Прошу помощи в решении проблемы с Trojan.Multi.ProxyChanger.gen

[ffvvvv3 0]

Добрый день!
У одного из из сотрудников уже несколько раз появлялось сообщение о появлении Trojan.Multi.ProxyChanger.gen в системной памяти.
Предлагалось лечить с перезагрузкой, что и делали. Через несколько дней сообщение появлялось снова.
Как можно найти зловреда или это не зловред вовсе, а ложная тревога?
Хотел бы добавить, что на компе есть батники, при необходимости меняющие настройки прокси-сервера в реестре. Однако сообщение возникало также и в тех случаях, когда ими не пользовались.
Я пробовал поставить их в исключения - проблему это не решило.

Проверка с помощью Kaspersky Virus Removal Tool ничего не дала

CollectionLog-2024.06.10-13.00.zip

[Sandor 1 286]

Здравствуйте!

 

33 минуты назад, ffvvvv3 сказал:

на компе есть батники

Вы подразумеваете этот?

C:\Users\tanya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\abook.bat

 

И ещё вопрос, эти настройки верные?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = hxxps://lkipgost.nalog.ru;hxxps://nalog.ru;hxxps://lkip.nalog.ru;<local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 192.168.0.2:3128 (enabled)

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ffvvvv3 0]

20 часов назад, Sandor сказал:

Здравствуйте!

 

Вы подразумеваете этот?

C:\Users\tanya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\abook.bat

 

Нет

 

20 часов назад, Sandor сказал:

И ещё вопрос, эти настройки верные?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = hxxps://lkipgost.nalog.ru;hxxps://nalog.ru;hxxps://lkip.nalog.ru;<local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 192.168.0.2:3128 (enabled)

 

Наверное, да

192.168.0.2:3128 - наш прокси, который иногда отключается одним батников и включается другим.

В ProxyOverride меня смущает странный префикс hxxps....

 

 

20 часов назад, Sandor сказал:

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Addition.txt FRST.txt

[Sandor 1 286]

2 минуты назад, ffvvvv3 сказал:

смущает странный префикс hxxps

Это сделано специально.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: G - "G:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {058108a8-556b-11eb-8d89-6c626d8d957b} - "H:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {222bb4f5-2b30-11e8-8ed6-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {222bb505-2b30-11e8-8ed6-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {222bb511-2b30-11e8-8ed6-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {26236ab0-c86b-11ed-b659-8c89a586f992} - G:\AutoRun.exe
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {33db83fe-2e58-11e8-b723-6c626d8d957b} - F:\AutoRun.exe
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {33db840a-2e58-11e8-b723-6c626d8d957b} - F:\AutoRun.exe
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {35b030cd-29af-11ed-9361-8c89a586f992} - G:\.\autorun.exe
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {4b2d3b2c-252c-11ee-a895-8c89a586f992} - "G:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {6b6ad640-3c1c-11ea-b848-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {7184d532-ed26-11ea-aa91-6c626d8d957b} - "H:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {7184d54b-ed26-11ea-aa91-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {723b90a9-d7f5-11ec-9276-8c89a586f992} - "G:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {73eec18f-9ba1-11ed-8dd0-8c89a586f992} - G:\AutoRun.exe
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {73eec191-9ba1-11ed-8dd0-8c89a586f992} - G:\AutoRun.exe
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {880a6844-d33b-11ea-83f4-6c626d8d957b} - "H:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {b2afbbb3-d0e5-11ec-a44d-10bf487bdeb2} - "G:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {bbb38466-d1da-11e8-82d7-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {bbf5f201-d1cb-11e8-8003-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {c5f17730-22e6-11ea-bb14-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {c5f17733-22e6-11ea-bb14-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {ef72bc69-dfd0-11ec-9b83-8c89a586f992} - "G:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {f827e94f-cff8-11eb-9d44-6c626d8d957b} - "G:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {faf3b9c6-1880-11e9-856e-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  HKU\S-1-5-21-244379318-126148631-50626434-1000\...\MountPoints2: {faf3b9d0-1880-11e9-856e-6c626d8d957b} - "F:\Install MegaFon Internet.exe"
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [77312 2018-01-19] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  C:\Program Files\RDP Wrapper\rdpwrap.dll
  BHO: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
  Toolbar: HKU\S-1-5-21-244379318-126148631-50626434-1000 -> Нет имени - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  Нет файла
  FirewallRules: [{67BB8BC7-B373-470A-A06E-5D6213450732}] => (Allow) LPort=5900
  FirewallRules: [{EA28C11C-65B6-4151-BAEE-408616EAF263}] => (Allow) LPort=3389
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ffvvvv3 0]

К сожалению, резюмирую, можно сказать, что не помогло.

После выполнения скрипта перестали работать удаленные доступы -

пришлось восстанавливать.

После этого несколько дней сообщения не было,

но пару дней назад оно появилось снова.

Отключил фоновое сканирование - не помогло.

Можно вопрос: а что это вообще такое и как с ним 

бороться?

[Sandor 1 286]

Результат выполнения скрипта вы не показали, поэтому ничего сказать невозможно.

 

5 минут назад, ffvvvv3 сказал:

пришлось восстанавливать

Соберите новые логи по правилам раздела.

[ffvvvv3 0]

Подскажите, пожалуйста, каким образом можно игнорировать эту проблему?

Появляющееся окно невозможно закрыть, предлагается либо лечить с перезагрузкой

или лечить без перезагрузки.

Может быть, можно отменить какие-либо задания или область проверки,

чтобы данное сообщение не беспокоило?