Перейти к содержанию

Прошу помощи в решении проблемы с Trojan.Multi.ProxyChanger.gen


Рекомендуемые сообщения

Добрый день!
У одного из из сотрудников уже несколько раз появлялось сообщение о появлении Trojan.Multi.ProxyChanger.gen в системной памяти.
Предлагалось лечить с перезагрузкой, что и делали. Через несколько дней сообщение появлялось снова.
Как можно найти зловреда или это не зловред вовсе, а ложная тревога?
Хотел бы добавить, что на компе есть батники, при необходимости меняющие настройки прокси-сервера в реестре. Однако сообщение возникало также и в тех случаях, когда ими не пользовались.
Я пробовал поставить их в исключения - проблему это не решило.

Проверка с помощью Kaspersky Virus Removal Tool ничего не дала

1718000846297.jpg

CollectionLog-2024.06.10-13.00.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

33 минуты назад, ffvvvv3 сказал:

на компе есть батники

Вы подразумеваете этот?

C:\Users\tanya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\abook.bat

 

И ещё вопрос, эти настройки верные?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = hxxps://lkipgost.nalog.ru;hxxps://nalog.ru;hxxps://lkip.nalog.ru;<local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 192.168.0.2:3128 (enabled)

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

20 часов назад, Sandor сказал:

Здравствуйте!

 

Вы подразумеваете этот?


C:\Users\tanya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\abook.bat

 

Нет

 

20 часов назад, Sandor сказал:

И ещё вопрос, эти настройки верные?


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = hxxps://lkipgost.nalog.ru;hxxps://nalog.ru;hxxps://lkip.nalog.ru;<local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 192.168.0.2:3128 (enabled)

 

Наверное, да

192.168.0.2:3128 - наш прокси, который иногда отключается одним батников и включается другим.

В ProxyOverride меня смущает странный префикс hxxps....

 

 

20 часов назад, Sandor сказал:

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, ffvvvv3 сказал:

смущает странный префикс hxxps

Это сделано специально.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: G - "G:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {058108a8-556b-11eb-8d89-6c626d8d957b} - "H:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {222bb4f5-2b30-11e8-8ed6-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {222bb505-2b30-11e8-8ed6-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {222bb511-2b30-11e8-8ed6-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {26236ab0-c86b-11ed-b659-8c89a586f992} - G:\AutoRun.exe
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {33db83fe-2e58-11e8-b723-6c626d8d957b} - F:\AutoRun.exe
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {33db840a-2e58-11e8-b723-6c626d8d957b} - F:\AutoRun.exe
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {35b030cd-29af-11ed-9361-8c89a586f992} - G:\.\autorun.exe
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {4b2d3b2c-252c-11ee-a895-8c89a586f992} - "G:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {6b6ad640-3c1c-11ea-b848-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {7184d532-ed26-11ea-aa91-6c626d8d957b} - "H:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {7184d54b-ed26-11ea-aa91-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {723b90a9-d7f5-11ec-9276-8c89a586f992} - "G:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {73eec18f-9ba1-11ed-8dd0-8c89a586f992} - G:\AutoRun.exe
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {73eec191-9ba1-11ed-8dd0-8c89a586f992} - G:\AutoRun.exe
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {880a6844-d33b-11ea-83f4-6c626d8d957b} - "H:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {b2afbbb3-d0e5-11ec-a44d-10bf487bdeb2} - "G:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {bbb38466-d1da-11e8-82d7-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {bbf5f201-d1cb-11e8-8003-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {c5f17730-22e6-11ea-bb14-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {c5f17733-22e6-11ea-bb14-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {ef72bc69-dfd0-11ec-9b83-8c89a586f992} - "G:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {f827e94f-cff8-11eb-9d44-6c626d8d957b} - "G:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {faf3b9c6-1880-11e9-856e-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {faf3b9d0-1880-11e9-856e-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [77312 2018-01-19] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    C:\Program Files\RDP Wrapper\rdpwrap.dll
    BHO: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
    Toolbar: HKU\S-1-5-21-244379318-126148631-50626434-1000 -> Нет имени - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  Нет файла
    FirewallRules: [{67BB8BC7-B373-470A-A06E-5D6213450732}] => (Allow) LPort=5900
    FirewallRules: [{EA28C11C-65B6-4151-BAEE-408616EAF263}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

К сожалению, резюмирую, можно сказать, что не помогло.

После выполнения скрипта перестали работать удаленные доступы -

пришлось восстанавливать.

После этого несколько дней сообщения не было,

но пару дней назад оно появилось снова.

Отключил фоновое сканирование - не помогло.

Можно вопрос: а что это вообще такое и как с ним 

бороться?

Ссылка на комментарий
Поделиться на другие сайты

Результат выполнения скрипта вы не показали, поэтому ничего сказать невозможно.

 

5 минут назад, ffvvvv3 сказал:

пришлось восстанавливать

Соберите новые логи по правилам раздела.

Ссылка на комментарий
Поделиться на другие сайты

Подскажите, пожалуйста, каким образом можно игнорировать эту проблему?

Появляющееся окно невозможно закрыть, предлагается либо лечить с перезагрузкой

или лечить без перезагрузки.

Может быть, можно отменить какие-либо задания или область проверки,

чтобы данное сообщение не беспокоило?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Константин agromoll34
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Xynire
      От Xynire
      Измучал меня этот троян. Антивирус борется с ним, но после перезагрузки будто ничего не было. Заранее благодарю
    • Stillegoth
      От Stillegoth
      Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.
      Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf
    • Сергей Комаров
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Moiui
      От Moiui
      Решил проверить мой комп на вирусы и обнаружил вот такой вирус с названием  NET.MALWARE.URL. Откуда он? Знать я этого не знаю. Логи закинул
      CollectionLog-2024.06.25-15.07.zip
×
×
  • Создать...