[РЕШЕНО] mem:backdoor.win32.insistent.gen после лечения с перезапуском снова обнаруживается.

[thyrex]

Никаких ручных удалений больше не выполнять. Ждите скрипт от коллеги.

[safety]

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
;---------command-block---------
delall %SystemRoot%\SYSWOW64\MOBSYNC.DLL
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLMEKGIEFHNGCMOOBPNKOMDFGLJEPODF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

restart
czoo

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Далее,

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

Изменено 13 мая пользователем safety

[Winlin]

"RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64');

удалил

c:\windows\SysWOW64\mobsync.dll удалил

 

после этого при перезагрузке Вирус больше не детектируется.

 

PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE

 %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI

это уже раньше до обращения удалил

Изменено 13 мая пользователем Winlin

[safety]

6 minutes ago, Winlin said:

Название: MEM:Backdoor.Win32.Insistent.gen

возможно, это детект на активность syswow64/svchost.exe через которую загружается mobsync.dll

[thyrex]

Строгое предупреждение от модератора thyrex

Повторяю еще раз для непонятливых: никаких самостоятельных действий. Либо тему просто закроем

 

Ждем выполнения написанного выше.

[safety]

2 minutes ago, Winlin said:

это уже раньше до обращения удалил

хорошо, сейчас надо выполнить скрипт в uVS, и после перезагрузки сделать логи FRST, по логам FRST посмотрим, что осталось. Или не осталось.

[Winlin]

12 минут назад, safety сказал:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

папка пуста, что логично. файлы то я удалял раньше.

[safety]

сейчас ваша задача выполнить скрипт в uVS  и действовать строго по шагам, описанным в рекомендации:

дублирую еще раз сообщение:

 

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

скрипт ниже:

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
;---------command-block---------
delall %SystemRoot%\SYSWOW64\MOBSYNC.DLL
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLMEKGIEFHNGCMOOBPNKOMDFGLJEPODF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

restart
czoo

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Далее,

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

 

Изменено 13 мая пользователем safety

[Winlin]

после "Выполните в uVS скрипт из буфера обмена."

папка ZOO пуста

 

2024-05-13_19-43-14_log.txtAddition.txtFRST.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::
2024-05-13 15:18 - 2024-05-13 15:18 - 000000000 ____D C:\ProgramData\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f
2024-05-13 15:17 - 2024-05-13 15:17 - 000000048 _____ C:\Users\admin\Desktop\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

[Winlin]

C:\ProgramData\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f

 

папка пуста. еще до обращения она возникала после удаления при перезагрузке.

я ее удалил , создал пустую с тем же именем и запретил у админа и систему запись в нее.

 

скрипт запускаю

[safety]

ждем Fixlog

[Winlin]

Fixlog.txt

[safety]

Хорошо, если других проблем не осталось, тему закрываем.

[Winlin]

спасибо большое!!!

Остался вопрос по чистке реестра