Trojan.Win64.Miner.gen

**bawdamua** · 15.01.2022, 04:09

Вот это вот чудо появляется по пути C:\Users\youlo\AppData\Roaming\Microsoft\msvcvc\pa tch3021\msvcvc1000.dll.
Также добавляет запись в планировщик задач C:\Windows\System32\Tasks\znvcontainer
Отмечается тут HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CF267D C2-A414-41E2-9CBA-9EADDC492931}

Много раз удалял с помощью антивируса касперого. Malwarebytes и adwcleaner ничего не находят. Помогите. Больше десяти лет не было проблем, как-то сам справлялся, а тут, видать, я уже постарел, не могу понять как возвращается.

Прилагаю логи FRST:

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.01.2022, 04:12

Уважаемый(ая) bawdamua, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**bawdamua** · 15.01.2022, 04:36

Еще оно как-то перехватывает dns, при запуске proxifier сайты перестают резольвиться.

**Vvvyg** · 15.01.2022, 20:28

По хорошему, надо было логи по правилам раздела предоставить, а логи FRST не ссылками на pastebin, а вложениями...
Ну, ок, начнём с имеющихся, хотя Addition.txt неполный.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
CHR HKU\S-1-5-21-3580074738-739942873-3176787290-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\youlo\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx <не найдено>
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2021-12-10 17:20 - 2021-12-10 17:20 - 002535012 _____ C:\WINDOWS\Minidump\121021-12093-01.dmp
2021-11-04 17:05 - 2021-11-04 17:05 - 002550796 _____ C:\WINDOWS\Minidump\110421-11421-01.dmp
2021-10-28 22:07 - 2021-10-28 22:07 - 002478492 _____ C:\WINDOWS\Minidump\102821-12468-01.dmp
2021-10-28 18:54 - 2021-12-10 17:20 - 1833833251 _____ C:\WINDOWS\MEMORY.DMP
2021-10-28 18:54 - 2021-10-28 18:54 - 002570652 _____ C:\WINDOWS\Minidump\102821-10640-01.dmp
2021-10-25 20:31 - 2021-10-25 20:31 - 000000000 ____D C:\WINDOWS\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\youlo\AppData\Local\Microsoft\OneDrive\20.114.0607.0002\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{646A7691-1193-29ED-14F8-C9AB741CD9D4}\InprocServer32 -> C:\Program Files (x86)\Common Files\System\ole32.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\youlo\AppData\Local\Microsoft\OneDrive\20.114.0607.0002\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\youlo\AppData\Local\Microsoft\OneDrive\20.114.0607.0002\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> - => Нет файла
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\x32dbg.exe - Ярлык.lnk -> C:\Users\youlo\Desktop\release\x32\x32dbg.exe (Нет файла) <==== Cyrillic
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Готика II Классическая.lnk -> C:\Games\Gothic II\Gothic_II_Classic.bat (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Готика II Ночь Ворона.lnk -> C:\Games\Gothic II\System\GothicStarter.exe (Нет файла) <==== Cyrillic
Shortcut: C:\Users\Default\Desktop\Google Docs.lnk -> C:\Program Files\Google\Drive File Stream\launch.bat (Нет файла)
Shortcut: C:\Users\Default\Desktop\Google Sheets.lnk -> C:\Program Files\Google\Drive File Stream\launch.bat (Нет файла)
Shortcut: C:\Users\Default\Desktop\Google Slides.lnk -> C:\Program Files\Google\Drive File Stream\launch.bat (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XB1ControllerBatteryIndicator.lnk -> C:\Users\youlo\AppData\Local\Temp\Rar$EXa14792.23014\XB1ControllerBatteryIndicator.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Средства Microsoft Office 2016\Активация MS Office.lnk -> C:\Windows\Activator.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Stremio\Stremio web.lnk -> C:\Users\youlo\AppData\Local\Programs\LNV\Stremio-4\stremio web.bat (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled\Gajim.lnk -> C:\Program Files\Gajim\bin\Gajim.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpotifyMOD\SpotifyMOD_Uninstall.lnk -> C:\Program Files (x86)\Spotify\SpotifyMOD_Uninstall.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.doc.LNK -> C:\Users\youlo\Desktop\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.doc (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.htm.LNK -> C:\Users\youlo\Desktop\sdf\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.htm (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.mht.LNK -> C:\Users\youlo\Desktop\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.mht (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.pdf.LNK -> C:\Users\youlo\Desktop\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.pdf (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.rtf.LNK -> C:\Users\youlo\Desktop\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.rtf (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\manual.rtf.LNK -> C:\Users\youlo\Desktop\Brutal Doom - Hell on Earth Starter Pack\manual.rtf (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\NGO_management_Part4 (1).doc.LNK -> C:\Users\youlo\Downloads\NGO_management_Part4 (1).doc (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\t40_xss.csv.LNK -> C:\Users\youlo\Desktop\t40_xss.csv (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\ТАРТАНОВА - Богданов Заказ №21rvd (3).docx (2).LNK -> C:\Users\youlo\Downloads\Telegram Desktop\ТАРТАНОВА - Богданов Заказ №21rvd (3).docx (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Age of Empires Definitive Edition.lnk -> C:\Games\Age of Empires Definitive Edition\AoEDE_s.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Cities Skylines - Deluxe Edition.lnk -> C:\Games\Cities Skylines - Deluxe Edition\Cities.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Cyberpunk 2077.lnk -> C:\Games\Cyberpunk 2077\bin\x64\Cyberpunk2077.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Fallout 4.lnk -> C:\Games\Fallout 4 + High Resolution Texture Pack.Steam-Rip [=nemos=]\Fallout 4\Fallout4.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Hitman Absolution - Professional Edition.lnk -> C:\Games\Hitman Absolution - Professional Edition\HMA.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Feral Interactive\Total War ROME REMASTERED\Application.lnk -> C:\Games\Total War - ROME Remastered\Total War ROME REMASTERED.exe (Нет файла)
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Какие-то политики, групповые, пользовательские в системе используете?

Сделайте логи по правилам раздела после исправлений.

**bawdamua** · 15.01.2022, 23:28

Спасибо за реакцию, Vadim. Вот, прикладываю согласно правилам и запросам.

Какие-то политики, групповые, пользовательские в системе используете?

Не использую.

F8bjHz9.png
Вот так выглядит вживую. Появляется изниоткуда, дроппер невозможно установить никак.

**Vvvyg** · 16.01.2022, 10:42

Ничего не появляется из ниоткуда, будем искать источник.

Сделайте в FRST такое исправление:

Код:

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CMD: gpupdate /force
End::

Fixlog.txt прикрепите.

Скачайте утилиту Universal Virus Sniffer отсюда, распакуйте архив полностью.
Скопируйте скрипт ниже в буфер обмена:

Код:

;uVS v4.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.2
deltmp
regt 39
regt 41
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Как только появятся признаки майнера, не лечите его сразу, а сделайте полный образ автозапуска uVS.

Если не влезет (навверняка) во вложения - ссылкой на облако/файлообменник.

**bawdamua** · 16.01.2022, 17:39

Провел, приложил. Есть хорошие и плохие новости: майнер куда-то пропал, узнать откуда оно и где точно было - наверное, не получится. Спасибо большое за помощь, я напишу если проблема будет актуальна снова.

**Vvvyg** · 16.01.2022, 17:55

Хорошо, тему не закрываю.

**bawdamua** · 16.01.2022, 17:57

Едва не забыл: напишите, пожалуйста, в ЛС, или куда удобно, кошелек для доната.

**Vvvyg** · 16.01.2022, 18:21

В сообщении Info_bot в теме ссылка на страницу, там, правда многое устарело, но номер кошелька должен быть верный, только уже не Я.Деньги, а Юмани.

**bawdamua** · 16.01.2022, 18:57

Получилось через юмани. Прямые ссылки не работают.

Удалите пожалуйста из шапки прямые ссылки на логи(я не могу редактировать сообщение). У вас приложения, я так понял, защищены от анонимного доступа.

**Никита Соловьев** · 16.01.2022, 20:34

bawdamua, Готово. Вложения не могут смотреть пользователи без логина. Вы можете почистить вложения самостоятельно, если необходимо (https://virusinfo.info/showthread.php?t=130567).

Trojan.Win64.Miner.gen (заявка № 227534)

Опции темы