Майнер

[obley]

Майнер

Майнер периодически загружает видеокарту на 100%. Malware находит такие гадости, которые после удаления периодически восстанавливаются.

 

[safety]

да, майнер активный есть,
только переделайте образ еще раз актуальной версией uVS.
у вас устаревшая версия.
uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

4.0.9 можно скачать отсюда
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

в обновленной версии добавлено детектирование скриптов WMI,
которые наверняка есть в вашем случае.

+
установите патч для вашей системы, если еще не установлен.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

возможно пробивает систему по сети
(судя по скриншоту, это характерные файлики для сетевого червя, который использует эксплойт ETERNALBLUE).

 

[obley]

Патч поставил, лог 4,09 uvs прилагаю
http://www.tehnari.ru/attachment.php?attachmentid=365716&stc=1&d=1502722301

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemRoot%\DEBUG\ITEM.DAT
delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
delall %SystemRoot%\DEBUG\OK.DAT
delref S.DAT
delref S.RAR
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deltmp
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_22905\26.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\CHROME_BITS_3352_21606\26.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE64.DLL
delref %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\GARENA PLUS\BBTALK\PLUGINS\NPPLUGIN\NPGARENATALKPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\ALSYSIO64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\GARENA PLUS\ROOM\SAFEDRV.SYS
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\GKERNEL.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\THE SETTLERS 7 - PATHS TO A KINGDOM\DATA\BASE\_DBG\BIN\RELEASE\ORBIT\NPUPLAYPC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_73\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_77\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\403031~1.2\MCCOREPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\CMDLIN~1.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VID_0079&PID_0006\GAJOYFF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VID_0079&PID_0006\GAJOYPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\THE ELDER SCROLLS 5.SKYRIM.LEGENDARY EDITION.V 1.9.32.0.8 + 4 DLC\MOPY\WRYE BASH.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\AGE OF MYTHOLOGY - TITANS\AOMX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIVINITY ORIGINAL SIN ENHANCED EDITION\SHIPPING\EOCAPP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIVINITY ORIGINAL SIN ENHANCED EDITION\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\FILEVIEWPRO\FILEVIEWPRO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\FILEVIEWPRO\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\MAX PAYNE 2\MAXPAYNE2_CRACKED.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\MAX PAYNE 2\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SUNLESS SEA\SUNLESS SEA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WITCHER 3 MOD TOOLS\WCC_LITE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска для контроля.

 

[obley]

Сделано. Сработало или нет покажет время, но все равно спасибо за помощь!
http://www.tehnari.ru/attachment.php?attachmentid=365717&stc=1&d=1502725516

 

[safety]

файлик майнера остался в системе, но он уже неактивен, видимо какой-то из задач запускался.
+ еще сохранилась политика IPSec, которая была создана сетевым червем.

теперь зачистим его новым скриптом.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\LSMOS.EXE
addsgn 19E4D4F6426A4C720BD447384616ED52E6EC77BAACFA9998E3488199522E84CDCE15C3573EAC682FDC51E21AAEE32F0DAD268E519DBC39600873C2B7A1096BB0 8 Win32/BitCoinMiner 7

chklst
delvir

apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
REGT 26
REGT 25
deltmp
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

 

[obley]

Скрипт сделал malaware ничего не находит.

 

[safety]

хорошо, понаблюдайте за состоянием системы.
если патч ms-2017 установлен, атака на систему должна прекратиться.