[РЕШЕНО] Малварь по имени Терминатор

[melnikovlb]

Здравствуйте! Дело срочное, на рабочий ПК попал новый терминатор, zamguard64.sys. В фаре скрывается, на вирустотале прочесать не удалось. Залез в инет и вычитал про троян. Логи сейчас не могу сделать, можете сказать, что пока можно сделать?

[thyrex]

Без логов никак

[melnikovlb]

Хорошо. Пока что не могу, к счастью дефендер его обнаружил. Прошу подождать до завтра

 

 

получилось сейчас

CollectionLog-2023.07.22-20.48.zip

Изменено 22 июля, 2023 пользователем melnikovlb

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[melnikovlb]

@thyrex

готово
(Если вы сможете, можете решить проблему за сегодня? Я завтра уеду, а без меня они не справятся.)
(я захожу на тему каждые 5-10 минут)

FRST.zip

Изменено 23 июля, 2023 пользователем melnikovlb

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2775333124-4155913879-2950849028-1001\...\MountPoints2: {56853476-2008-11ec-9fea-e29edfef15f2} - "F:\Setup.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1001\...\MountPoints2: {cea82028-8863-11eb-9e75-b3ce2a39c66e} - "F:\Setup.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1001\...\MountPoints2: {efc67402-1b31-11eb-9d57-84c5a60026d4} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1004\...\MountPoints2: {381b1543-06e6-11ec-9fae-fd20e4fb9a12} - "H:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1004\...\MountPoints2: {56853476-2008-11ec-9fea-e29edfef15f2} - "F:\Setup.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1004\...\MountPoints2: {cea82028-8863-11eb-9e75-b3ce2a39c66e} - "F:\Setup.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1004\...\MountPoints2: {efc67402-1b31-11eb-9d57-84c5a60026d4} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1005\...\MountPoints2: {56853476-2008-11ec-9fea-e29edfef15f2} - "F:\Setup.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1005\...\MountPoints2: {cea82028-8863-11eb-9e75-b3ce2a39c66e} - "F:\Setup.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1005\...\MountPoints2: {ecdfb847-3f93-11ea-9ce2-806e6f6e6963} - "F:\OInstall.exe" 
HKU\S-1-5-21-2775333124-4155913879-2950849028-1005\...\MountPoints2: {efc67402-1b31-11eb-9d57-84c5a60026d4} - "F:\HiSuiteDownLoader.exe" 
IFEO\utilman.exe: [Debugger] 
Startup: C:\Users\Lev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CustomRP.lnk [2023-05-09]
ShortcutTarget: CustomRP.lnk -> C:\Users\Lev\Desktop\CustomRP\CustomRP.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
ProxyServer: [S-1-5-21-2775333124-4155913879-2950849028-1001] => 127.0.0.1:10809
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
C:\windows\system32\drivers\zamguard64.sys
C:\windows\System32\drivers\zam64.sys
AlternateDataStreams: C:\Users\Public\AppData:CSM [221]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6558]
IE trusted site: HKU\S-1-5-21-2775333124-4155913879-2950849028-1001\...\webcompanion.com -> hxxp://webcompanion.com
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[melnikovlb]

извините, а что эта штука делает с OInstall.exe и прочими?

 

 

@thyrex
да и интересно было бы ещё знать, как эта "вобла" к нам попала)

Изменено 23 июля, 2023 пользователем melnikovlb

[thyrex]

43 минуты назад, melnikovlb сказал:

да и интересно было бы ещё знать, как эта "вобла" к нам попала)

вообще больше похоже на запчасти от некогда установленного на компьютере Zemana Antimalware

 

45 минут назад, melnikovlb сказал:

а что эта штука делает с OInstall.exe и прочими?

ничего критичного. Давно пора выполнить фикс

[melnikovlb]

сейчас сделаю тогда

----------------------------
@thyrex
готово

Fixlog.txt

+ говорит, что нет таких zam64.sys, но дефендер их находит каждый раз и уже не первый день появляются окна, мол примите меры.

 

32 минуты назад, thyrex сказал:

вообще больше похоже на запчасти от некогда установленного на компьютере Zemana Antimalware

хмм, никто его по словам не ставил, да и винду пару лет назад переустанавливали, пользовались только дефендером и возможно авастом.

 

попытки остановить эту штуку ни к чему не приводят

Изменено 23 июля, 2023 пользователем melnikovlb

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[melnikovlb]

это ведь просто отчистит журнал дефендера, не так ли?)

4 минуты назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

 

[thyrex]

А что Вы еще хотите, если файлов в принципе нет на компьютере? И все Ваши потуги с остановкой служб бессмысленны, потому как таких служб нет, в логах тоже

[melnikovlb]

хорошо(я просто интересовался)

 

Проблема решена, спасибо!)

Изменено 23 июля, 2023 пользователем melnikovlb

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".