Решена Словили tool.btcmine.2660

[Cyberclub]

Доброго времени суток. Я являюсь одним из нескольких администраторов компьютерного клуба и, к сожалению, каким-то образом мы поймали майнер на комп.
История такова: я сегодня первый день вышел после выходных. Сдали-приняли смену. Все нормально функционирует. Замечаю, что сервер клуба (им является наш рабочий ПК) не перезагружался. Уточнил у второго админа - как давно? Ответом было "2-3 дня".
После перезагрузки начался ад. Миллиард (это я, конечно, преувеличил) самооткрывающихся окон с интерфейсом данного майнера. Браузер не открывается. DRWeb.CureIT открывается еле-еле только в безопасном режиме. Касперский VRT не открывался совсем.
Кое-как с телефона гугля способы решения проблемы - зашел на ваш форум. У кого-то из пользователей уже была подобная ситуация с этим же вирусо-майнером. Скачал из той темы AVBR. При запуске программы было все то же самое, что и у того пользователя - скрытый профиль "John" на компе, который AVBR предложил удалить и все такое прочее.
После перезагрузки системы следов работы майнера не вижу - окон нет, браузер работает исправно, Касперский запустился (Сейчас им проверку провожу как раз, на всякий случай).
Хотелось бы у вас проконсультироваться по вопросам остаточных каких-то файлов, есть они или нет, как эта фигня попала на комп (Надо найти виновника) и какие дальнейшие действия стоит провести, что бы не столкнуться с этой заразой. Прикрепляю лог.
А, да. Какова вероятность распространения данной заразы на другие компы? Она может летать по локальной сети?

 

[Sandor]

Здравствуйте!

Запустите ещё раз AVbr, только уже из нормального режима. Новый лог прикрепите.

Хотелось бы у вас проконсультироваться по вопросам остаточных каких-то файлов, есть они или нет

Для этого выполните Правила оформления запроса о помощи

 

[Cyberclub]

Так. Возникла новая проблема. Я попытался собрать лог, комп перезапустился во время проверки и теперь чуть-ли не каждое приложение от автологгера до AVBR пишет "Неподдерживаемое 16-е приложение! Не удалось запустить программу или компонент "тут путь\TASKHO~1.exe" из-за несовместимости с 64-разрядной версией Windows."

 

[Cyberclub]

Так. Смог запустить автологгер. Вот архив. AVBR все еще не запускается

 

[Sandor]

Пролечите систему с помощью KRD - скачивать и создавать диск или флешку на другом, здоровом компьютере.
После этого пробуйте запустить AVbr, затем новый CollectionLog Автологером.

 

[Cyberclub]

Я может немного глупый, но записал на флешку KRD, как сказано в инструкции и не могу понять, как его с флешки запустить.

 

[Cyberclub]

Так. Разобрался. 6 файлов сверху нашло еще.
AVbr все еще не запускается с той же самой ошибкой.

 

[regist]

Какова вероятность распространения данной заразы на другие компы? Она может летать по локальной сети?

Этот майнер нет, но кроме него у вас там файловый вирус который скорее всего заразил у вас там всё. Пролечить с Live CD/USB надо бы все компы.

как эта фигня попала на комп (Надо найти виновника)

Видно кто-то из ваших админов решил поставить игрушку скачав её откуда-то с торрента. С игрушкой поставил и заразу. Смотрите по дате, что в этой день ставили и найдёте ))).

Так. Разобрался. 6 файлов сверху нашло еще.

Маловато для файлового, должны быть десятки, сотни...
Ещё раз пролечите, на всякий случай заодно когда загрузитесь с этого файла подключите флешки и их тоже проверьте, а то можете ими заразу разносить (если будете с них заражённые файлы запускать).

Потом свежий лог Автологера прикрепите.

 

[regist]

+ До того как собирать свежие логи
Профиксите в HijackThis

O17 - HKLM\System\CCS\Services\Tcpip\..\{383f5df1-d64c-465a-88bf-288acbcb5e33}: [NameServer] = 163.172.35.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{383f5df1-d64c-465a-88bf-288acbcb5e33}: [NameServer] = 178.175.133.61
O22 - BITS Job: (download) {7DC98113-A090-4F22-A9CA-A8F04BD78E3C} - http://edgedl.me.gvt1.com/edgedl/release2/chrome_component/ac5q25btpqhkjhcekqoslcldvuya_1.3.36.141/ihnlcenocehgdaegdmhbidjhnhdchfmm_1.3.36.141_win_ehzjmd5kjmert7jdgsrj4xqxj4.crx3 -> C:\Users\JOHN~1.CYB\AppData\Local\Temp\chrome_BITS_6064_144065741\ihnlcenocehgdaegdmhbidjhnhdchfmm_1.3.36.141_win_ehzjmd5kjmert7jdgsrj4xqxj4.crx3
O22 - Task (.job): (disabled) (Not scheduled) {5E9C47D5-C2A3-4B5B-9646-23F9F5362F1A}.job - D:\HereAndNow\Новая папка\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.95.809059.exe (file missing)
O22 - Task (.job): (Not scheduled) MlKYMTzMgmsoYDyzw.job - C:\WINDOWS\Temp\XVsORWItWjHUrlDP\UuoENBhTzvFvSwx\aVTocFf.exe (file missing)
O22 - Tasks: (damaged) HnLHf3 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --restore-last-session (user missing)
O22 - Tasks: (damaged) HnLHf4 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --restore-last-session (user missing)
O22 - Tasks: (damaged) HnLHf5 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --restore-last-session (user missing)
O22 - Tasks: (damaged) HnLHf6 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --restore-last-session (user missing)
O22 - Tasks: (damaged) OneDrive Standalone Update Task-S-1-5-21-1961763400-3142082706-1753363668-1005 - C:\Users\club_admin\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing) (user missing)
O22 - Tasks: \ASUS\ASUS ROG Armoury - C:\Program Files (x86)\ASUS\ROG Armoury\ROG Armoury.exe -s (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: {5E9C47D5-C2A3-4B5B-9646-23F9F5362F1A} - D:\HereAndNow\Новая папка\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.95.809059.exe /i "C:\Users\CLUB_A~1\AppData\Local\Temp\AIECA65.tmp" AI_SETUPEXEPATH="D:\HereAndNow\Новая папка\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.95.809059.exe" SETUPEXEDIR="D:\HereAndNow\Новая папка\MTGA\MTGALauncher\Updates\" ADDLOCAL=MainFeature,MicrosoftVisualC ALLUSERS="1" PRIMARYFOLDER="APPDIR" ROOTDRIVE="D:\" TRANSFORMS=":1049" AI_PREREQFILES="C:\Users\club_admin\AppData\Roaming\Wizards of the Coast\MTGA Launcher\prerequisites\Visual C++ Redistributable for Visual Studio 2015-2019\VC_redist.x64_14_29_30135.exe" AI_PREREQDIRS="C:\Users\club_admin\AppData\Roaming\Wizards of the Coast\MTGA Launcher\prerequisites" AI_MISSING_PREREQS="Visual C++ Redistributable for Visual Studio 2017 x64" AI_SETUPEXEPATH="D:\HereAndNow\Новая папка\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.95.809059.exe" SETUPEXEDIR="D:\HereAndNow\Новая папка\MTGA\MTGALauncher\Updates\" AI_INSTALL="1" BIPROCESSTIME="2021-11-13T10:48:23.7777079Z" URL2="company.wizards.com/ru/legal/arenas-privacy-policy" POLICY="Политика Конфиденциальности" TARGETLOCKED="TRUE" TERMS="Условия и положения" URL1="company.wizards.com/ru/legal/terms" AI_BOOTSTRAPPERLANG="1049" TARGETDIR="D:\" APPDIR="D:\HereAndNow\Новая папка\MTGA\" AI_SETUPEXEPATH_ORIGINAL="D:\HereAndNow\Новая папка\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.95.809059.exe" (file missing)
O22 - Tasks: MlKYMTzMgmsoYDyzw - C:\WINDOWS\Temp\XVsORWItWjHUrlDP\UuoENBhTzvFvSwx\aVTocFf.exe xB /site_id 690689 /S (file missing)
O22 - Tasks: NahimicAPISvc32Run - C:\Program Files\NahimicAPI\x86\NahimicAPISvc32.exe $(Arg0) $(Arg1) $(Arg2) $(Arg3) $(Arg4) $(Arg5) $(Arg6) $(Arg7) (file missing)
O22 - Tasks: NahimicAPISvc64Run - C:\Program Files\NahimicAPI\NahimicAPISvc64.exe $(Arg0) $(Arg1) $(Arg2) $(Arg3) $(Arg4) $(Arg5) $(Arg6) $(Arg7) (file missing)
O22 - Tasks: OneDrive Reporting Task-S-1-5-21-1961763400-3142082706-1753363668-1005 - C:\Users\club_admin\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (file missing)
O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-1961763400-3142082706-1753363668-1001 - C:\Users\club_admin\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-1961763400-3142082706-1753363668-1005 - C:\Users\club_admin\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks: Opera scheduled assistant Autoupdate 1582729507 - D:\Games\Battle.net\HereAndNow\opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="D:\Games\Battle.net\HereAndNow\opera\assistant" $(Arg0) (file missing)
O22 - Tasks: Opera scheduled Autoupdate 1580640310 - D:\Games\Battle.net\HereAndNow\opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner - C:\WINDOWS\system32\mitigationscanner.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Warning (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)
O22 - Tasks_Migrated: {5E9C47D5-C2A3-4B5B-9646-23F9F5362F1A} - C:\Program Files (x86)\CBloader\Аскет\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.94.exe /i "C:\Users\CLUB_A~1\AppData\Local\Temp\AIE1387.tmp" AI_SETUPEXEPATH="C:\Program Files (x86)\CBloader\Аскет\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.94.exe" SETUPEXEDIR="C:\Program Files (x86)\CBloader\Аскет\MTGA\MTGALauncher\Updates\" ADDLOCAL=MainFeature,MicrosoftVisualC ALLUSERS="1" PRIMARYFOLDER="APPDIR" ROOTDRIVE="D:\" TRANSFORMS=":1049" AI_PREREQFILES="C:\Users\club_admin\AppData\Roaming\Wizards of the Coast\MTGA Launcher\prerequisites\Visual C++ Redistributable for Visual Studio 2015-2019\VC_redist.x64.exe" AI_PREREQDIRS="C:\Users\club_admin\AppData\Roaming" AI_MISSING_PREREQS="Visual C++ Redistributable for Visual Studio 2017 x64" AI_SETUPEXEPATH="C:\Program Files (x86)\CBloader\Аскет\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.94.exe" SETUPEXEDIR="C:\Program Files (x86)\CBloader\Аскет\MTGA\MTGALauncher\Updates\" AI_INSTALL="1" BIPROCESSTIME="2020-12-11T21:07:01.6225418Z" URL2="company.wizards.com/ru/legal/arenas-privacy-policy" POLICY="Политика Конфиденциальности" TARGETLOCKED="TRUE" TERMS="Условия и положения" URL1="company.wizards.com/ru/legal/terms" AI_BOOTSTRAPPERLANG="1049" TARGETDIR="D:\" APPDIR="C:\Program Files (x86)\CBloader\Аскет\MTGA\" AI_SETUPEXEPATH_ORIGINAL="C:\Program Files (x86)\CBloader\Аскет\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.94.exe" (file missing)
O22 - Tasks_Migrated: Adobe Acrobat Update Task - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (file missing)
O22 - Tasks_Migrated: klcp_update - C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe /verysilent /update /freq=30 (file missing)
O22 - Tasks_Migrated: OneDrive Standalone Update Task-S-1-5-21-1961763400-3142082706-1753363668-1001 - C:\Users\club_admin\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks_Migrated: OneDrive Standalone Update Task-S-1-5-21-1961763400-3142082706-1753363668-1002 - C:\Users\club_admin\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks_Migrated: Opera scheduled assistant Autoupdate 1582729507 - D:\Games\Battle.net\HereAndNow\opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="D:\Games\Battle.net\HereAndNow\opera\assistant" $(Arg0) (file missing)
O22 - Tasks_Migrated: Opera scheduled Autoupdate 1580640310 - D:\Games\Battle.net\HereAndNow\opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Tasks_Migrated: StartDVR - C:\Program Files\AMD\CNext\CNext\dvrcmd.exe (file missing)
O23 - Service S3: Active Anticheat Error Port v1.0 - (AAErrorPort) - C:\Users\club_admin\AppData\Local\Temp\ActiveAnticheat\aaerrport.exe (file missing)
O23 - Service S3: Rockstar Game Library Service - (Rockstar Service) - C:\Users\club_admin\RockstarService.exe (file missing)

Если надо потом в настройках сети пропишите DNS вашего провайдера.

+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

[Cyberclub]

Этот майнер нет, но кроме него у вас там файловый вирус который скорее всего заразил у вас там всё. Пролечить с Live CD/USB надо бы все компы.

Сейчас на всех компах запущен KVRT. 4 компа полностью просканировано, на них не было найдено вирусов. Другие пока в процессе, но там уже последние этапы и тоже по нулям. Пока нет технической возможности пролечить все компы через LiveCD, только ночью.

Видно кто-то из ваших админов решил поставить игрушку скачав её откуда-то с торрента. С игрушкой поставил и заразу. Смотрите по дате, что в этой день ставили и найдёте ))).

Да вот это и сделал первым делом. Интересность заключается в том, что за последние 3 дня на комп нового ничего не ставилось. А последним установленным явлением был POE от одного из админов, ибо качал он через торрент.

Маловато для файлового, должны быть десятки, сотни...
Ещё раз пролечите, на всякий случай заодно когда загрузитесь с этого файла подключите флешки и их тоже проверьте, а то можете ими заразу разносить (если будете с них заражённые файлы запускать).

Потом свежий лог Автологера прикрепите.

Я запускал на компе в один момент KVRT, вот он нашел доцензурая вирусов, да. К сожалению просто еще не представляется технически возможным надолго запускать проверку на компе, так как он серверный и без него клуб просто не функционирует, а закрыться полностью на технические работы мы не можем( По этому это получится сделать только ночью.

Прикреплю свежий архив с логом автологера, который снял после загрузки и пролечивания через KRD.

 

[regist]

Из моего последнего сообщения похоже ещё не успели выполнить.
И файловый до сих пор активен. Так что в первую очередь надо лечить с Live CD/USB просканировав всё, а потом всё остальное. Без этого всё бесполезно и наоборот можно усугубить.

+

O15 - HKU\S-1-5-21-1961763400-3142082706-1753363668-1004\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone (User: 'GizmoService')
O15 - HKU\S-1-5-21-1961763400-3142082706-1753363668-1004\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone (User: 'GizmoService')
O15 - HKU\S-1-5-21-1961763400-3142082706-1753363668-1004\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone (User: 'GizmoService')
O15 - HKU\S-1-5-21-1961763400-3142082706-1753363668-1004\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone (User: 'GizmoService')
O15 - HKU\S-1-5-21-1961763400-3142082706-1753363668-1004\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone (User: 'GizmoService')
O15 - HKU\S-1-5-21-1961763400-3142082706-1753363668-1004\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone (User: 'GizmoService')
O15 - HKU\S-1-5-21-1961763400-3142082706-1753363668-1004\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone (User: 'GizmoService')

я так понимаю сами настраивали?

 

[Cyberclub]

Из моего последнего сообщения похоже ещё не успели выполнить.

Да, сообщение появилось только после того, как отправил свое) Уже в процессе этого.

И файловый до сих пор активен. Так что в первую очередь надо лечить с Live CD/USB просканировав всё, а потом всё остальное.

Блин. Передам эту инфу ночному админу. Сейчас это реально невозможно сделать уже.

я так понимаю сами настраивали?

Я про это ничего совершенно не могу сказать. Этим занимался технический специалист от фирмы, предоставляющей систему. Насколько я знаю. Возможен еще вариант, что это делал админ под их руководством. Этот админ, к сожалению, сейчас в другом городе и с ним никак не связаться.

 

[Cyberclub]

Прикрепляю лог ClearLNK

 

[Sandor]

Передам эту инфу ночному админу. Сейчас это реально невозможно сделать уже.

Хорошо, ждём результатов.

 

[Cyberclub]

Я вернулся.
И так. Админ запустился ночью с LiveUSB, прогнал систему. С его слов "Там нашло пять-шесть штук чего-то, я нажал пролечить в касперском и все".
Решил я после этого вновь запуститься с флешки через KRD.
1) На первой проверке нашлось 13 вирусов. Или около того.
2) На глубокой проверке после первой - 10 нашло, 9 вылечено. НО. Когда я зашел в подробный отчет, то обнаружил следующее (извините за фото с телефона). Как я понимаю - KRD пытался пролечить это все и закинуть в карантин, но у него ничего не вышло и файлы все еще заражены. Верно?

 

[Sandor]

Нужно выставить режим "Лечить и, если лечение невозможно, удалять", т.к. файл svchost.com, например, лечить не нужно. Это и есть вирус, который нужно удалить.

 

[Cyberclub]

Нужно выставить режим "Лечить и, если лечение невозможно, удалять", т.к. файл svchost.com, например, лечить не нужно. Это и есть вирус, который нужно удалить.

Понял. Попробуем.
Позже вернусь с результатами.

 

[Cyberclub]

Так.
Сделал, как было сказано. То, что вылечить не удалось - было удалено.
После этого сверху прошелся еще раз с рабочего стола через KVRT. Нашло 1 файл, какой-то архив, с пометкой, что файл скачан из неизвестного источника и может быть использован мошенниками в социальной инженерии или какая-то такая тема. Естественно его под удаление. Прикладываю скриншот последней проверки и свежие логи автологгера.

 

[regist]

Служба монетизации интернет-трафика ProxyLite.

c:\windows\syswow64\config\systemprofile\appdata\roaming\proxylite\proxyservice\proxyservice.exe

Ваше?

Что с проблемой?

 

[Cyberclub]

Ваше?

Не имею понятия, честно говоря. Рекомендуете удалить?

Про проблему - все работает исправно, сегодня еще раз проверили - вирусов нет.