Перейти к содержимому


Фотография
- - - - -

Torjan Rootkit. Заражен Winmon.sys.

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 13

#1 OFF   watching_the_waste

watching_the_waste

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 12 Июнь 2019 - 01:16

При скачивании программы подловил больше 60 угроз, большую часть смог обезвредить и удалить через AdAware и DrWeb CureIT, но Winmon не лечится. Прикрепленный файл  CollectionLog-2019.06.12-00.57.zip   104,85К   скачиваний 1


Сообщение отредактировал watching_the_waste: 12 Июнь 2019 - 01:18

  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Июнь 2019 - 06:19

Логи сделаны устаревшей версией Autologger. Скачайте нужную версию по ссылке в правилах и предоставьте новые логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   watching_the_waste

watching_the_waste

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 12 Июнь 2019 - 17:55

Прикрепленный файл  CollectionLog-2019.06.12-17.54.zip   86,92К   скачиваний 1


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Июнь 2019 - 18:12

Здравствуйте.

Выполните скрипт в AVZ из папки Autologger
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\QWszBGwJaeOCwsfDwHR\NDwFGVx.dll','');
 DelBHO('{C31FFFC8-E607-4B43-ABE6-B98F6F84AD0F}');
 QuarantineFile('C:\Program Files (x86)\cqyivUztEIE\kOI2QLWvo.dll','');
 QuarantineFile('C:\Program Files (x86)\cqyivUztEIE\tIzjVys.dll','');
 QuarantineFile('C:\Program Files\FGYGZCWAJM\FGYGZCWAJ.exe','');
 QuarantineFile('C:\Users\tlgf\AppData\Roaming\gerpril\python\pythonw.exe','');
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 SetServiceStart('WinmonFS', 4);
 DeleteService('WinmonFS');
 SetServiceStart('Winmon', 4);
 DeleteService('Winmon');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 DeleteService('Tolnix');
 QuarantineFile('C:\ProgramData\Tolnix\Tolnix.exe','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\users\tlgf\appdata\local\app\svchost.exe');
 QuarantineFile('c:\users\tlgf\appdata\local\app\svchost.exe','');
 TerminateProcessByName('c:\users\tlgf\appdata\local\temp\csrss\cloudnet.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 QuarantineFile('c:\users\tlgf\appdata\local\temp\csrss\cloudnet.exe','');
 DeleteFile('c:\users\tlgf\appdata\local\temp\csrss\cloudnet.exe','32');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\users\tlgf\appdata\local\app\svchost.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\ProgramData\Tolnix\Tolnix.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PfbMY7ISuV.exe','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','App','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gerpril','x32');
 DeleteFile('C:\Users\tlgf\AppData\Roaming\gerpril\python\pythonw.exe','32');
 DeleteFile('C:\Program Files\FGYGZCWAJM\FGYGZCWAJ.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WATGB5IKPHEK621','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LongSun','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
 DeleteFile('C:\ProgramData\Tolnix\Tamp-Eco.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PfbMY7ISuV.exe','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','App','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gerpril','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WATGB5IKPHEK621','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LongSun','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64');
 DeleteFile('C:\ProgramData\Tolnix\Greentom.dll','64');
 DeleteFile('C:\Program Files (x86)\cqyivUztEIE\tIzjVys.dll','64');
 DeleteFile('C:\Program Files (x86)\cqyivUztEIE\kOI2QLWvo.dll','32');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('gerpril');
 DeleteSchedulerTask('gerpril2');
 DeleteSchedulerTask('iGCYEUMXJwKesSj2');
 DeleteSchedulerTask('LIUFzeWTazYslRQqD2');
 DeleteFile('C:\Program Files (x86)\QWszBGwJaeOCwsfDwHR\NDwFGVx.dll','64');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteSchedulerTask('sSQkKOKYWDiwSfhyvlN2');
 DeleteSchedulerTask('vCITHywpmVbAM2');
 DeleteSchedulerTask('wVzoSdTGfzmTXt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   watching_the_waste

watching_the_waste

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 12 Июнь 2019 - 18:47

Файл сохранён как  190612_154112_quarantine_5d011d18b7c21.zip
Размер файла  6381523
MD5  4939ac159ae0ddfc31f31beedb46e48c

 

Прикрепленный файл  CollectionLog-2019.06.12-18.41.zip   80,16К   скачиваний 1


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Июнь 2019 - 19:10

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, SigCheckExt и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   watching_the_waste

watching_the_waste

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 12 Июнь 2019 - 19:38

Прикрепленный файл  Desktop.zip   48,61К   скачиваний 1


  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Июнь 2019 - 21:08

1. Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
AppInit_DLLs: C:\ProgramData\Tolnix\Greentom.dll => No File
AppInit_DLLs-x32: C:\ProgramData\Tolnix\Tamp-Eco.dll => No File
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
C:\Users\tlgf\AppData\Local\Google\Chrome\User Data\Default\Extensions\cphpchblffbaigdopkfjjfmindinclpe
C:\Users\tlgf\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpkbpmniionhpjhgicbmknjngmldlijg
OPR Extension: (Adblocker for Youtube™) - C:\Users\tlgf\AppData\Roaming\Opera Software\Opera Stable\Extensions\odhlaaikkffekejidbfpjmhkclpoaffn [2019-06-11]
2019-06-12 03:02 - 2019-06-12 04:08 - 000000000 ____D C:\Program Files\Z8E6WOBKXL
2019-06-12 03:02 - 2019-06-12 03:20 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\lqdqep5ldzv
2019-06-12 02:24 - 2019-06-12 02:24 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\EpicNet Inc
2019-06-11 21:34 - 2019-06-11 21:40 - 000000000 ____D C:\Users\tlgf\AppData\Local\cache
2019-06-11 21:29 - 2019-06-11 22:24 - 000000544 _____ C:\Users\Все пользователи\appdata.dat
2019-06-11 21:29 - 2019-06-11 22:24 - 000000544 _____ C:\ProgramData\appdata.dat
2019-06-11 21:25 - 2019-06-11 21:25 - 000000000 ____D C:\Users\tlgf\AppData\LocalLow\TBMWewOZhQIsp
2019-06-11 21:21 - 2019-04-18 19:18 - 000084480 _____ C:\Users\tlgf\AppData\Roaming\task.dll
2019-06-11 21:20 - 2019-06-12 18:24 - 000000000 ___HD C:\Windows\rss
2019-06-11 21:20 - 2019-06-11 23:14 - 000000000 ____D C:\Users\Все пользователи\WindowsMenu
2019-06-11 21:20 - 2019-06-11 23:14 - 000000000 ____D C:\ProgramData\WindowsMenu
2019-06-11 21:17 - 2019-06-11 21:17 - 001895384 _____ C:\Users\tlgf\AppData\Local\Ecodubbam.bin
2019-06-11 21:16 - 2019-06-12 18:22 - 000000000 ____D C:\Users\tlgf\AppData\Local\App
2019-06-11 21:16 - 2019-06-11 23:15 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\r4oic5muvjv
2019-06-11 21:16 - 2019-06-11 23:14 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\zrfygndd5o2
2019-06-11 21:16 - 2019-06-11 21:16 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\Python
2019-06-11 21:15 - 2019-06-11 21:15 - 007942656 _____ C:\Users\tlgf\AppData\Local\agent.dat
2019-06-11 21:15 - 2019-06-11 21:15 - 002039066 _____ C:\Users\tlgf\AppData\Local\Greensing.tst
2019-06-11 21:15 - 2019-06-11 21:15 - 000126464 _____ C:\Users\tlgf\AppData\Local\noah.dat
2019-06-11 21:15 - 2019-06-11 21:15 - 000126464 _____ C:\Users\tlgf\AppData\Local\lobby.dat
2019-06-11 21:15 - 2019-06-11 21:15 - 000072787 _____ C:\Users\tlgf\AppData\Local\Stan-Sing.tst
2019-06-11 21:15 - 2019-06-11 21:15 - 000070992 _____ C:\Users\tlgf\AppData\Local\Config.xml
2019-06-11 21:15 - 2019-06-11 21:15 - 000054272 _____ C:\Users\tlgf\AppData\Local\ApplicationHosting.dat
2019-06-11 21:15 - 2019-06-11 21:15 - 000005568 _____ C:\Users\tlgf\AppData\Local\md.xml
2019-06-11 21:15 - 2019-06-11 21:15 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\WinNc
FirewallRules: [{44EA9491-2D91-45B5-A40F-59E7ABC0A629}] => (Allow) C:\Users\tlgf\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
FirewallRules: [{E18881A6-6428-45D8-8A4B-3320131119BE}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{39F6951E-C7EE-4B11-8647-298548543396}] => (Allow) C:\Users\tlgf\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
FirewallRules: [{A5AC79CC-717A-4A66-8B40-67154E2F96F3}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{6790D7FD-0F7E-475A-884B-D6570EE39173}] => (Allow) C:\Users\tlgf\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{3399696C-99AF-4D6B-AFD4-DACE0191AE97}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{F8D33E83-8AA6-47A7-B52E-AF2F98DEA236}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{9AC52D8F-F7F2-46A6-92C6-DA3CA00954B4}] => (Allow) C:\Users\tlgf\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
File: C:\Users\tlgf\AppData\Local\Stan-Sing.exe
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   watching_the_waste

watching_the_waste

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 12 Июнь 2019 - 21:20

Прикрепленный файл  Fixlog.txt   8,67К   скачиваний 1


  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Июнь 2019 - 21:32

C:\Users\tlgf\AppData\Local\Stan-Sing.exe
C:\Users\tlgf\AppData\Local\Greensing.exe

 

удалите вручную.

 

Проблема решена?


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   watching_the_waste

watching_the_waste

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 12 Июнь 2019 - 21:47

Удалил. Проверил DrWeb и AdwCleaner.
Троян не нашелся, остались только другие - Safefinder, Epicnet, cloudnet и в suggestqueries.google.com.


  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Июнь 2019 - 22:07

Удалили их?


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   watching_the_waste

watching_the_waste

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 12 Июнь 2019 - 22:39

Все. Очистил, удалил, ничего нигде нет. Спасибо.


  • 0

#14 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Июнь 2019 - 22:48

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных