineFile('c:\users\user\appdata\local\temp\is-g5aj2.tmp\litj5mk3f1b.tmp','');
 QuarantineFile('c:\programdata\daetservice\daetservice.exe','');
 
 DeleteFile('c:\programdata\daetservice\daetservice.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\o3jcydud2hh\litj5mk3f1b.exe','32');
 DeleteFile('c:\users\user\appdata\roaming\ookih11ursn\nzuiyu0ljak.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('c:\windows\system32\xmr\moonlight.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\is-g5aj2.tmp\litj5mk3f1b.tmp','32');
 DeleteFile('c:\users\user\appdata\local\temp\is-01les.tmp\nzuiyu0ljak.tmp','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3650794','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8270556','command');

ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина - quarantine.zip. Прикрепите его по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

2. Пофиксить в HijackThis следующие строчки:

Код:

O15 - Trusted Zone: http://*.webcompanion.com

3. Повторите логи согласно правилам и прикрепите следующим сообщением.

4. Опишите что с проблемой.

**Djul-Djul** · 20.11.2017, 01:09

Во время работы хрома новые вкладки с играми и т.п.хренью открывались сами собой одна за другой. После всех операций остался "крестик", якобы всплывающее невидимое окно, которое "всплывает" на открытии новой страницы или при каждом обновлении открытой страницы. И при открытии новых вкладок само открывается подобное https://www.favorit.com.ua/static/me...o33/index.html

**trueCrypt** · 20.11.2017, 02:19

1. Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\User\AppData\Local\Temp\3987f24e.sys','');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\488c9968.sys','');
 QuarantineFile('c:\windows\systemnode\0.0.1.50\sysnode.exe','');
 QuarantineFile('C:\Windows\SystemNode\0.0.1.50\workerDll.dll','');
 QuarantineFile('C:\Windows\SystemNode\0.0.1.50\node_modules\ffi\build\Release\ffi_bindings.node','');
 QuarantineFile('C:\Windows\SystemNode\0.0.1.50\node_modules\ffi\node_modules\ref\build\Release\binding.node','');
 DeleteFile('C:\Users\User\AppData\Local\Temp\488c9968.sys','32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\3987f24e.sys','32');
 DeleteFile('C:\Windows\SystemNode\0.0.1.50\node_modules\ffi\node_modules\ref\build\Release\binding.node','32');
 DeleteFile('C:\Windows\SystemNode\0.0.1.50\node_modules\ffi\build\Release\ffi_bindings.node','32');
 DeleteFile('C:\Windows\SystemNode\0.0.1.50\workerDll.dll','32');
 DeleteFile('c:\windows\systemnode\0.0.1.50\sysnode.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','32');
ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeeDownloader','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2. Пофиксите в HijackThis:

Код:

O22 - Task (Ready): \Microsoft\Windows\Multimedia\Manager - C:\Users\User\AppData\Roaming\Adobe\Manager.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing)

3. Подготовьте и прикрепите лог сканирования Malwarebytes AdwCleaner

**Djul-Djul** · 20.11.2017, 10:15

не могу профиксить, такой строки нет....

Есть такие -
O22 - Task (Disabled): \OfficeSoftwareProtectionPlatform\SvcRestartTask - C:\Windows\system32\sc.exe start osppsvc
O22 - Task (Queued): \Microsoft\Windows\Application Experience\ProgramDataUpdater - C:\Windows\system32\rundll32.exe aepdu.dll,AePduRunUpdate
O22 - Task (Ready): \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs
O22 - Task (Ready): \Microsoft\Windows\Windows Activation Technologies\ValidationTask - C:\Windows\system32\Wat\WatAdminSvc.exe /run
O22 - Task (Ready): \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline - C:\Windows\system32\schtasks.exe /run /I /TN "\Microsoft\Windows\Windows Activation Technologies\ValidationTask"

Лог сканирования прикреплен

**trueCrypt** · 20.11.2017, 10:41

Хорошо.

1.Отключите синхронизацию google chrome

2. Удалите все найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы. После входа в систему откроется отчет "AdwCleaner[C0].txt", прикрепите его к следующему сообщению.

**Djul-Djul** · 20.11.2017, 16:56

Все сделано

- - - - -Добавлено - - - - -

"крестик" исчез, но при открытии новой вкладки, вместо сохраненных страниц висит реклама. Так же открываются левые страницы, типа
https://ytthn.com/click-EQJBJZRK-HFD...824eb26e67f60c

http://start.parimatch.com/ua/gos/f/...407b_846c_2281

https://www.favorit.com.ua/static/me...o33/index.html

http://www.traffic-media.co/mg14619.html

Сообщение от Djul-Djul

Все сделано

**trueCrypt** · 20.11.2017, 17:16

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Djul-Djul** · 20.11.2017, 18:27

Результаты сканирования

**trueCrypt** · 20.11.2017, 22:25

1.Проблемы наблюдаются только в Google Chrome или во всех браузерах?

2. Отключите все расширения в chrome, если проблема пропадет, включайте по одному и проверяйте эффект.

Сообщите по результатам.

**Djul-Djul** · 21.11.2017, 00:24

Проблемы были только в Google Chrome, другие браузеры не использую.

Реклама была от расширения Tables 78.0, другие два тоже установлены не мной - BestSalesProfit, Browsec VPN - Free and Unlimited VPN. Все три удалены.

Спасибо за помощь!

**trueCrypt** · 21.11.2017, 10:31

В завершение:

Рекомендую выполнить скрипт AVZ для поиска уязвимостей:
Внимение! Скрипт необходимо выполнять при наличие доступа в интернет.

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

По завершению его работы, если будут обнаружены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера.

**CyberHelper** · 21.11.2017, 10:41

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 42
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\daetservice\daetservice.exe - Trojan.Win32.Ekstak.btom
2. c:\users\user\appdata\local\temp\is-g5aj2.tmp\litj5mk3f1b.tmp - UDS:DangerousObject.Multi.Generic
3. c:\users\user\appdata\local\temp\is-01les.tmp\nzuiyu0ljak.tmp - UDS:DangerousObject.Multi.Generic
4. c:\users\user\appdata\roaming\adobe\manager.exe - Trojan-Downloader.Win32.Agent.siloxt
5. c:\users\user\appdata\roaming\ookih11ursn\nzuiyu0l jak.exe - Trojan-Clicker.MSIL.Agent.cjib
6. c:\users\user\appdata\roaming\o3jcydud2hh\litj5mk3 f1b.exe - Trojan-Clicker.MSIL.Agent.cjib
7. c:\windows\kmsauto.exe - not-a-virus:RiskTool.Win32.HackKMS.at ( BitDefender: Trojan.Generic.16297535 )
8. c:\windows\system32\xmr\xmr-rig.dll - not-a-virus:RiskTool.Win32.BitCoinMiner.iffr

Trojan-Clicker и RiskTool.Win32.BitCoinMiner [not-a-virus:RiskTool.Win32.HackKMS.at, UDS:DangerousObject.Multi.Generic ] (заявка № 216356)

Опции темы