Я хелпер. Вирус. (интересно)

Alien

Постоянный участник
Сообщения
388
Реакции
37
Добрый день. Дали ноутбук на буквально на 5 минут мол тормозит.
Не было особенно времени на анализ файлов. Сделал что мог. Ноутбук не у меня и новые команды скрипта на дальнейшее лечение не нужны.
Вот скрипт который я запустил.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\admin\Downloads\BlueStacks2_native.exe','');
QuarantineFile('C:\ProgramData\{3247D8DA-85EC-6F71-CC3A-BD797A4484F4}\21D36549-9678-D2E2-E12D-12249DAFDAD2.exe','');
QuarantineFile('C:\PROGRA~3\e0e7152f\a09aa5ab.dll','');
QuarantineFile('C:\Users\admin\Desktop\Settings.exe','');
QuarantineFile('C:\Program Files (x86)\GXZiGyYLSHyU2\KdfWIDV.dll','');
QuarantineFile('C:\Windows\ehome\mcupdate','');
QuarantineFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','');
QuarantineFile('C:\Program Files (x86)\thzXuJvjU\8dE6W62.dll','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
QuarantineFile('C:\Windows\system32\wecsvc.dll','');
QuarantineFile('C:\Windows\System32\wbiosrvc.dll','');
QuarantineFile('C:\Windows\system32\w32time.dll','');
QuarantineFile('C:\Windows\System32\uxsms.dll','');
QuarantineFile('C:\Windows\System32\trkwks.dll','');
QuarantineFile('C:\Windows\System32\ssdpsrv.dll','');
QuarantineFile('C:\Windows\system32\sppuinotify.dll','');
QuarantineFile('C:\Windows\System32\ipnathlp.dll','');
QuarantineFile('C:\Windows\system32\sensrsvc.dll','');
QuarantineFile('C:\Windows\system32\seclogon.dll','');
QuarantineFile('C:\Windows\System32\SDRSVC.dll','');
QuarantineFile('C:\Windows\system32\schedsvc.dll','');
QuarantineFile('C:\Windows\System32\SCardSvr.dll','');
QuarantineFile('C:\Windows\System32\RpcEpMap.dll','');
QuarantineFile('C:\Windows\system32\regsvc.dll','');
QuarantineFile('C:\Windows\System32\rasmans.dll','');
QuarantineFile('C:\Windows\System32\rasauto.dll','');
QuarantineFile('C:\Windows\system32\profsvc.dll','');
QuarantineFile('C:\Windows\system32\umpo.dll','');
QuarantineFile('C:\Windows\System32\ipsecsvc.dll','');
QuarantineFile('C:\Windows\system32\pnrpauto.dll','');
QuarantineFile('C:\Windows\system32\umpnpmgr.dll','');
QuarantineFile('C:\Windows\System32\pcasvc.dll','');
QuarantineFile('C:\Windows\system32\p2psvc.dll','');
QuarantineFile('C:\Windows\system32\pnrpsvc.dll','');
QuarantineFile('C:\Windows\system32\nsisvc.dll','');
QuarantineFile('C:\Windows\System32\nlasvc.dll','');
QuarantineFile('C:\Windows\System32\netman.dll','');
QuarantineFile('C:\Windows\system32\qagentRT.dll','');
QuarantineFile('C:\Windows\system32\iscsiexe.dll','');
QuarantineFile('C:\Windows\system32\mpssvc.dll','');
QuarantineFile('C:\Windows\system32\mmcss.dll','');
QuarantineFile('C:\Windows\system32\Mcx2Svc.dll','');
QuarantineFile('C:\Windows\System32\lmhsvc.dll','');
QuarantineFile('C:\Windows\System32\lltdsvc.dll','');
QuarantineFile('C:\Windows\System32\wkssvc.dll','');
QuarantineFile('C:\Windows\system32\srvsvc.dll','');
QuarantineFile('C:\Windows\system32\msdtckrm.dll','');
QuarantineFile('C:\Windows\System32\iphlpsvc.dll','');
QuarantineFile('C:\Windows\system32\ipbusenum.dll','');
QuarantineFile('C:\Windows\System32\ikeext.dll','');
QuarantineFile('C:\Windows\system32\ListSvc.dll','');
QuarantineFile('C:\Windows\system32\kmsvc.dll','');
QuarantineFile('C:\Windows\System32\gpsvc.dll','');
QuarantineFile('C:\Windows\system32\FntCache.dll','');
QuarantineFile('C:\Windows\system32\fdrespub.dll','');
QuarantineFile('C:\Windows\system32\fdPHost.dll','');
QuarantineFile('C:\Windows\System32\eapsvc.dll','');
QuarantineFile('C:\Windows\system32\dps.dll','');
QuarantineFile('C:\Windows\System32\dot3svc.dll','');
QuarantineFile('C:\Windows\System32\dnsrslvr.dll','');
QuarantineFile('C:\Windows\System32\defragsvc.dll','');
QuarantineFile('C:\Windows\system32\sstpsvc.dll','');
QuarantineFile('C:\Windows\system32\sysmain.dll','');
QuarantineFile('C:\Windows\System32\swprv.dll','');
QuarantineFile('C:\Windows\System32\wiaservc.dll','');
QuarantineFile('C:\Windows\system32\themeservice.dll','');
QuarantineFile('C:\Windows\System32\termsrv.dll','');
QuarantineFile('C:\Windows\System32\tbssvc.dll','');
QuarantineFile('C:\Windows\System32\TabSvc.dll','');
QuarantineFile('C:\Windows\system32\rpcss.dll','');
QuarantineFile('C:\Windows\System32\certprop.dll','');
QuarantineFile('C:\Windows\system32\bthserv.dll','');
QuarantineFile('C:\Windows\System32\browser.dll','');
QuarantineFile('C:\Windows\System32\qmgr.dll','');
QuarantineFile('C:\Windows\System32\bfe.dll','');
QuarantineFile('C:\Windows\System32\bdesvc.dll','');
QuarantineFile('C:\Windows\System32\AxInstSV.dll','');
QuarantineFile('C:\Windows\System32\Audiosrv.dll','');
QuarantineFile('C:\Windows\System32\appinfo.dll','');
QuarantineFile('C:\Windows\System32\appidsvc.dll','');
QuarantineFile('C:\Windows\System32\aelupsvc.dll','');
QuarantineFile('C:\Windows\system32\sdclt.exe','');
QuarantineFile('C:\Windows\system32\psxss.exe','');
QuarantineFile('C:\Windows\System32\win32k.sys','');
QuarantineFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe','');
QuarantineFile('C:\Users\admin\AppData\Roaming\SimpleNotepad3\SimpleNoteApp3.exe','');
QuarantineFile('C:\Windows\xhunter1.sys','');
DeleteService('xhunter1');
StopService('xhunter1');
QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','');
DeleteService('oem-drv64');
StopService('oem-drv64');
QuarantineFile('C:\Users\admin\AppData\Local\Temp\nsf40B9.tmp\ExecDos.dll','');
QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\kaPcykzr.dll','');
QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\2tjgPS.dll','');
QuarantineFile('C:\Users\admin\AppData\Roaming\vnlgp\vnlgp.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\tftp.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\simplenotepad3\simplenoteapp3.exe','');
QuarantineFile('c:\program files (x86)\qyerbvxrhie\rzkiwaxcux.exe','');
QuarantineFile('c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe','');
QuarantineFile('C:\Users\admin\AppData\Roaming\NsMiner\NsCpuCNMiner64.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\nsminer\img001.exe','');
QuarantineFile('c:\users\admin\desktop\autologger.exe','');
QuarantineFile('c:\programdata\{3247d8da-85ec-6f71-cc3a-bd797a4484f4}\21d36549-9678-d2e2-e12d-12249dafdad2.exe','');
DeleteFile('c:\programdata\{3247d8da-85ec-6f71-cc3a-bd797a4484f4}\21d36549-9678-d2e2-e12d-12249dafdad2.exe','32');
DeleteFile('c:\users\admin\desktop\autologger.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\nsminer\img001.exe','32');
DeleteFile('C:\Users\admin\AppData\Roaming\NsMiner\NsCpuCNMiner64.exe','32');
DeleteFile('c:\program files (x86)\qyerbvxrhie\rzkiwaxcux.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\simplenotepad3\simplenoteapp3.exe','32');
DeleteFile('c:\users\admin\appdata\local\temp\tftp.exe','32');
DeleteFile('C:\Users\admin\AppData\Roaming\vnlgp\vnlgp.exe','32');
DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\2tjgPS.dll','32');
DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\kaPcykzr.dll','32');
DeleteFile('C:\Users\admin\AppData\Local\Temp\nsf40B9.tmp\ExecDos.dll','32');
DeleteFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','32');
DeleteFile('C:\Windows\xhunter1.sys','32');
DeleteFile('C:\Users\admin\AppData\Roaming\SimpleNotepad3\SimpleNoteApp3.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SimpleNoteApp3');
DeleteFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YeaDesktop');
DeleteFile('C:\Windows\System32\browser.dll','32');
DeleteFile('C:\Windows\system32\bthserv.dll','32');
DeleteFile('C:\Windows\System32\certprop.dll','32');
DeleteFile('C:\Windows\System32\TabSvc.dll','32');
DeleteFile('C:\Windows\System32\tbssvc.dll','32');
DeleteFile('C:\Program Files (x86)\thzXuJvjU\8dE6W62.dll','32');
DeleteFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','32');
DeleteFile('C:\Windows\ehome\mcupdate','32');
DeleteFile('C:\Program Files (x86)\GXZiGyYLSHyU2\KdfWIDV.dll','32');
DeleteFile('C:\Users\admin\Desktop\Settings.exe','32');
DeleteFile('C:\PROGRA~3\e0e7152f\a09aa5ab.dll','32');
DeleteFile('C:\ProgramData\{3247D8DA-85EC-6F71-CC3A-BD797A4484F4}\21D36549-9678-D2E2-E12D-12249DAFDAD2.exe','32');
DeleteFile('C:\Users\admin\Downloads\BlueStacks2_native.exe','32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
P.S. Возможно я взял многие системные файлы в карантин по ошибке. Почему они отобразились в логе?
Носитель информации (флешка)заразился сразу вирусом.
Кому отправить карантин и файл вируса? (Его не видят базы Защитника Windows)
 

Вложения

  • CollectionLog-2018.01.17-11.39.zip
    88.3 KB · Просмотры: 4
Последнее редактирование:
Система не лягла и славно.
DeleteFile('c:\users\admin\desktop\autologger.exe','32');
ггг хорошая шутка, зачет.

Почему они отобразились в логе?
Если в avz, хеши файлов, не указаны в белых списках то они отразятся в логах. Пополнять тут
(Его не видят базы Защитника Windows)
Antimalware and cybersecurity portal - Windows Defender Security Intelligence - для MS тут базы пополнить можно
 
ггг хорошая шутка, зачет.
)) ну avz сам виноват что после обновления autologger он начал грешить на дату мол изменен. Вот я и подумал а может его вирус изменил, мало-ли в процессах много чего сидело.

для MS тут базы пополнить можно
Отправил, но я не знаю как avz меняет структуру файла, при карантине (всего-лишь меняет название?)
Submission details (179b30c3-c65c-4592-b9a3-876a513301c2) - Windows Defender Security Intelligence
(Знаю про существование AVZ DeQuarantine)
 
Последнее редактирование:
А вообще по логам майнеры, подмена днс, стартовой страницы, адварь и downloader, который качает новых друзей...
Если облегчение настало - то, вероятнее всего, не на долго.
Системные файлы зацепил, могут быть проблемы.
Юзер может откат сделать и тогда все опять вернется.
Лучше sfc конечно.
 
Последнее редактирование:
Системные файлы зацепил
Про эти?

Код:
DeleteFile('C:\Windows\System32\browser.dll','32');
DeleteFile('C:\Windows\system32\bthserv.dll','32');
DeleteFile('C:\Windows\System32\certprop.dll','32');
DeleteFile('C:\Windows\System32\TabSvc.dll','32');
DeleteFile('C:\Windows\System32\tbssvc.dll','32');

Большинство я просто скопировал в карантин...
Знаю напортачил немного
 
Trojan:Win32/CoinMiner!rfn
Worm:Win32/Coinficon.A

Пока что. Также отправил в Касперкий.
(Его не видят базы Защитника Windows)
P.S. При ручном сканировании ничего не распознало почему-то, базы современные были. Но защита в реальном времени обнаружила.

стартовой страницы
Пофиксил в HJT на тот момент.
адварь и downloader
? Какие именно файлы?
 
Последнее редактирование:
является ли "c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe" вредоносным файлом? Как понять? Путь вроде бы легетимен.
 
Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
!!!_AVZ_QFiles_!!!.txt
2tjgPS.dll
ExecDos.dll
oem-drv64.sys

В следующих файлах обнаружен вредоносный код:
21D36549-9678-D2E2-E12D-12249DAFDAD2.exe - Trojan-Downloader.Win32.Adload.pzwv
img001.exe - Trojan.NSIS.Agent.pf
tftp.exe - Worm.Win32.Remoh.d

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
8dE6W62.dll - not-a-virus:HEUR:AdWare.Win32.Generic
FASTDA~1.EXE - not-a-virus:HEUR:AdWare.Win32.FileTour.gen
kaPcykzr.dll - not-a-virus:HEUR:AdWare.Win32.Generic
KdfWIDV.dll - not-a-virus:HEUR:AdWare.Win32.Generic
online-guardian.exe - not-a-virus:AdWare.Win32.Agent.kdhd
rzkiwaxcux.exe - not-a-virus:HEUR:AdWare.Win32.Generic
SimpleNoteApp3.exe - not-a-virus:AdWare.Win32.Hpdefender.wpd

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
NsCpuCNMiner64.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.sx
vnlgp.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.dax

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ
 
Такой вопрос, при выполнении команд карантина системных файлов (я по ошибке) они не взялись в карантин в реальности. Почему? Из-за атрибута файла "системный"?
 
Ну так в логе же видно было
просто многие антивирусы вполне легитимные файлы записывают как мол трояны и т.п. например все кряки в windows defender идут как вирусы трояны.
к примеру Касперский пишет: online-guardian.exe - not-a-virus:AdWare.Win32.Agent.kdhd
Если так подходить то mail.сру тоже является вирусом. И Амиго тоже...
 
Последнее редактирование:
Такой вопрос, при выполнении команд карантина системных файлов (я по ошибке) они не взялись в карантин в реальности. Почему?
Наиболее вероятно, потому что прошли по базе чистых.
)) ну avz сам виноват что после обновления autologger он начал грешить на дату мол изменен. Вот я и подумал а может его вирус изменил, мало-ли в процессах много чего сидело.
Ты должен знать, что автологгер обновляется каждый день, вот и дата изменения красная.
Кроме того, если exe и правда изменился на той машине, то должны быть изменения и у многих других файлов.
Тогда, если это файловый вирус, то лечится он совсем по-другому.
Ну а если был подменён 1 файл ещё до попадания на машину, то его нужно сначала проверить, а уж потом принимать решение об удалении.
 
Последнее редактирование:
Назад
Сверху Снизу