Решена Словили tool.btcmine.2660

[Cyberclub]

Сорян за флуд. Но, сейчас вдруг резко перестал открываться диспетчер. Чекнул через KRD - скриншот. Эта фигня опять всплыла в единичном экземпляре. Сорри за качество.

 

[regist]

Значит опять нештой заразились.
Поэтому и писал, что всё надо проверить и остальные компы и флешки. Запустите хоть один заражённый .exe и начинай всё сначала.

 

[regist]

Не имею понятия, честно говоря. Рекомендуете удалить?

Если не знакомо, то советую удалить.

 

[Cyberclub]

ProxyService удалил
Что касается повторного заражения - все проверили, все подчистили. Утром все было чисто везде. Потом просто в работе перестал открываться диспетчер, я решил проверить заново и он нашелся еще раз. Откуда вылез - не понятно.

 

[Sandor]

Давайте проверим уязвимые места на этом ПК:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[regist]

Давайте проверим уязвимые места на этом ПК:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Только проверка на последнюю цифру версии программы никак не защитит от заражения файловым, а тем более когда нет антивируса.

Так что ставьте нормальный антивирус и не забывайте обновлять на нём базы. Если на других компах тоже нет антивируса, то и там тоже.

 

[Cyberclub]

Прикрепляю лог из SecurityCheck

 

[Sandor]

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Включите обязательно.

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Cyberclub]

Прикрепляю

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1961763400-3142082706-1753363668-1002\...\MountPoints2: {402a10e5-10a5-11ea-9f25-b42e99441bb5} - "F:\setup.exe"
  HKU\S-1-5-21-1961763400-3142082706-1753363668-1002\...\MountPoints2: {41bddc7c-ddcb-11ec-9fa3-b42e99441bb5} - "G:\Autorun.exe"
  HKU\S-1-5-21-1961763400-3142082706-1753363668-1002\...\MountPoints2: {df532ebf-1e1e-11ec-9f6f-b42e99441bb5} - "E:\HiSuiteDownLoader.exe"
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://toril-news3.online; hxxps://zarabotok-online.xyz
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m"
  CHR DefaultSearchKeyword: Guest Profile -> cdn
  CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m"
  CHR DefaultSearchKeyword: System Profile -> cdn
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
  OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
  C:\Users\club_admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
  S2 ProxyService; C:\WINDOWS\syswow64\config\systemprofile\AppData\Roaming\ProxyLite\ProxyService\ProxyService.exe [X]
  AlternateDataStreams: C:\ProgramData\system.conf:422D4106AB [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
  AlternateDataStreams: C:\Users\club_admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\club_admin\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394]
  AlternateDataStreams: C:\Users\club_admin\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\club_admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\club_admin\AppData\Roaming:bc6be3eabffaddc099151eee7bdd94ee [394]
  AlternateDataStreams: C:\Users\club_admin\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
  FirewallRules: [{0FBD98DC-1B97-40E2-85A5-5933A7F2A2B8}] => (Allow) LPort=5900
  FirewallRules: [{5147FFF1-56F2-4E62-A517-4A65C0675FCE}] => (Allow) LPort=44966
  FirewallRules: [{960B9FB9-5CAF-409A-AC32-001A2F9A72BF}] => (Allow) LPort=44967
  FirewallRules: [{BA925747-3DB7-403B-8068-B37B207A3679}] => (Allow) LPort=44967
  FirewallRules: [{57487D66-4FE9-4F7E-B896-6E6F0144A512}] => (Allow) LPort=80
  FirewallRules: [{8570663D-C839-4DD6-8BA2-3ECEEB9D11CA}] => (Allow) 㩃啜敳獲捜畬形摡業屮灁䑰瑡屡潒浡湩屧潴屣吲歪⹬硥e => Нет файла
  FirewallRules: [{80138E12-C2A9-425C-A6B8-F1180EA0170C}] => (Allow) 㩃啜敳獲捜畬形摡業屮灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
  FirewallRules: [{4558A89C-6C63-4E84-929A-68921F42F644}] => (Allow) 㩃啜敳獲捜畬形摡業屮灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
  FirewallRules: [{5F326C48-C1CB-4188-972F-3C8696753FA9}] => (Allow) 㩃啜敳獲捜畬形摡業屮灁䑰瑡屡潒浡湩屧潴屣兹硸攮數 => Нет файла
  FirewallRules: [{C962EB5B-F01C-409A-8061-8DEB1F3C9B13}] => (Allow) LPort=44966
  FirewallRules: [{CABF7946-6689-419B-9788-FCE8A3F53B02}] => (Allow) LPort=44967
  FirewallRules: [{56646DEE-FCA7-45B0-A69B-8862F101FB68}] => (Allow) LPort=44967
  FirewallRules: [{ABD40842-FABC-4289-BEBD-609BA8643361}] => (Allow) LPort=80
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Три пользователя системы обладают правами администратора. Оставьте одного.

Заражённые файлы были здесь:

D:\Установка пк с нуля\Установщики\у1\archive\dotNetFx40_Full_setup.exe
D:\SteamLibrary\steamapps\common\SpaceEngineers\Tools\VRageEditor\Plugins\ModelBuilder\MwmBuilder.exe

 

[Cyberclub]

Скрипт выполнил.

Три пользователя системы обладают правами администратора. Оставьте одного.

Два профиля ставятся от системы, предоставляющей нам услуги лаунчера для клуба. Необходимы для функционирования программы, как я полагаю.
Третий профиль наш - рабочий. К двум остальным даже доступа нет, они скрыты и тому подобное.

Заражённые файлы были здесь:

Удалил. Спасибо. Сейчас еще раз выполню проверку на вирусы.

 

[Cyberclub]

Забыл прикрепить файл, извините.

 

[Sandor]

Ещё один небольшой скрипт выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\club_admin\Downloads\outward.torrent
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

еще раз выполню проверку на вирусы.

Каков результат?

 

[Cyberclub]

Я в шоке, честно говоря, и ничего не понимаю.
Попросил другого админа в ночную смену проверить комп. 516 Neshta было найдено. Он их пролечил.
Я сейчас вышел работать в ночные смены, тоже буду проверять и пролечивать комп.

 

[Cyberclub]

Так. Проверил еще раз. Каспер показывает по нулям все.

 

[Sandor]

Вам нужно действовать последовательно:

• Все компьютеры в локальной сети отключите от этой сети
• Каждый из них пролечите с помощью KRD
• Установите на пролеченном антивирус (хоть и бесплатный) и только после этого подключайте к сети.

 

[regist]

Причём про это я писал ещё 10 сообщений назад , но вы так и не сделали.

 

[Cyberclub]

Просто не все с этим так просто. У нас, естественно, был антивирус. Когда мы переехали на эту систему - возникли какие-то конфликты при ее настройке, вызванные непосредственно антивирусом. Я деталей не знаю - когда это происходило, я был на выходных.
Как я понял, наш системный администратор решил все так и оставить - без антивируса, что бы конфликтов не возникало в системе. Надо этот момент с начальством обговорить будет.

 

[Cyberclub]

Вроде все в порядке. Второй день касперский молчит.
Спасибо вам, ребята.

 

[regist]

На всякий случай свежие логи соберите.