детектятся два майнера Trojan.JS.Miner.m и Trojan.JS.Miner.I

**center** · 13.03.2018, 14:40

здравствуйте!
собственно замучали уже эти майнеры, каспер их детектирует, запускает программу лечения активного заражения,
ребутает машину и снова их же детектит. Так по кругу до бесконечности. Логи во вложении. Спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.03.2018, 14:43

Уважаемый(ая) center, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 14.03.2018, 07:21

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk"      -> ["C:\ProgramData\qEZfPBcDs\QQKDTc0.bat"  =>> --profile-directory=Default]
>>>  "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e970b0a24e839a00\Yandex.lnk"   -> ["C:\Users\user\AppData\Local\ZcxZkE\PivdPar1.bat"  =>> --profile-directory=Default]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\fkr43_000\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"           -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AdwCleaner\AdwCleaner.lnk"      -> ["C:\Program Files (x86)\AdwCleaner\AdwCleaner.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\AdwCleaner.lnk"         -> ["C:\Program Files (x86)\AdwCleaner\AdwCleaner.exe"]

Отчёт о работе прикрепите.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Устанавливайте все хотфиксы и обновления по ссылкам из лога. Майнеров в автозапуске нет, подсаживают через уязвимости.
Всё, что найдётся касательно браузеров, продуктов Adobe - тоже обновляйте.
Источник заразы, скорее всего, в локальной сети, обновлять нужно ВСЕ компьютеры.

**center** · 14.03.2018, 08:46

логи clearlnk

**Vvvyg** · 14.03.2018, 20:24

Ну и SecurityCheck.txt тоже прикрепите. После обновлений проблема ушла?

**center** · 15.03.2018, 15:29

еще логи

еще обратил внимание, что в programData появилась куча подкаталогов типа wdhshd
может это следы или майнеры все еще работают (смотрите скрин)
еще: как то странно запускается обновление скайпа, обычно окно маленькое, а тут большое и оно просит права администратора на запуск, обычно просто жмешь обновить и все
да и каспер больше не детектит ничего, даже после полной проверки.....

**Vvvyg** · 15.03.2018, 20:19

Обновите или удалите:

--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 28 NPAPI v.28.0.0.137 Внимание! Скачать обновления
Adobe Flash Player 28 PPAPI v.28.0.0.137 Внимание! Скачать обновления

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**center** · 16.03.2018, 12:46

файл Addition.txt не был создан в каталоге FRST

- - - - -Добавлено - - - - -

пас на архив 123

**Vvvyg** · 16.03.2018, 20:39

Т. е. удалять эти папки с помощью FRST пробовали и безуспешно. Антивирус отключали? И Fixlog.txt какой-то обрезанный.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**center** · 19.03.2018, 08:46

первый раз FRST я запускал с сетевого диска и да он лог показал вот с этими dsfhsd в prigramData. Потом переместил на диск
с - и FRST номально же отработал записал оба файла, второй раз логи полноценные же вроде получились...

**Vvvyg** · 19.03.2018, 15:25

Отключите временно антивирус.
Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
deldir C:\ProgramData\s5f0
deldir C:\ProgramData\s7fo
deldir C:\ProgramData\s68o
deldir C:\ProgramData\s2ic
deldir C:\ProgramData\s60o
deldir C:\ProgramData\s4u8
deldir C:\ProgramData\s78k
deldir C:\ProgramData\s6ns
deldir C:\ProgramData\s4t4
deldir C:\ProgramData\agJFKLPain
deldir C:\ProgramData\aOtPOewS
deldir C:\ProgramData\aqucNxbah
deldir C:\ProgramData\aSNTqmO
deldir C:\ProgramData\AvacmR
deldir C:\ProgramData\aVYAmVZoi
deldir C:\ProgramData\AwSYdefV
deldir C:\ProgramData\buuGlvTg
deldir C:\ProgramData\CjAUpZa
deldir C:\ProgramData\CLEyvkAmb
deldir C:\ProgramData\cLxgqvDSev
deldir C:\ProgramData\CqIKqaH
deldir C:\ProgramData\CQwrkMMy
deldir C:\ProgramData\CVBTjTFql
deldir C:\ProgramData\CwfgJS
deldir C:\ProgramData\cxupQuQ
deldir C:\ProgramData\dALEWEMRMq
deldir C:\ProgramData\dCQsJE
deldir C:\ProgramData\diIzuRi
deldir C:\ProgramData\dkvmeDELcc
deldir C:\ProgramData\DLpvmtf
deldir C:\ProgramData\DlxqZv
deldir C:\ProgramData\dmvuMMTIIX
deldir C:\ProgramData\drFrAA
deldir C:\ProgramData\DtmvGjej
deldir C:\ProgramData\DVbxkUbE
deldir C:\ProgramData\DvDPTurB
deldir C:\ProgramData\DvIRJLVKJ
deldir C:\ProgramData\dXdcWmI
deldir C:\ProgramData\dZhKFGMDjF
deldir C:\ProgramData\egYFIDW
deldir C:\ProgramData\eIFVqOOvgy
deldir C:\ProgramData\eNtwKAWCm
deldir C:\ProgramData\EqlTqGLZ
deldir C:\ProgramData\ErFLMBI
deldir C:\ProgramData\eUqHngAlM
deldir C:\ProgramData\EXKxakFAsx
deldir C:\ProgramData\EziJpojc
deldir C:\ProgramData\fftZfIDIj
deldir C:\ProgramData\FGygZtnW
deldir C:\ProgramData\fiWnzcH
deldir C:\ProgramData\fuQfywr
deldir C:\ProgramData\fWgwIlX
deldir C:\ProgramData\GAmiHsxyfm
deldir C:\ProgramData\GbjQrHRfJx
deldir C:\ProgramData\geXlKPGPB
deldir C:\ProgramData\gGlPdR
deldir C:\ProgramData\GmXPfztX
deldir C:\ProgramData\gPNzBoTu
deldir C:\ProgramData\GrgBotRGN
deldir C:\ProgramData\gURtJFkVIq
deldir C:\ProgramData\HBGFDro
deldir C:\ProgramData\HkXoXSRS
deldir C:\ProgramData\HlpmOdAca
deldir C:\ProgramData\hRlNSLdja
deldir C:\ProgramData\HuNVzvrfx
deldir C:\ProgramData\hvaggsf
deldir C:\ProgramData\ivHtFrW
deldir C:\ProgramData\IXwXohvne
deldir C:\ProgramData\IZEJoK
deldir C:\ProgramData\JCpMDNAFGt
deldir C:\ProgramData\jenQDjG
deldir C:\ProgramData\JEOuWptQYK
deldir C:\ProgramData\JFkaQc
deldir C:\ProgramData\jHFpuu
deldir C:\ProgramData\jJidpqSK
deldir C:\ProgramData\jMAkNfkZnG
deldir C:\ProgramData\jpPuijmB
deldir C:\ProgramData\JRwukCW
deldir C:\ProgramData\jTarSunepb
deldir C:\ProgramData\kAuJkcHrW
deldir C:\ProgramData\KbOOIwflev
deldir C:\ProgramData\KDNoCAI
deldir C:\ProgramData\KfDkSPUec
deldir C:\ProgramData\KktHfG
deldir C:\ProgramData\lAheLfT
deldir C:\ProgramData\LBbHtpl
deldir C:\ProgramData\leZxYCJ
deldir C:\ProgramData\lissavvo
deldir C:\ProgramData\LRTMgYBm
deldir C:\ProgramData\ltMGKPHnl
deldir C:\ProgramData\lXqtMT
deldir C:\ProgramData\lYSvGvFoQt
deldir C:\ProgramData\mEehyywKx
deldir C:\ProgramData\MLMLlh
deldir C:\ProgramData\msueAbDhm
deldir C:\ProgramData\MubbhPRZh
deldir C:\ProgramData\mZNBEAlXe
deldir C:\ProgramData\nayoXLT
deldir C:\ProgramData\NGLzSwjS
deldir C:\ProgramData\NIECjTxY
deldir C:\ProgramData\nmQHIFGp
deldir C:\ProgramData\NnIBle
deldir C:\ProgramData\NZGPkenRIR
deldir C:\ProgramData\OjtVFbFe
deldir C:\ProgramData\onLcYI
deldir C:\ProgramData\OpgBTqr
deldir C:\ProgramData\OUKfTaWs
deldir C:\ProgramData\oZobAgc
deldir C:\ProgramData\piwPdbnvjl
deldir C:\ProgramData\PjTiizhXHx
deldir C:\ProgramData\PkfLnQM
deldir C:\ProgramData\pnpnYmcRa
deldir C:\ProgramData\qKgtMQLjy
deldir C:\ProgramData\QlTQJf
deldir C:\ProgramData\qPBBgO
deldir C:\ProgramData\qpjdst
deldir C:\ProgramData\qrbdLtR
deldir C:\ProgramData\QXzcPpYh
deldir C:\ProgramData\QzYXwzwWCm
deldir C:\ProgramData\rDuYZpIO
deldir C:\ProgramData\RFFxTwuWv
deldir C:\ProgramData\rFmrtXtZ
deldir C:\ProgramData\RHcYluaXU
deldir C:\ProgramData\rkuwpnEBHS
deldir C:\ProgramData\rNBCYgbv
deldir C:\ProgramData\rOVjBlsR
deldir C:\ProgramData\rRZQwZnUeP
deldir C:\ProgramData\RtIPhulQn
deldir C:\ProgramData\RVLoEg
deldir C:\ProgramData\sCePIfwY
deldir C:\ProgramData\sGzOIoV
deldir C:\ProgramData\shNQxc
deldir C:\ProgramData\shnUuXHjMn
deldir C:\ProgramData\SIWAVeFlkJ
deldir C:\ProgramData\sKcYCGa
deldir C:\ProgramData\sKepcSpPS
deldir C:\ProgramData\snUwPIKNvI
deldir C:\ProgramData\sQsplw
deldir C:\ProgramData\SujysaDF
deldir C:\ProgramData\sVvfeDd
deldir C:\ProgramData\SwfibN
deldir C:\ProgramData\taULfSjvgM
deldir C:\ProgramData\teBWYqhMYK
deldir C:\ProgramData\uBvOfDis
deldir C:\ProgramData\uemsCsKoAA
deldir C:\ProgramData\UmjKReYgv
deldir C:\ProgramData\uqvmggUyKl
deldir C:\ProgramData\UrbLYBQC
deldir C:\ProgramData\VhBlIaGw
deldir C:\ProgramData\vKqIygm
deldir C:\ProgramData\VYpmGOOhCJ
deldir C:\ProgramData\wCzVYRwJ
deldir C:\ProgramData\wIhLiyetV
deldir C:\ProgramData\WKFqdsQlI
deldir C:\ProgramData\wkWvuquQkK
deldir C:\ProgramData\WnppGqL
deldir C:\ProgramData\WPVRVYr
deldir C:\ProgramData\wuArwL
deldir C:\ProgramData\WWjeIJG
deldir C:\ProgramData\WXcwNRHDp
deldir C:\ProgramData\WybLAUqB
deldir C:\ProgramData\XNHRiaXfTc
deldir C:\ProgramData\xqCGFcs
deldir C:\ProgramData\xUHzrjg
deldir C:\ProgramData\xxiWlD
deldir C:\ProgramData\yCqmOMwJVD
deldir C:\ProgramData\yfhKZDqTvu
deldir C:\ProgramData\yGbvAwn
deldir C:\ProgramData\ygngDC
deldir C:\ProgramData\YibNgQn
deldir C:\ProgramData\YjjDeNUh
deldir C:\ProgramData\YWpwJXfCNH
deldir C:\ProgramData\YxSchbRHf
deldir C:\ProgramData\yXYXuP
deldir C:\ProgramData\Zjmlkyi
deldir C:\ProgramData\ZKbWCBJMJ
deldir C:\ProgramData\ZMPEQwsN
deldir C:\ProgramData\zpfLauQsqW
deldir C:\ProgramData\zwaBRBC
deldir C:\ProgramData\ZWiXFHN
deldir C:\ProgramData\zxjknyy
deltmp
apply
restart

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

**center** · 19.03.2018, 17:11

визуально в programData остались еще каталоги типа dssdsd, но теперь их 29 всего

**Vvvyg** · 19.03.2018, 20:45

Удалите аналогичным скриптом, команды только deldir и далее полный путь к папкеr. Только аккуратно.

**center** · 20.03.2018, 09:39

Так ну ок - подправил предыдущий скрипт, с учетом не удаленных каталогов.
Теперь визуально никаких каталогов типа sdsdsd в programData нет, все хорошо каспер ничего не детектит, только uvs пишет, что неизвестный загрузчик в MBR...как это отследить?

**Vvvyg** · 20.03.2018, 21:09

Просто в клиентском наборе UVS нет хэшей проверенных файлов. Всё в порядке с MBR.
Тогда всё на этом?

**center** · 21.03.2018, 08:05

да. спасибо за помощь!

детектятся два майнера Trojan.JS.Miner.m и Trojan.JS.Miner.I (заявка № 218081)

Опции темы