Троян(Снова и снова)
 

Ссылка на мою предыдущую тему - http://forum.oszone.net/thread-326274.html
Ссылка на соседнюю тему от человека с моей текущей проблемой - http://forum.oszone.net/thread-326215.html

Ничего не понимаю, в прошлый раз вроде бы все почистили ничего не осталось, закрыли все уязвимости и с тех пор я ничего особо на компьютере и не делал. Весь следующий день только читал ваш форум, нигде не лазал, ни во что не играл, ничего не качал, не устанавливал. А весь день после этого провел за чисткой компьютера от пыли. Откуда тогда могли взяться новые проблемы, ума не приложу. Или они были с самого начала, но в каком то спящем режиме, до решения предыдущей проблемы?
После чистки компьютера заметил, что он как то медленно работает и шумит. Заглянул диспетчер задач и увидел резкие скачки загрузки ЦП до открытия диспетчера, успел одним глазом увидеть, что это было тот же самый процесс как у человека из темы, которую я указал. Проверил CureIT и действительно он находит TrojanDownloader. Сделал очередной автолог, с закрытым диспетчером это заняло раз в 10 больше времени чем обычно, увидел что он тоже жалуется на этот csrss.exe. Создал данную тему, чтобы не захламлять старую, ведь по сути та проблема решена, а это другая.
Как всегда надеюсь на вашу скорую помощь, заранее благодарен!

Здравствуйте!

Это странно, я еще раз пересмотрел предыдущие логи, там все в порядке. Вы исключаете, что кто-то в Ваше отсутствие мог что-нибудь скачать?
Вредонос на этот раз - другой.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Сделано.
Да, я исключаю возможность каких-либо действий в мое отсутствие, т.к. я единственный пользователь данного ПК.
Единственное чем я пользовался после предыдущего лечения - это официальные программы, для того чтобы пообщаться с друзьями. А именно: Skype, Discord, Steam и Battle.net.
Как я понял данный вредонос из той же породы биткоин майнеров, что и предыдущий? Не мог ли этот загрузчик троянов тихо прятаться где-то, пока мы не вылечили предыдущий, а потом активироваться?

Да.
Мало вероятно.

Посмотрим еще логи FRST:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Сделано.
А можно ли как-нибудь вычислить/отследить, откуда появились данные вредоносы? Чтобы понять, какие мои действия привели к их появлению, во избежания повторного заражения.

Не хватает файла FRST.txt

Хм, его размер превышает лимит данного форума. Закинул его в архив, ну или предложите свой вариант.

Сделайте еще полную проверку MBAM. (Сканирует долго).

Сделано.
25 секунд, не так уж долго. :)
Сижу с открытым окном этих трех угроз, стоит их поместить в карантин или нажать отмена?

Удалите все найденное.

Еще раз сделайте лог SecurityCheck.

Установите какой-нибудь антивирус, хоть и бесплатный.

Сделано.
Поместил файлы в карантин, перезагрузился, сделал еще раз SecuirityCheck и на всякий случай новый Autolog.
Стоит ли удалять MBAM, а то он теперь болтается в трее?

---------------------------- [ UnwantedApps ] -----------------------------
Pando Media Booster v.2.6.0.7 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Этой программой пользуетесь?

Да, удалите.

Вроде бы нет, насколько мне известно она устанавливается со многими ММО играми. Вероятно Mail.ru клиент для игр(GameNet), в свое время мне ее установил, на пару с Thorn.exe. Я им уже давно не пользуюсь, все никак руки не доходили удалить.
Сомневаюсь, что какой либо из: Steam, Battle.net, Uplay мог установить этот Пандо бустер, к ним как-то побольше доверия чем к мейл.ру.

Установил Аваст. Прошло два дня. Периодический посматриваю на загрузку ЦП/ГП и лишние процессы, пока вроде бы все тихо и спокойно. Из подозрительного - только медленная работа HDD, но наверное не удивительно, что после всех этих сканирований, установок и удалений он начал немного тупить.
Надеюсь проблема решена, и не побеспокоит меня в будущем. :)
Еще раз, огромное спасибо! И Удачи! :)

Рано радовался. :(
Сделал сканирование при загрузке, с помощью Аваста, и вот что было написано в лог файле aswBoot:
04/30/2017 03:36
Skanirovat' C:

Skanirovat' *STARTUP

Faiyl C:\SysData\install.exe|>control.exe inficirovan virusom Win32:Malware-gen, Pomeshennie v hranilishe
Kolichestvo naiydenyh papok: 36529
Kolichestvo proverenyh faiylov: 408798
Kolichestvo zarazhennyh faiylov: 1

Похоже эта ерунда будет появляться каждый раз после пары ребутов. Я уже настолько изолированно использую интернет, насколько это только возможно, а он снова и снова появляется... Прямо хоть форматируй все диски.
Еще заметил, что в этой самой папке SysData, с самого начала лечения лежит файл kill.exe, может быть все проблемы из-за него?

Сделайте так:
Временно отключите Аваст, предварительно восстановите этот файл из его карантина.
Затем отправьте его на www.virustotal.com
Результат последней проверки в виде ссылки покажите.

Было написано, что файл уже проверялся 5 дней назад. Сделал повторную проверку, вот результат:

https://www.virustotal.com/ru/file/0...is/1493568614/

Действительно майнер.

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

5. Подробнее читайте в руководстве Как подготовить лог UVS.

Проверил заодно этот странный kill.exe, вот результат:

https://www.virustotal.com/ru/file/2...is/1493574680/

У меня есть подозрения, что этот kill.exe и есть причина повторных появлений майнеров, т.к. все кроме него мы оба раза вычистили, а он там был с самого начала. Дата его изменения 2 месяца назад, видимо тогда я и подцепил эту заразу.

Сделал uVS.
Во время сканирования uVS'ом, Avast заблокировал какую-то угрозу. Ничего страшного, или стоило его отключить, перед сканированием?

В логе этих файлов сейчас не видно.
Как Вы уже поняли, тема не закрывается, поэтому последите.

Ну install.exe не видно, т.к. я его вернул в карантин после проверки на VirusTotal и больше не перезагружался. А что на счет kill.exe? Он все еще в этой папке, я его не трогал и вероятно он и плодит эти майнеры, или нет? Судя по VirusTotal его мало что обнаруживает.

Удалите его и понаблюдайте.

Начали беспокоить потери пакетов, не знаю связано ли это с этими зловредами и их лечением, но судя по WinMTR, потери начинаются прямо от моего ПК.

Еще в уведомлениях Avast'а, уже дважды заблокирована одна и та же угроза, а именно:

Объект - http//g-s.site/d/d.dat[EmbeddedMSEncoded]
Заражение - VBS:Downloader-ABT [Trj]
Процесс - C:\Windows\System32\wbem\scrcons.exe

Оба раза были заблокированы в одно и то же вермя, 11:03 вечера, 30 апреля и 1 мая. Выглядит довольно странно, похоже где-то в автозагрузке или задачах осталось что-то лишнее, но я ничего не могу найти.
А также CCleaner говорит об устаревшей ссылке MUI в реестре, ссылающейся на этот kill.exe. Путь выглядит вот так: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Сделано.
Только что приходил сотрудник от моего провайдера, все проверил. Сказал, что проблема где то у вас на компьютере(про потери пакетов), предложил обновить драйвера или переустановить систему. Показал, что у него на ноуте через мой кабель все идеально, ни одной потери. :(

Немного пугает вот эта строчка в логах:
Код события: 8021
Сообщение: Служба браузера не смогла загрузить список серверов с основного браузера \\ИГОРЬ-ПК сети \Device\NetBT_Tcpip_{92C51468-B5C9-40CB-996A-BA753B8D9948}.

Основной браузер: \\ИГОРЬ-ПК
Сеть: \Device\NetBT_Tcpip_{92C51468-B5C9-40CB-996A-BA753B8D9948}

Это событие может быть вызвано временной потерей сетевого подключения. При повторном получении этого сообщения проверьте, что сервер по-прежнему подключен к сети. Код возврата находится в поле "Данные".
Номер записи: 55029

Что еще за ИГОРЬ-ПК?)

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Компьютер перезагрузится.
Какой-то сетевой компьютер.

Соберите еще раз CollectionLog.

Выполнил скрипт, компьютер не перезагрузился, пришлось вручную. Логи сделал.

Хорошо, понаблюдайте дальше.