Троян, маскирующийся под conhost.exe [HEUR:Trojan.Win32.Generic]

[Vvvyg]

Да нам тоже хочется. Но в новом образе ничего нового не видно.

SMB 1 точно отключали? Другие компьютеры в сети есть? Обновления системы и IE точно все установлены?

Выполните скрипт в UVS:

Код:

;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
addsgn 19E4408D5D6A4C720BD4472E7DC9128E61AFFC7DDDDF1BF2C9E6CD3D95D4714C23EFCCF2EEDCD96C2F8F3B5BD9704632E10C0814860A49A36952A44914CE3890 8 Trojan.BtcMine.2855 [DrWeb] 7

chklst
delvir

Сделайте сброс настроек Internet Explorer: - "Свойства обозревателя" -> "Дополнительно" -> "Сброс...".

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

HKLM\...\Run: [] => [X]
2018-08-28 16:52 - 2018-04-05 12:00 - 000000406 _____ C:\Windows\config.txt
2018-08-28 16:52 - 2018-04-05 12:00 - 000000337 _____ C:\Windows\ppl.txt
2018-08-28 16:52 - 2018-04-05 12:00 - 000000084 _____ C:\Program Files\Common Files\xp.dat
2018-08-21 14:01 - 2018-08-21 14:01 - 000000070 _____ C:\Program Files\Common Files\xpdown.dat

На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, прикрепите его к своему сообщению.
Попробуйте пролечиться Dr. Web CureIt! в безопасном режиме.

[che_guevara]

SMB 1 не отключал, т.к. ETERNAL BLUES уязвимость не нашёл.
Проблемный компьютер чужой, в сети ещё два моих компьютера с Win10, на них подобная проблема не наблюдается.
Установлены все важные обновления, найденные через центр обновлений. Рекомендуемые и необязательные обновления не устанавливались. Скрипт выполнил, настройки IE сбросил.
CureIt! запускал с Dr.Web LiveDisk, поэтому делать это ещё раз в безопасном режиме не вижу смысла.
Не понял, что нужно сделать с кодом, скопированным в блокнот?

[Vvvyg]

Это фикс для FRST, забыл написать. А SMB1 отключите хотя бы временно.

- - - - -Добавлено - - - - -

Есть под рукой какой-либо LiveCD/USB?

[che_guevara]

Фикс выполнил, zip-архива не нахожу, только файл Fixlog.txt

- - - - -Добавлено - - - - -

Это фикс для FRST, забыл написать. А SMB1 отключите хотя бы временно.

- - - - -Добавлено - - - - -

Есть под рукой какой-либо LiveCD/USB?

Dr.Web LiveDisk подойдёт?

[Vvvyg]

Нет, нужен виндовый. В UVS можно работать с неактивной системой, для этого нужно загрузиться с WinPE диска/флэшки, в UVS "Выбрать каталог Windows" - указать на папку Windows на HDD и сделать полный образ автозапуска.
https://yadi.sk/d/a1uco1wO3ag9q6 - моя загрузочная сборка, правда, там UVS старый, но вполне подойдёт, думаю. Стартует с него UVS автоматически.

[che_guevara]

С Вашего образа почему-то загрузиться не удалось. Пробовал записывать через UltraISO и через Rufus. При загрузке - черный экран.
Нашёл у себя рабочий образ WinPE, загрузился с него. UVS перед созданием образа автозапуска запросил установку каталога цифровых подписей, но выдал ошибку при установке. Выкладываю то, что получилось
https://yadi.sk/d/OiSM_Juc3agGFc

[Vvvyg]

Ага, загрузочный вирус в MBR, Trojan.Boot.DarkGalaxy.a. Пролечиваем с WinPE. Сохраните скрипт из вложения в папку с UVS заранее, после загрузки и выбора каталога Windows выполняйте в UVS скрипт из файла:
fixmbr.TXT
Загружаетесь в рабочую систему и сообщаете результат.

[che_guevara]

Проблема решена! Большое спасибо за помощь!
Вот бы ещё понять, откуда эта зараза пришла...

[Vvvyg]

Сложно сказать откуда, про поведение conhost.exe информация есть, а про распространение и буткит - не видел.
Кстати, переустановка системы не помогла бы, только время потратили бы. Печально, что TDSSKiller не увидел заразу, это его хлеб, и KVRT. А вот Rescue Disk от Касперского, скорее всего, справился бы.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[CyberHelper]

?????????? ???????????? ???????:

• ???????? ??????????: 3
• ?????????? ??????: 5
• ? ???? ??????? ?????????? ??????????? ?????????:
  
  1. \conhost.exe._631b58237c00399c426acbbe4280bc06d66e 43cd - HEUR:=
     Trojan.Win32.Generic
  2. c:\windows\temp\conhost.exe - HEUR:Trojan.Win32.Generic