Модификация hosts [not-a-virus:RiskTool.VBS.BitCoinMiner.a ]

[The_Immortal]

Всех приветствую!

Друзья, помогите, пожалуйста.

Происходит постоянный редирект при попытке обратиться к ресурсу vk.com.

На машине стоит актуальный KAV WKS, однако проблему он не решает.

Сканировал CureIt'ом в безопасном режиме. Результаты:

C:\WINDOWS\system32\drivers\etc\hosts - probably infected with DFH.HOSTS.corrupted
C:\WINDOWS\system32\drivers\etc\hosts - infected
...
C:\WINDOWS\system32\drivers\etc\hosts - infected with Trojan.Hosts.6815
...
-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------
C:\WINDOWS\system32\drivers\etc\hosts - cured

Вроде бы после этого проблема пропала, но не надолго. Появились те же самые симптомы.

Решил обратиться к вам, очень надеюсь на помощь.

Благодарю!

P.S. Логи:
virusinfo_syscure.zip
Вложение 416021
Вложение 416022

[Info_bot]

Уважаемый(ая) The_Immortal, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Flash\update.vbs','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Flash\update.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[The_Immortal]

thyrex, скрипт выполнил. Карантин загрузил. Новые логи также выложил.

Однако имеется один вопросик.

Код:

DeleteFile('C:\Documents and Settings\Администратор\Application Data\Flash\update.vbs');

Данный файл физически располагается по следующему пути:

C:\Documents and Settings\buh6\Application Data\Flash\update.vbs

Соответственно, после выполнения скрипта он там и остался.
Непонятно, почему AVZ показывает путь с "Администратором".
Да, AVZ запускался именно от Администратора, как было указано в инструкции. Быть может из-за этого произошла путаница с путями?

P.S. Логи:
Вложение 416144
Вложение 416146
Вложение 416145

[thyrex]

В новых логах этого файла нет

Что с проблемой?

[The_Immortal]

thyrex,

Что с проблемой?

Проблема осталась:

C:\Documents and Settings\buh6>ping vk.com

Обмен пакетами с www.odnoklassniki.ru [37.10.117.87] по 32 байт:

Ответ от 37.10.117.87: число байт=32 время=59мс TTL=57
Ответ от 37.10.117.87: число байт=32 время=61мс TTL=57
Ответ от 37.10.117.87: число байт=32 время=60мс TTL=57
Ответ от 37.10.117.87: число байт=32 время=60мс TTL=57

В новых логах этого файла нет

По факту же этот файл есть:

Вложение 416213


Я полагаю имеет смысл выполнить следующий скрипт:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13); 
RebootWindows(true);
end.

?

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\t1.vbs','');
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\miner.php','');
 QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs','');
 DeleteFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

проверьте что с проблемой.

- - - Добавлено - - -

+ перенесите вручную куда-нибудь эту папку и убедитесь, что у вас всё работает нормально. После этого эту папку удалите. Судя по названию файлов все файлы (по крайней мере из тех, что видны на скрине) в этой папки относятся к майнеру.

[The_Immortal]

regist, итак, по порядку.

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\t1.vbs','');
QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\miner.php','');
 QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs','');
 DeleteFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Скрипт выполнил - проблема никуда не ушла.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Загрузил.

Профиксите в HijackThis

Код:

O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru

Пофиксил. Сразу после этого проблема ушла.

+ перенесите вручную куда-нибудь эту папку

Данный каталог (C:\Documents and Settings\buh6\Application Data\Flash) удалил, предварительно его заархивировав.

Сделайте повторные логи

Сделал:

Вложение 416311
Вложение 416312
Вложение 416313




Внимание!

Прошло около часа, как ко мне опять прибегает бухгалтерша: проблема вернулась. Комп даже не перезагружался за это время.
Так что я выкладываю повторные логи (самые актуальные):

Вложение 416324
Вложение 416323
Вложение 416325

С Касперского я просто в шоке - ему совершенно до лампочки все

[regist]

вложения не доступны, прикрепите пожалуйста логи заново.

С Касперского я просто в шоке - ему совершенно до лампочки все

извините за наверно глупый вопрос, а базы у вас обновлены ?

[The_Immortal]

regist,

извините за наверно глупый вопрос, а базы у вас обновлены ?

Разумеется Каспер обновляется каждый раз при запуске.

прикрепите пожалуйста логи заново.

Логи сразу после выполнения Ваших указаний (выполнение скрипта в AVZ, в hijackthis, удаление и архивирование папки Flash):

Вложение 416342
Вложение 416343
Вложение 416344



Логи спустя час обычной работы:

Вложение 416345
Вложение 416346
Вложение 416347

[regist]

опять в hosts записи добавились .

1) давайте сначала закроем уязвимости

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

2) Выполните скрипт в AVZ

Код:

begin
ClearHostsFile;
RebootWindows(false);
end.

компьютер перезагрузится.

3) - Сделайте лог полного сканирования МВАМ.

4) - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

[The_Immortal]

regist,

опять в hosts записи добавились .

1) давайте сначала закроем уязвимости

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Все уязвимости устранил.

2) Выполните скрипт в AVZ

Код:

begin
ClearHostsFile;
RebootWindows(false);
end.

компьютер перезагрузится.

Выполнил.

3) - Сделайте лог полного сканирования МВАМ.

Сделал: Вложение 416629
Как видите, та заархивированная папка ("Flash") задетектилась.
Однако удалять, согласно рекомендациям, я пока ничего не стал.

4) - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

Данную процедуру провел. Результаты прилагаю: http://rghost.ru/45652392 (залил на обменник, т.к. доступный лимит на форуме исчерпан).


Ожидаю дальнейших указаний.

[regist]

Удаляйте найденное и понаблюдайте, что с проблемой.

[The_Immortal]

regist, найденное удалил. Но увы, после небольшой работы проблема вернулась...

[regist]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[The_Immortal]

regist,
Вложение 416697
Вложение 416696

Быть может попробовать снять логи не из-под локального Администратора, а из-под той учетной записи, на которой ведется работа? Или это бестолковое занятие?

[regist]

а из-под той учетной записи, на которой ведется работа? Или это бестолковое занятие?

так логи и надо делать под проблемной учёткой . Если они сделаны не из под проблемной учётки, то переделайте.

- - - Добавлено - - -

+ Сделайте полный образ автозапуска uVS

если будете запускать из под учётки админа, то не забудьте на шаге №4 выбрать проблемную учётку.

[The_Immortal]

regist, я запутался...

Все логи я делаю под сеансом проблемной учетки (buh6). Но сами программы (AVZ, hijackhis) запускаю от имени Администратора (так сказано в правилах), не выходя при этом из сеанса проблемной учетки (buh6).

А как надо на самом деле?

[regist]

для начала у вас XP а запуск от имени от администратора для систем Vista и старше (нужно для запуска с правами админа, но с проблемной учётки). Так у вас XP то просто запускайте двойным щелчком и не заморачивайтесь.

Для того чтобы убрать симптомы, снова

Профиксите в HijackThis

Код:

O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru

и жду лога uVS может там будет видно из-за чего эта зараза возрождается.

[The_Immortal]

regist,

Так у вас XP то просто запускайте двойным щелчком и не заморачивайтесь.

На всякий случай сделал логи просто по двойному щелчку:
Вложение 416722
Вложение 416723

Для того чтобы убрать симптомы, снова

Профиксите в HijackThis

Код:

O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru

Пока фиксить не стал, ибо бесполезно.

и жду лога uVS может там будет видно из-за чего эта зараза возрождается.

Лог uVS: Вложение 416724

Однако эта дрянь скорее всего в автозапуске не сидит, т.к. проблема возникает без завершения сеанса пользователя.