[РЕШЕНО] Trojan:MSIL/Wemaeye.A создает dll файлы при работе в браузере

24 июня, 2022

Trojan:MSIL/Wemaeye.A создает dll файлы при работе в браузере. Dr.Web CureIt! при проверке не выявил угроз. Логи прилагаю.

CollectionLog-2022.06.24-20.30.zip

24 июня, 2022

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\65263707f72.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\65215dadd88.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\591ae1ef98f.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\5916d5015b6.sys','');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\5916d5015b6.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\591ae1ef98f.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\65215dadd88.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\65263707f72.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

24 июня, 2022

12 минут назад, thyrex сказал:
Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\65263707f72.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\65215dadd88.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\591ae1ef98f.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\5916d5015b6.sys','');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\5916d5015b6.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\591ae1ef98f.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\65215dadd88.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\65263707f72.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

CollectionLog-2022.06.24-22.35.zip

24 июня, 2022

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

24 июня, 2022

17 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Desktop.7z

25 июня, 2022

Перестаньте, пожалуйста, заниматься цитированием выдаваемых Вам рекомендаций.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1229492460-2119564278-523572018-1001\...\Run: [GalaxyClient] => [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {A153323D-1DEA-441F-8B0F-9F9B1EFBAA20} - System32\Tasks\Opera scheduled Autoupdate 1646216538 => C:\Users\KURVA\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\KURVA\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\KURVA\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

25 июня, 2022

Извиняюсь за излишнее цитирование. Лог прилагаю

Fixlog.txt

25 июня, 2022

Проблема решена?

25 июня, 2022

Да, больше ничего не происходит. Благодарствую!

26 июня, 2022

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

26 июня, 2022

Лог SecurityCheck

SecurityCheck.txt

26 июня, 2022

--------------------------- [ OtherUtilities ] ----------------------------

NVIDIA GeForce Experience 3.24.0.126 v.3.24.0.126 Внимание! Скачать обновления
Foxit Reader v.7.0.8.1216 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.15.9.0.1 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 311 (64-bit) v.8.0.3110.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 17.0.0 Full v.17.0.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.005.20054 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.92.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.102.0.5005.115 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.88 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Исправляйте указанное, и на этом закончим

26 июня, 2022

Премного благодарен!

26 июня, 2022

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

[РЕШЕНО] Trojan:MSIL/Wemaeye.A создает dll файлы при работе в браузере

Рекомендуемые сообщения

Homenok

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Homenok

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Homenok

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Homenok

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Homenok

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Homenok

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Homenok

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum