Я хелпер. Вирус. (интересно)

Alien

Пользователь
Сообщения
368
Симпатии
54
Баллы
38
#1
Добрый день. Дали ноутбук на буквально на 5 минут мол тормозит.
Не было особенно времени на анализ файлов. Сделал что мог. Ноутбук не у меня и новые команды скрипта на дальнейшее лечение не нужны.
Вот скрипт который я запустил.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\admin\Downloads\BlueStacks2_native.exe','');
QuarantineFile('C:\ProgramData\{3247D8DA-85EC-6F71-CC3A-BD797A4484F4}\21D36549-9678-D2E2-E12D-12249DAFDAD2.exe','');
QuarantineFile('C:\PROGRA~3\e0e7152f\a09aa5ab.dll','');
QuarantineFile('C:\Users\admin\Desktop\Settings.exe','');
QuarantineFile('C:\Program Files (x86)\GXZiGyYLSHyU2\KdfWIDV.dll','');
QuarantineFile('C:\Windows\ehome\mcupdate','');
QuarantineFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','');
QuarantineFile('C:\Program Files (x86)\thzXuJvjU\8dE6W62.dll','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
QuarantineFile('C:\Windows\system32\wecsvc.dll','');
QuarantineFile('C:\Windows\System32\wbiosrvc.dll','');
QuarantineFile('C:\Windows\system32\w32time.dll','');
QuarantineFile('C:\Windows\System32\uxsms.dll','');
QuarantineFile('C:\Windows\System32\trkwks.dll','');
QuarantineFile('C:\Windows\System32\ssdpsrv.dll','');
QuarantineFile('C:\Windows\system32\sppuinotify.dll','');
QuarantineFile('C:\Windows\System32\ipnathlp.dll','');
QuarantineFile('C:\Windows\system32\sensrsvc.dll','');
QuarantineFile('C:\Windows\system32\seclogon.dll','');
QuarantineFile('C:\Windows\System32\SDRSVC.dll','');
QuarantineFile('C:\Windows\system32\schedsvc.dll','');
QuarantineFile('C:\Windows\System32\SCardSvr.dll','');
QuarantineFile('C:\Windows\System32\RpcEpMap.dll','');
QuarantineFile('C:\Windows\system32\regsvc.dll','');
QuarantineFile('C:\Windows\System32\rasmans.dll','');
QuarantineFile('C:\Windows\System32\rasauto.dll','');
QuarantineFile('C:\Windows\system32\profsvc.dll','');
QuarantineFile('C:\Windows\system32\umpo.dll','');
QuarantineFile('C:\Windows\System32\ipsecsvc.dll','');
QuarantineFile('C:\Windows\system32\pnrpauto.dll','');
QuarantineFile('C:\Windows\system32\umpnpmgr.dll','');
QuarantineFile('C:\Windows\System32\pcasvc.dll','');
QuarantineFile('C:\Windows\system32\p2psvc.dll','');
QuarantineFile('C:\Windows\system32\pnrpsvc.dll','');
QuarantineFile('C:\Windows\system32\nsisvc.dll','');
QuarantineFile('C:\Windows\System32\nlasvc.dll','');
QuarantineFile('C:\Windows\System32\netman.dll','');
QuarantineFile('C:\Windows\system32\qagentRT.dll','');
QuarantineFile('C:\Windows\system32\iscsiexe.dll','');
QuarantineFile('C:\Windows\system32\mpssvc.dll','');
QuarantineFile('C:\Windows\system32\mmcss.dll','');
QuarantineFile('C:\Windows\system32\Mcx2Svc.dll','');
QuarantineFile('C:\Windows\System32\lmhsvc.dll','');
QuarantineFile('C:\Windows\System32\lltdsvc.dll','');
QuarantineFile('C:\Windows\System32\wkssvc.dll','');
QuarantineFile('C:\Windows\system32\srvsvc.dll','');
QuarantineFile('C:\Windows\system32\msdtckrm.dll','');
QuarantineFile('C:\Windows\System32\iphlpsvc.dll','');
QuarantineFile('C:\Windows\system32\ipbusenum.dll','');
QuarantineFile('C:\Windows\System32\ikeext.dll','');
QuarantineFile('C:\Windows\system32\ListSvc.dll','');
QuarantineFile('C:\Windows\system32\kmsvc.dll','');
QuarantineFile('C:\Windows\System32\gpsvc.dll','');
QuarantineFile('C:\Windows\system32\FntCache.dll','');
QuarantineFile('C:\Windows\system32\fdrespub.dll','');
QuarantineFile('C:\Windows\system32\fdPHost.dll','');
QuarantineFile('C:\Windows\System32\eapsvc.dll','');
QuarantineFile('C:\Windows\system32\dps.dll','');
QuarantineFile('C:\Windows\System32\dot3svc.dll','');
QuarantineFile('C:\Windows\System32\dnsrslvr.dll','');
QuarantineFile('C:\Windows\System32\defragsvc.dll','');
QuarantineFile('C:\Windows\system32\sstpsvc.dll','');
QuarantineFile('C:\Windows\system32\sysmain.dll','');
QuarantineFile('C:\Windows\System32\swprv.dll','');
QuarantineFile('C:\Windows\System32\wiaservc.dll','');
QuarantineFile('C:\Windows\system32\themeservice.dll','');
QuarantineFile('C:\Windows\System32\termsrv.dll','');
QuarantineFile('C:\Windows\System32\tbssvc.dll','');
QuarantineFile('C:\Windows\System32\TabSvc.dll','');
QuarantineFile('C:\Windows\system32\rpcss.dll','');
QuarantineFile('C:\Windows\System32\certprop.dll','');
QuarantineFile('C:\Windows\system32\bthserv.dll','');
QuarantineFile('C:\Windows\System32\browser.dll','');
QuarantineFile('C:\Windows\System32\qmgr.dll','');
QuarantineFile('C:\Windows\System32\bfe.dll','');
QuarantineFile('C:\Windows\System32\bdesvc.dll','');
QuarantineFile('C:\Windows\System32\AxInstSV.dll','');
QuarantineFile('C:\Windows\System32\Audiosrv.dll','');
QuarantineFile('C:\Windows\System32\appinfo.dll','');
QuarantineFile('C:\Windows\System32\appidsvc.dll','');
QuarantineFile('C:\Windows\System32\aelupsvc.dll','');
QuarantineFile('C:\Windows\system32\sdclt.exe','');
QuarantineFile('C:\Windows\system32\psxss.exe','');
QuarantineFile('C:\Windows\System32\win32k.sys','');
QuarantineFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe','');
QuarantineFile('C:\Users\admin\AppData\Roaming\SimpleNotepad3\SimpleNoteApp3.exe','');
QuarantineFile('C:\Windows\xhunter1.sys','');
DeleteService('xhunter1');
StopService('xhunter1');
QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','');
DeleteService('oem-drv64');
StopService('oem-drv64');
QuarantineFile('C:\Users\admin\AppData\Local\Temp\nsf40B9.tmp\ExecDos.dll','');
QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\kaPcykzr.dll','');
QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\2tjgPS.dll','');
QuarantineFile('C:\Users\admin\AppData\Roaming\vnlgp\vnlgp.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\tftp.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\simplenotepad3\simplenoteapp3.exe','');
QuarantineFile('c:\program files (x86)\qyerbvxrhie\rzkiwaxcux.exe','');
QuarantineFile('c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe','');
QuarantineFile('C:\Users\admin\AppData\Roaming\NsMiner\NsCpuCNMiner64.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\nsminer\img001.exe','');
QuarantineFile('c:\users\admin\desktop\autologger.exe','');
QuarantineFile('c:\programdata\{3247d8da-85ec-6f71-cc3a-bd797a4484f4}\21d36549-9678-d2e2-e12d-12249dafdad2.exe','');
DeleteFile('c:\programdata\{3247d8da-85ec-6f71-cc3a-bd797a4484f4}\21d36549-9678-d2e2-e12d-12249dafdad2.exe','32');
DeleteFile('c:\users\admin\desktop\autologger.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\nsminer\img001.exe','32');
DeleteFile('C:\Users\admin\AppData\Roaming\NsMiner\NsCpuCNMiner64.exe','32');
DeleteFile('c:\program files (x86)\qyerbvxrhie\rzkiwaxcux.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\simplenotepad3\simplenoteapp3.exe','32');
DeleteFile('c:\users\admin\appdata\local\temp\tftp.exe','32');
DeleteFile('C:\Users\admin\AppData\Roaming\vnlgp\vnlgp.exe','32');
DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\2tjgPS.dll','32');
DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\kaPcykzr.dll','32');
DeleteFile('C:\Users\admin\AppData\Local\Temp\nsf40B9.tmp\ExecDos.dll','32');
DeleteFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','32');
DeleteFile('C:\Windows\xhunter1.sys','32');
DeleteFile('C:\Users\admin\AppData\Roaming\SimpleNotepad3\SimpleNoteApp3.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SimpleNoteApp3');
DeleteFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YeaDesktop');
DeleteFile('C:\Windows\System32\browser.dll','32');
DeleteFile('C:\Windows\system32\bthserv.dll','32');
DeleteFile('C:\Windows\System32\certprop.dll','32');
DeleteFile('C:\Windows\System32\TabSvc.dll','32');
DeleteFile('C:\Windows\System32\tbssvc.dll','32');
DeleteFile('C:\Program Files (x86)\thzXuJvjU\8dE6W62.dll','32');
DeleteFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','32');
DeleteFile('C:\Windows\ehome\mcupdate','32');
DeleteFile('C:\Program Files (x86)\GXZiGyYLSHyU2\KdfWIDV.dll','32');
DeleteFile('C:\Users\admin\Desktop\Settings.exe','32');
DeleteFile('C:\PROGRA~3\e0e7152f\a09aa5ab.dll','32');
DeleteFile('C:\ProgramData\{3247D8DA-85EC-6F71-CC3A-BD797A4484F4}\21D36549-9678-D2E2-E12D-12249DAFDAD2.exe','32');
DeleteFile('C:\Users\admin\Downloads\BlueStacks2_native.exe','32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
P.S. Возможно я взял многие системные файлы в карантин по ошибке. Почему они отобразились в логе?
Носитель информации (флешка)заразился сразу вирусом.
Кому отправить карантин и файл вируса? (Его не видят базы Защитника Windows)
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#2
Система не лягла и славно.
DeleteFile('c:\users\admin\desktop\autologger.exe','32');
ггг хорошая шутка, зачет.

Почему они отобразились в логе?
Если в avz, хеши файлов, не указаны в белых списках то они отразятся в логах. Пополнять тут
(Его не видят базы Защитника Windows)
Antimalware and cybersecurity portal - Windows Defender Security Intelligence - для MS тут базы пополнить можно
 

Alien

Пользователь
Сообщения
368
Симпатии
54
Баллы
38
#3
ггг хорошая шутка, зачет.
)) ну avz сам виноват что после обновления autologger он начал грешить на дату мол изменен. Вот я и подумал а может его вирус изменил, мало-ли в процессах много чего сидело.

для MS тут базы пополнить можно
Отправил, но я не знаю как avz меняет структуру файла, при карантине (всего-лишь меняет название?)
Submission details (179b30c3-c65c-4592-b9a3-876a513301c2) - Windows Defender Security Intelligence
(Знаю про существование AVZ DeQuarantine)
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,507
Симпатии
5,986
Баллы
843
#5
А вообще по логам майнеры, подмена днс, стартовой страницы, адварь и downloader, который качает новых друзей...
Если облегчение настало - то, вероятнее всего, не на долго.
Системные файлы зацепил, могут быть проблемы.
Юзер может откат сделать и тогда все опять вернется.
Лучше sfc конечно.
 
Последнее редактирование:

Alien

Пользователь
Сообщения
368
Симпатии
54
Баллы
38
#6
Про эти?

Код:
DeleteFile('C:\Windows\System32\browser.dll','32');
DeleteFile('C:\Windows\system32\bthserv.dll','32');
DeleteFile('C:\Windows\System32\certprop.dll','32');
DeleteFile('C:\Windows\System32\TabSvc.dll','32');
DeleteFile('C:\Windows\System32\tbssvc.dll','32');
Большинство я просто скопировал в карантин...
Знаю напортачил немного
 

Alien

Пользователь
Сообщения
368
Симпатии
54
Баллы
38
#8
Trojan:Win32/CoinMiner!rfn
Worm:Win32/Coinficon.A

Пока что. Также отправил в Касперкий.
(Его не видят базы Защитника Windows)
P.S. При ручном сканировании ничего не распознало почему-то, базы современные были. Но защита в реальном времени обнаружила.

Пофиксил в HJT на тот момент.
? Какие именно файлы?
 
Последнее редактирование:

Alien

Пользователь
Сообщения
368
Симпатии
54
Баллы
38
#10
является ли "c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe" вредоносным файлом? Как понять? Путь вроде бы легетимен.
 

Alien

Пользователь
Сообщения
368
Симпатии
54
Баллы
38
#11
Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
!!!_AVZ_QFiles_!!!.txt
2tjgPS.dll
ExecDos.dll
oem-drv64.sys

В следующих файлах обнаружен вредоносный код:
21D36549-9678-D2E2-E12D-12249DAFDAD2.exe - Trojan-Downloader.Win32.Adload.pzwv
img001.exe - Trojan.NSIS.Agent.pf
tftp.exe - Worm.Win32.Remoh.d

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
8dE6W62.dll - not-a-virus:HEUR:AdWare.Win32.Generic
FASTDA~1.EXE - not-a-virus:HEUR:AdWare.Win32.FileTour.gen
kaPcykzr.dll - not-a-virus:HEUR:AdWare.Win32.Generic
KdfWIDV.dll - not-a-virus:HEUR:AdWare.Win32.Generic
online-guardian.exe - not-a-virus:AdWare.Win32.Agent.kdhd
rzkiwaxcux.exe - not-a-virus:HEUR:AdWare.Win32.Generic
SimpleNoteApp3.exe - not-a-virus:AdWare.Win32.Hpdefender.wpd

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
NsCpuCNMiner64.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.sx
vnlgp.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.dax

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ
 

Alien

Пользователь
Сообщения
368
Симпатии
54
Баллы
38
#12
Такой вопрос, при выполнении команд карантина системных файлов (я по ошибке) они не взялись в карантин в реальности. Почему? Из-за атрибута файла "системный"?
 

Alien

Пользователь
Сообщения
368
Симпатии
54
Баллы
38
#15
Ну так в логе же видно было
просто многие антивирусы вполне легитимные файлы записывают как мол трояны и т.п. например все кряки в windows defender идут как вирусы трояны.
к примеру Касперский пишет: online-guardian.exe - not-a-virus:AdWare.Win32.Agent.kdhd
Если так подходить то mail.сру тоже является вирусом. И Амиго тоже...
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,850
Симпатии
5,709
Баллы
588
#16
Такой вопрос, при выполнении команд карантина системных файлов (я по ошибке) они не взялись в карантин в реальности. Почему?
Наиболее вероятно, потому что прошли по базе чистых.
)) ну avz сам виноват что после обновления autologger он начал грешить на дату мол изменен. Вот я и подумал а может его вирус изменил, мало-ли в процессах много чего сидело.
Ты должен знать, что автологгер обновляется каждый день, вот и дата изменения красная.
Кроме того, если exe и правда изменился на той машине, то должны быть изменения и у многих других файлов.
Тогда, если это файловый вирус, то лечится он совсем по-другому.
Ну а если был подменён 1 файл ещё до попадания на машину, то его нужно сначала проверить, а уж потом принимать решение об удалении.
 
Последнее редактирование:
Сверху Снизу