[РЕШЕНО] Поймал вирус, но не лечится стандартно

[Albert2025]

Добрый день.

Подозреваю, что сегодня с флэшки случайно запустил вирус.

Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl

На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.

Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.

Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).

Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus. Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер. P.S. Также приложил логи.

rootdir1.rar

CollectionLog-2025.05.20-11.45.zip

Изменено 20 мая пользователем Albert2025
Не приложил сразу логи.

[safety]

Файл *.dat, который большого размера можете проверить на http://virustotal.com и дать ссылку на результат проверки?

[Albert2025]

https://www.virustotal.com/gui/file/4617cfd1e66aab547770f049abd937b46c4722ee33bbf97042aab77331aa6525/details

[safety]

Если Касперский был установлен, должен был прибить запуск вредоносной программы.

HEUR:Trojan.Win64.Convagent.gen

[Albert2025]

Касперского не было установлено, только стандартный антивирус от Майкрософт (WIN10), который если и прибил запуск, то ничего не сообщил.

После запуска вируса проверял KVRT и DrWeb CureIt - они сочли вирусом файлы *.bat и *.vbs из архива, но dat-файл как вирус не определяют.

Также не находят сейчас каких-то вирусов при полной проверке ПК.

Если я правильно понял, bat-файл должен подменять файлом x232530.dat файл printui.dll в System32 и затем перезапускать процесс printui.exe.

Это все, на что хватило моих знаний в области понимания механики.

А что происходит после подмены - тут уже мне неведомо.

 

3 часа назад, safety сказал:

Если Касперский был установлен, должен был прибить запуск вредоносной программы.

HEUR:Trojan.Win64.Convagent.gen

Спасибо за мысль, додумался посмотреть журнал защиты стандартного WIN-антивируса.

Судя по отчету, он прибил-таки вирус, хотя никаких сообщений и предупреждений не выдал.

[safety]

16 часов назад, Albert2025 сказал:

Если я правильно понял, bat-файл должен подменять файлом x232530.dat файл printui.dll в System32 и затем перезапускать процесс printui.exe.

Да, все верно, получилась бы скрытная загрузка вредоносного *.dat файла, переименованного в printui.dll в легальный процесс, для обхода защиты. т.е. запустился бы легальный printui.exe, и он автоматически загрузил бы уже вредоносный printui.dll.

 

Сделайте дополнительно логи FRST, посмотрим как отработал WinDefender, и проверим автозапуск системы.

Изменено 21 мая пользователем safety

[Albert2025]

1 час назад, safety сказал:

Сделайте дополнительно логи FRST, посмотрим как отработал WinDefender, и проверим автозапуск системы.

Сделал.

FRST.txt Addition.txt

[safety]

Учетная запись ваша?

х (S-1-5-21-3809224501-3520557537-2428014387-1001 - Administrator - Enabled) => C:\Users\х

 

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
ShellIconOverlayIdentifiers: [      OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
Task: {121DB30C-BD26-4600-9A58-49B9910AF8ED} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3809224501-3520557537-2428014387-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-3809224501-3520557537-2428014387-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKU\S-1-5-21-3809224501-3520557537-2428014387-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-3809224501-3520557537-2428014387-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Albert2025]

8 часов назад, safety сказал:

Учетная запись ваша?

х (S-1-5-21-3809224501-3520557537-2428014387-1001 - Administrator - Enabled) => C:\Users\х

Нет, другого пользователя ПК.

 

8 часов назад, safety сказал:

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Спасибо, выполнил, файл прикладываю.

Fixlog.txt

[safety]

Если других вопросов или проблем в работе системы не осталось:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено 21 мая пользователем safety

[Albert2025]

21 минуту назад, safety сказал:

   Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Выполнил.

SecurityCheck.txt

[safety]

По возможности, обновите данное ПО:

 

WinRAR 5.50 бета 3 (64-разрядная) v.5.50.3 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype™ 7.40 v.7.40.103 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Microsoft Teams.

 

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".