Не удалить вирус-майнер

@writie777 · Регистрация: 12.11.2018

Author24 — интернет-сервис помощи студентам

Win 7x64. Без понятия, откуда он взялся. Malvarebyte вычищал его, но появляется через некоторое время заново. Браузеры все удалял\переустановил, даже IE.

Текст в этих txt и ini

[hash]
value=1H2568C51JA87C1930183BD17AA4L2Q6
[commentary]
value=YO_local_new!!!
[Description]
[DisplayName]
[ServerHS]
0=yomatherfucker.ml
1=ork.zak-zak.usa.cc
2=abr2.abrakadabra.nut.cc
[mincorecount]
value=2
[DateTime]
InstallSvc=12.07.2018 21:35:13
[mainer_dir]
value=C:\Program Files\Internet Explorer\bin\
[mainer_exe]
value=iediagcmd.exe
[mainer_param_str]
value =-o 193.228.54.23:3333 -k --max-cpu-usage=50 --api-port 1010
[AutoCloseProcessTimer]
value=1000

12.11.2018 14:56:21 | ==============(Start serveice, plase wait...)==============
12.11.2018 14:56:21 | Running service HS ON-ME [v. 80]...
12.11.2018 14:56:21 | -Service = C:\Windows\SysWOW64\config\audiodg.exe
12.11.2018 14:56:21 | -Loading C:\Windows\SysWOW64\config\parameters.ini...
12.11.2018 14:57:58 | ==============(Start serveice, plase wait...)==============
12.11.2018 14:57:58 | Running service HS ON-ME [v. 80]...
12.11.2018 14:57:58 | -Service = C:\Windows\SysWOW64\config\audiodg.exe
12.11.2018 14:57:58 | -Loading C:\Windows\SysWOW64\config\parameters.ini...
12.11.2018 19:28:45 | ==============(Start serveice, plase wait...)==============
12.11.2018 19:28:45 | Running service HS ON-ME [v. 80]...
12.11.2018 19:28:45 | -Service = C:\Windows\SysWOW64\config\audiodg.exe
12.11.2018 19:28:45 | -Loading C:\Windows\SysWOW64\config\parameters.ini...

proceslist
taskmgr.exe
ProcessHacker.exe
perfmon.exe
procexp.exe
procexp64.exe
procexp32.exe
resmon.exe
autoruns.exe
procmon.exe
aida64.exe
rpexplorer.exe
anvir.exe

@Sandor · 13.11.2018, 11:44

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@writie777 · 13.11.2018, 23:34 **[ТС]**

Прикрепил логи. Добавлю ещё, что сегодня несколько часов вируса не наблюдал в папках (на скриншоте). Но оставив компьютер включенным в бездействии (только торрент работал), придя через пару часов он был перезагружен и уже в автозагрузке снова был этот audiodg.exe

@thyrex · 14.11.2018, 20:12

Выполните скрипт в AVZ из папки Autologger

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('C:\Program Files\Internet Explorer\bin\iediagcmd.exe');
 TerminateProcessByName('c:\windows\syswow64\config\audiodg.exe');
 SetServiceStart('AdobeFlashPlayer', 4);
 QuarantineFile('C:\ProgramData\indus\start.vbs','');
 QuarantineFile('C:\Program Files\Internet Explorer\bin\iediagcmd.exe','');
 QuarantineFile('c:\windows\syswow64\config\audiodg.exe','');
 DeleteFile('c:\windows\syswow64\config\audiodg.exe','32');
 DeleteFile('C:\Program Files\Internet Explorer\bin\iediagcmd.exe','32');
 DeleteFile('C:\ProgramData\indus\start.vbs','32');
 DeleteService('AdobeFlashPlayer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Прикреплять карантин к сообщениям на форуме ЗАПРЕЩЕНО!!! .

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@writie777 · 16.11.2018, 00:49 **[ТС]**

Так как до вышенаписанных указаний я ещё раз прошёлся Malwarebytes (3.6.1.2711), а потом в Process Blocker вбил запрет на запуск этих файлов (на скриншоте) и добавил все эти запускаемые процессы на запрет в стандартный брандмауэр Windows, то после выполнения скрипта в карантине ничего не оказалось. Однако, файл lsass.exe в ProgramData всё равно откуда-то появился (запаковать для карантина в 7z не получилось, отказано в доступе). То есть из наблюдаемого, всё приблизительно начинается с этого файла. И после этих манипуляций ничего не вылазит и не грузит систему. Не знаю, что делать - оставаться в таких рамках (что в принципе норм) или дальше докапываться до корня, откуда всё-таки появляется этот .exe

@thyrex · 17.11.2018, 00:02

Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@writie777 · 17.11.2018, 14:40 **[ТС]**

Done

@thyrex · 17.11.2018, 20:30

1. Выделите следующий код:

Код

Start::
CreateRestorePoint:
2018-11-14 18:24 - 2018-11-14 18:32 - 001283767 _____ () C:\ProgramData\lsass.exe
2018-11-14 18:24 - 2018-11-14 18:32 - 001283767 _____ () C:\Users\Все пользователи\lsass.exe
2018-11-11 22:18 - 2018-04-27 13:54 - 000000000 ___HD C:\Users\Все пользователи\qpqcylrifx472
2018-11-11 22:18 - 2018-04-27 13:54 - 000000000 ___HD C:\ProgramData\qpqcylrifx472
AlternateDataStreams: C:\Windows\Temp:$DATA [16]
AlternateDataStreams: C:\ProgramData\TEMP:E965A533 [160]
AlternateDataStreams: C:\Users\Andrey\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Andrey\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:E965A533 [160]
c:\programdata\indus\rundll.exe
c:\programdata\indus\ss.exe
C:\Program Files\Internet Explorer\bin\new.exe
C:\ProgramData\indus\autoran.bat
C:\Windows\SysWOW64\config\audiodg.exe
C:\Program Files\Internet Explorer\bin\iediagcmd.exe
C:\ProgramData\indus
C:\WINDOWS\SYSWOW64\2.EXE
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@writie777 · 18.11.2018, 02:49 **[ТС]**

Вот

@thyrex · 18.11.2018, 06:23

Что с проблемой?

@writie777 · 18.11.2018, 12:51 **[ТС]**

При запуске сегодня всё чисто. оставлю до утра работать комп, завтра будет уже видно

@writie777 · 18.11.2018, 14:34 **[ТС]**

lsass.exe в ProgramData появился

Отправил файл в форму для карантина

@writie777 · 18.11.2018, 14:41 **[ТС]**

2018.11.18_quarantine_7f6f32abdde8bbcbe8250cde8d3c96ed.zip

@writie777 · 19.11.2018, 17:15 **[ТС]**

А вот, что обнаружила утилита касперского KVRT

@severnyj · 21.11.2018, 11:28

Обновления для ОС все установлены?

@writie777 · 22.11.2018, 18:07 **[ТС]**

Года два без обновлений - Центр обновления Windows некорректно работает (это мой косяк, как-то его запорол)

@thyrex · 22.11.2018, 19:39

Ну тогда пробовать только так

@writie777 · 24.11.2018, 01:26 **[ТС]**

Перед установкой обновлений я ещё раз прошёлся Malwarebytes, удалил всё, что он нашёл и сейчас вроде всё нормально, lsass.exe не появляется, хотя до этого появился lsass2.exe. Система не грузится, в играх всё ок, система не крэшится, как было.

@writie777 0 / 0 / 0 Регистрация: 12.11.2018 Сообщений: 11
		1
	Не удалить вирус-майнер 12.11.2018, 21:37. Показов 6071. Ответов 17 Метки нет (Все метки) Win 7x64. Без понятия, откуда он взялся. Malvarebyte вычищал его, но появляется через некоторое время заново. Браузеры все удалял\переустановил, даже IE. Текст в этих txt и ini [hash] value=1H2568C51JA87C1930183BD17AA4L2Q6 [commentary] value=YO_local_new!!! [Description] [DisplayName] [ServerHS] 0=yomatherfucker.ml 1=ork.zak-zak.usa.cc 2=abr2.abrakadabra.nut.cc [mincorecount] value=2 [DateTime] InstallSvc=12.07.2018 21:35:13 [mainer_dir] value=C:\Program Files\Internet Explorer\bin\ [mainer_exe] value=iediagcmd.exe [mainer_param_str] value =-o 193.228.54.23:3333 -k --max-cpu-usage=50 --api-port 1010 [AutoCloseProcessTimer] value=1000 12.11.2018 14:56:21 \| ==============(Start serveice, plase wait...)============== 12.11.2018 14:56:21 \| Running service HS ON-ME [v. 80]... 12.11.2018 14:56:21 \| -Service = C:\Windows\SysWOW64\config\audiodg.exe 12.11.2018 14:56:21 \| -Loading C:\Windows\SysWOW64\config\parameters.ini... 12.11.2018 14:57:58 \| ==============(Start serveice, plase wait...)============== 12.11.2018 14:57:58 \| Running service HS ON-ME [v. 80]... 12.11.2018 14:57:58 \| -Service = C:\Windows\SysWOW64\config\audiodg.exe 12.11.2018 14:57:58 \| -Loading C:\Windows\SysWOW64\config\parameters.ini... 12.11.2018 19:28:45 \| ==============(Start serveice, plase wait...)============== 12.11.2018 19:28:45 \| Running service HS ON-ME [v. 80]... 12.11.2018 19:28:45 \| -Service = C:\Windows\SysWOW64\config\audiodg.exe 12.11.2018 19:28:45 \| -Loading C:\Windows\SysWOW64\config\parameters.ini... proceslist taskmgr.exe ProcessHacker.exe perfmon.exe procexp.exe procexp64.exe procexp32.exe resmon.exe autoruns.exe procmon.exe aida64.exe rpexplorer.exe anvir.exe Миниатюры 0

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	13.11.2018, 11:44	2
	Здравствуйте! Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@thyrex 13268 / 7392 / 1564 Регистрация: 06.09.2009 Сообщений: 26,955
	17.11.2018, 00:02	6
	Скачайте Farbar Recovery Scan Tool [img]https://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]https://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив**) и прикрепите к сообщению. 0

@thyrex 13268 / 7392 / 1564 Регистрация: 06.09.2009 Сообщений: 26,955
	18.11.2018, 06:23	10
	Что с проблемой? 0

@writie777 0 / 0 / 0 Регистрация: 12.11.2018 Сообщений: 11
	18.11.2018, 12:51 [ТС]	11
	При запуске сегодня всё чисто. оставлю до утра работать комп, завтра будет уже видно 0

@writie777 0 / 0 / 0 Регистрация: 12.11.2018 Сообщений: 11
	18.11.2018, 14:34 [ТС]	12
	lsass.exe в ProgramData появился Отправил файл в форму для карантина Миниатюры 0

@writie777 0 / 0 / 0 Регистрация: 12.11.2018 Сообщений: 11
	18.11.2018, 14:41 [ТС]	13
	2018.11.18_quarantine_7f6f32abdde8bbcbe8250cde8d3c96ed.zip 0

@writie777 0 / 0 / 0 Регистрация: 12.11.2018 Сообщений: 11
	19.11.2018, 17:15 [ТС]	14
	А вот, что обнаружила утилита касперского KVRT Миниатюры 0

@severnyj 3901 / 2113 / 347 Регистрация: 04.04.2012 Сообщений: 7,745
	21.11.2018, 11:28	15
	Обновления для ОС все установлены? 0

@writie777 0 / 0 / 0 Регистрация: 12.11.2018 Сообщений: 11
	22.11.2018, 18:07 [ТС]	16
	Года два без обновлений - Центр обновления Windows некорректно работает (это мой косяк, как-то его запорол) 0

	24.11.2018, 01:26

@thyrex 13268 / 7392 / 1564 Регистрация: 06.09.2009 Сообщений: 26,955
	22.11.2018, 19:39	17
	Сообщение было отмечено writie777 как решение Решение Ну тогда пробовать только так 1

@writie777 0 / 0 / 0 Регистрация: 12.11.2018 Сообщений: 11
	24.11.2018, 01:26 [ТС]	18
	Перед установкой обновлений я ещё раз прошёлся Malwarebytes, удалил всё, что он нашёл и сейчас вроде всё нормально, lsass.exe не появляется, хотя до этого появился lsass2.exe. Система не грузится, в играх всё ок, система не крэшится, как было. Миниатюры 0

Не удалить вирус-майнер

Решение