[РЕШЕНО] система обновилась и нашла Trojan:Win32/BITSAbuse.Y

[Maks Sim]

Затронутые элементы:

bitsjob: 0980fa52-181e-43ed-bba5-a91029e698d5

bitsjob: 794defb4-3e4e-4183-a4b3-aedb9826b9fa

и т.д.

микрософт говорит что встроенный антивирус должен удалять. но оно не удаляет. adware удалил 1шт C:\Users\info\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

это была ссылка на запуск C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe. После удаления AnyDesk, удалось его удалить, он написал что он openVPN клиент (или что-то подобное)

 

 

Addition.txt FRST.txt

[safety]

Сделайте, пожалуйста, все логи по правилам.

[Maks Sim]

8 часов назад, safety сказал:

Сделайте, пожалуйста, все логи по правилам.

 

CollectionLog-2024.01.26-10.59.zip

cureIT и kvrt ничего не находят существенного

Изменено 26 января, 2024 пользователем Maks Sim

[safety]

судя по логу FRST файла нет.

Task: {486FD115-FB84-400B-B19C-3E4EC94C7659} - System32\Tasks\ctfmon => C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe  -xxewz:8930 -yl -exwai -lr (Нет файла) <==== ВНИМАНИЕ

 

+

добавьте, пожалуйста, образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 26 января, 2024 пользователем safety

[Maks Sim]

3 часа назад, safety сказал:

судя по логу FRST файла нет.

Task: {486FD115-FB84-400B-B19C-3E4EC94C7659} - System32\Tasks\ctfmon => C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe  -xxewz:8930 -yl -exwai -lr (Нет файла) <==== ВНИМАНИЕ

 

так я же написал выше, что были сомнения в происхождении anydesk, они сменило ID компьютера на котором было установлено после самостоятельного обновления "на новую. версию" (внезапно). Я его и удалил. По крайне мере постарался полностью. Поговорил со знакомым он сказал что это может быть реакция антивируса микрософт на новый транспорт anydesk

 

D9HCUDN_2024-01-26_21-32-16_v4.15.1.7z

Изменено 26 января, 2024 пользователем Maks Sim

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\INFO\DESKTOP\PROGRAMS\KMSAUTO LITE PORTABLE V1.5.5\KMSAUTO X64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\INFO\APPDATA\ROAMING\ANYDESK\CTFMON.EXE
delall %SystemDrive%\USERS\INFO\APPDATA\LOCAL\TEMP\EDGE_BITS_5048_1276367274\4293ED7C-3494-4C5F-83A9-787F1B5E3FE0
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE FILE STREAM\80.0.1.0\GOOGLEDRIVEFS.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFAHHEAKDHOEOIGMAFEJKEHDOEIKPGDFP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\INFO\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
apply

regt 27
deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\USERS\INFO\DOWNLOADS\MSIAFTERBURNERREMOTESERVER\REMOTESERVER\MSIAFTERBURNERREMOTESERVER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\TENSOR COMPANY LTD\SBIS3PLUGIN\21.1270.3\SERVICE\PLUGINS\NMH-TRANSPORT\FIREFOX\SBIS_PLUGIN_NMH@TENSOR.RU.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\TEMP\MCSE64_00.DLL
delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\TEMP\MCSE32_00.DLL
delref {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B}\[CLSID]
delref {5D924130-4CB1-11DB-B0DE-0800200C9A66}\[CLSID]
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.62\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\AWESOMEMINER
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemDrive%\PROGRAM FILES\OO SOFTWARE\DEFRAG\OODTRAY.EXE
delref %Sys32%\BLANK.HTM
delref {5E2121EE-0300-11D4-8D3B-444553540000}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID]
delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\WHATSAPP\WHATSAPP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\1CV8\COMMON\1CESTART.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OVERDRIVENTOOL\LINEWALLET.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой

[Maks Sim]

думаю что все осталось "как есть"

скриншот запустившегося антивиря микрософта прикладываю.

2024-01-27_02-47-27_log.txt

7 часов назад, safety сказал:

напишите по результату, что с проблемой

выполнил быстрое сканирование, оно написало что новые угрозы не обнаружены (за исключением насканированных). Может имеет смысл прочистить журнал ? Но при перезапуске "верхним" висит сообщение о наличии со временем запуска.

 

D9HCUDN_2024-01-27_03-07-27_v4.15.1.7z

единственно, collection log сделал при запущенной утилите start.exe

CollectionLog-2024.01.27-03.17.zip

[safety]

5 часов назад, Maks Sim сказал:

Может имеет смысл прочистить журнал ? Но при перезапуске "верхним" висит сообщение о наличии со временем запуска.

т.е. время в обнаружении всегда актуальное? а действие по очистке угрозы выполняете в Windef?

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\80.0.1.0\GoogleDriveFS.exe --startup_mode (Нет файла)
HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\80.0.1.0\GoogleDriveFS.exe --startup_mode (Нет файла)
HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\80.0.1.0\GoogleDriveFS.exe --startup_mode (Нет файла)
HKU\S-1-5-18\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {486FD115-FB84-400B-B19C-3E4EC94C7659} - System32\Tasks\ctfmon => C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe  -xxewz:8930 -yl -exwai -lr (Нет файла) <==== ВНИМАНИЕ
System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem122.0.6253.0{828AE37C-D0BE-431E-A41B-0FC231CD6D8F} => C:\Program Files (x86)\Google\GoogleUpdater\122.0.6253.0\updater.exe [4652320 2024-01-17] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
Task: C:\WINDOWS\Tasks\ctfmon.job => C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe
FirewallRules: [{E6C527DF-6D74-44C8-A371-F6262ACB8425}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{BBCBFF20-71DF-412F-BF78-5302DCE2AD92}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{85B9B67A-3362-49DD-B81B-7F2CC78D5AA3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{4D532841-3C59-487E-886B-4A393193C881}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{BA8B8AA2-BFA3-462D-9CEE-CD04849FADC1}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C7A31411-CC3D-44AD-AC32-B2AC11AE30A8}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
Reboot:
End::

После перезагрузки добавьте, пожалуйста, лог Fixlog.txt в ваше сообщение.

[Maks Sim]

5 часов назад, safety сказал:

лог Fixlog.txt в ваше сообщение.

windef сообщение после загрузки выдает что не удалось исправить...

при сканировании пишет что новые угрозы не обнаружены

при попытке выполнить действие над угрозой от 11:29, она исчезла

в журнале угроз  висят "оставшиеся". при попытке выполнить действия на д ними - ничего не происходит (они, видимо, устарели)

 

Fixlog.txt

 

C:\ProgramData\Microsoft\Windows Defender\Scans пишет "отказано в доступе"

Изменено 27 января, 2024 пользователем Maks Sim

[safety]

1 hour ago, Maks Sim said:

при попытке выполнить действие над угрозой от 11:29, она исчезла

т.е. можно предположить, что при перезагрузки системы появится новая запись с данной угрозой.

 

Для очистки записей с угрозами можно выполнить следующие:

1. Уменьшить время хранения журнала угроз безопасности Windows (до одного дня).
В PowerShell от имени администратора выполнить:
Set-MpPreference -ScanPurgeItemsAfterDelay X
Где X количество дней хранения журнала.

 

+

https://answers.microsoft.com/en-us/windows/forum/all/trojanwin32bitsabusey/d593661c-8ad9-4580-9f80-4283a7a9e0ac

 

возможно это имеет место быть:

Это ложное срабатывание. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
Вы можете устранить ложные оповещения, удалив историю обнаружения. Полностью безопасно!
Windows перестраивает папку «История обнаружения», когда она ей снова понадобится.
Инструкции по удалению истории обнаружения приведены по этой ссылке.
https://answers.microsoft.com/en-us/protect/forum/all/windows-defender-identifices-the-same-pup-as-a/63f17794-3815-4784-b9cd-c6059c8e0828

Изменено 27 января, 2024 пользователем safety

[Maks Sim]

1 час назад, safety сказал:

Для очистки записей с угрозами

перезагрузка системы с нажатой клавишей shift, выбор загрузка в безопасном режиме, с сетевыми драйверами, далее переход в указанную мною выше папку, очистка папка service/history (не удаляется один файл .log) перезагрузка, вынесение всех скачанных ранее программ, удаление FRST64 пере наименованием в uninstall, перезагрузка, включение всех тумблеров на win defender, быстрая проверка,

"новых угроз не обнаружено"

по приведенной вами ссылке, увы, оно выбрасывает в корень сайта https://answers.microsoft.com/en-us/

в любом случае, спасибо Вам большое, надеюсь, что проблема решена а не глубоко спрятана (меня смутил метод удаления истории сканирования и результат получений этим методом. и реакция дефендера на kvrt и файлы созданные им (не удаляемая угроза)

автономным модулем дефендера, я проходил ранее, он ничего нового не обнаруживал.

Сейчас проблема решена. Спасибо большое ! 

(вы "прочистили" систему, установленную кучу лет назад)

Изменено 27 января, 2024 пользователем Maks Sim

[safety]

Хорошо,

Как я понял, у windef есть период или срок жизни обнаруженных угроз,и если на эти угрозы не было никакой реакции, то он повторно по ним сигнализирует записью с новой датой, хотя на самом деле, возможно что эта угроза себя уже никак не проявляет на актуальную дату. Весьма странный подход к обнаружению.

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

Изменено 27 января, 2024 пользователем safety

[Maks Sim]

28 минут назад, safety сказал:

сохраните утилиту на Рабочем столе

ох как на нее ругается дефендер

 

SecurityCheck.txt

[safety]

По возможности обновите указанное ПО

 

TrueCrypt v.7.1 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать VeraCrypt.
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
Far Manager 3 x64 v.3.0.5092 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
IrfanView 4.54 (64-bit) v.4.54 Внимание! Скачать обновления
paint.net v.5.0.11 Внимание! Скачать обновления

WhatsApp (Outdated) v.2.2320.1 Внимание! Скачать обновления

Java 8 Update 181 (64-bit) v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 181 v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-i586.exe - Windows Offline)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.403 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.120.0.6099.227 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.120.0.2210.144 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

O&O Defrag Professional v.23.0.3094 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Изменено 27 января, 2024 пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".