Троян js/CoinMiner.BF

**blue_storm** · 27.08.2018, 12:33

Добрый день! антивирус nod32 постоянно выдает сообщение о найденном трояне. Компьютер проверен разными утилитами Cureit, adwcleaner, malware. найденные угрозы удалены, но срабатывания штатного антивируса продолжаются. Лог прикрепляю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.08.2018, 12:34

Уважаемый(ая) blue_storm, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 28.08.2018, 00:50

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

Код:

O2 - HKLM\..\BHO: (no name) - AutorunsDisabled - (no file)
O2-32 - HKLM\..\BHO: (no name) - AutorunsDisabled - (no file)
O2-32 - HKLM\..\BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O9-32 - Button: HKLM\..\AutorunsDisabled - (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: "DropboxExt1" - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: "DropboxExt2" - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: "DropboxExt3" - {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: "DropboxExt4" - {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: "DropboxExt5" - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: "DropboxExt6" - {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: "DropboxExt7" - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: "DropboxExt8" - {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
O23 - Service S3: Tchser - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 ExecuteRepair(1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Подготовьте лог AdwCleaner и приложите его в теме.

**blue_storm** · 28.08.2018, 15:01

Лог прикрепляю.

SQ · 28.08.2018, 16:04

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**blue_storm** · 28.08.2018, 17:01

Отчет прикрепляю. Nod 32 продолжает сообщать об обнаруженной угрозе.2018-08-28_16-56-51.png

SQ · 28.08.2018, 17:26

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**blue_storm** · 29.08.2018, 10:49

Отчеты прикрепляю.

SQ · 29.08.2018, 19:35

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File
File: C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
File: C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe
File: C:\Program Files (x86)\Browny02\BrYNSvc.exe 
File: C:\Program Files\Belkin\USB Control Center\Bkapcs.exe 
File: C:\StroySoft\Utils\IBBackup_Service.exe 
File: C:\StroySoft\SearchUtils\searchd.exe 
File: C:\StroySoft\SearchUtils\StroySoftSearchMng.exe
File: C:\Windows\System32\Drivers\ajczozmp.sys
2018-08-08 16:49 - 2018-08-08 16:49 - 000000000 ____D C:\Users\Администратор\AppData\Local\{B8AEAC10-DFDE-4E8C-8FEB-5B563475B45F}
2018-08-08 16:49 - 2018-08-08 16:49 - 000000000 ____D C:\Users\Администратор\AppData\Local\{AE3DB187-8345-4835-845C-DC0AA4B37740}
File: C:\Users\Sony\AppData\Local\Temp\downloader.exe
2018-03-13 09:14 - 2018-03-13 09:14 - 000187416 _____ () C:\Users\Sony\AppData\Local\Temp\downloader.exe
2017-05-10 13:09 - 2017-05-10 13:09 - 001985800 _____ () C:\Users\Sony\AppData\Local\Temp\FNP_ACT_InstallerCA.dll
2018-08-24 13:46 - 2010-02-26 10:45 - 000080896 _____ (Microsoft Corporation) C:\Users\Администратор\AppData\Local\Temp\devcon.exeContextMenuHandlers1-x32: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} =>  -> No File
ContextMenuHandlers3: [AddtoVAIOGate] -> [CC]{6988D6F2-F24F-4732-8855-A39DB1AA1346} =>  -> No File
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> No File
Task: {A7CB482B-859B-42A9-A27F-B7CC326AEA4E} - \update-sys -> No File <==== ATTENTION
HKU\S-1-5-21-4201915619-3862455773-523194307-500\Software\Classes\.scr: scrfile =>  <==== ATTENTION
CMD: net share
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

SQ · 30.08.2018, 09:20

Уточните пожалуйста, если у Вас случайно роутер Mikrotik?

**blue_storm** · 30.08.2018, 10:20

Лог прикрепляю. Да роутер Mikrotik RB925Ui

SQ · 30.08.2018, 10:54

Сообщение от blue_storm

Да роутер Mikrotik RB925Ui

Скорее всего его взломали. Проверьте его настройки System->Scripts случайно не присутствуют вредоносный код?

- - - - -Добавлено - - - - -

Желательно Вам его обновить до актуальной версии, так как сейчас злоумышлинниками введется их массовый взлом, из-за обнаруженной ранее уязвимости.

**blue_storm** · 30.08.2018, 11:41

Спасибо. Проблема оказалась в роутере.

SQ · 30.08.2018, 16:34

Рад слышать. Удачи Вам.

- - - - -Добавлено - - - - -

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Троян js/CoinMiner.BF (заявка № 220037)

Опции темы