Trojan.Win64.Wdfload.b C:\Windows\Temp\g8008.tmp.exe

[олежек]

доброго времени суток, собственно сабж, всеми известными мне способами побороть не удалось, касперский на машине стоит лицензионный, KES 10, куритом, и ремовал тулом находится удаляется но при следующей проверке находится там же в темпе.

 

 

CollectionLog-2017.02.22-15.28.zip

[Sandor]

Здравствуйте!

 

1. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[олежек]

вот.

 

 

ClearLNK-22.02.2017_18-40.log

Addition.txt

FRST.txt

Shortcut.txt

Изменено 22 февраля, 2017 пользователем олежек

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1103806030-2542414602-944563772-1187\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKLM-x32\...\Run: [] => [X]
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1103806030-2542414602-944563772-1187 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1785443142-1932646275-2655762095-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF user.js: detected! => C:\Users\vosheter\AppData\Roaming\Mozilla\Firefox\Profiles\7m9811d3.default-1450341205458\user.js [2015-12-16]
CHR Extension: (No Name) - C:\Users\vosheter\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-02-22]
CHR Extension: (No Name) - C:\Users\vosheter\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfbmiedjenagoegiiabjfjpkhfocifkp [2017-02-22]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
2017-02-20 17:41 - 2017-02-22 18:45 - 00016704 _____ C:\Windows\System32\Tasks\364M55L15l530
2017-02-20 17:41 - 2017-02-20 17:41 - 00000000 ___HD C:\Users\Все пользователи\364M55L15l530
2017-02-20 17:41 - 2017-02-20 17:41 - 00000000 ___HD C:\ProgramData\364M55L15l530
2017-02-20 17:41 - 2017-02-20 17:41 - 00000000 ____D C:\Windows\IObit
2017-02-20 17:41 - 2017-02-20 17:41 - 00027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS
2017-02-20 09:47 - 2017-02-20 09:47 - 00000000 ____D C:\Users\vosheter\AppData\Local\{7DB0DF17-BE44-4A02-8D31-10ACD825FFEC}
2017-02-17 10:00 - 2017-02-17 10:00 - 00000000 ____D C:\Users\vosheter\AppData\Local\{3BE6F5CD-D7E9-43D8-89E4-5401752F2CCA}
2017-02-16 09:58 - 2017-02-16 09:58 - 00000000 ____D C:\Users\vosheter\AppData\Local\{0C0DFE94-98BF-4013-A5FB-8C2B1B8E1DCC}
2017-02-15 10:05 - 2017-02-15 10:06 - 00000000 ____D C:\Users\vosheter\AppData\Local\{1D38B3F7-36D0-4615-8CC3-C2C0794D6C41}
2017-02-14 09:47 - 2017-02-14 09:47 - 00000000 ____D C:\Users\vosheter\AppData\Local\{AE370827-1E93-4CD4-BD5E-69749D84FBCF}
2017-02-13 10:11 - 2017-02-13 10:11 - 00000000 ____D C:\Users\vosheter\AppData\Local\{83ED6E89-4344-4428-9842-C43D83666271}
2017-02-10 09:54 - 2017-02-10 09:54 - 00000000 ____D C:\Users\vosheter\AppData\Local\{E27E136F-1612-40F0-9036-9D0B950322AC}
2017-02-09 10:22 - 2017-02-09 10:22 - 00000000 ____D C:\Users\vosheter\AppData\Local\{3866254E-E990-4D29-813F-3D026CA8F726}
2017-02-08 10:00 - 2017-02-08 10:00 - 00000000 ____D C:\Users\vosheter\AppData\Local\{CDF6E66A-7E38-42C7-B10F-91F38290D928}
2017-02-07 12:07 - 2017-02-07 12:07 - 00000000 ____D C:\Users\vosheter\AppData\Local\{170208F0-5C34-404E-BA6E-25E61C91E3EA}
2017-02-06 09:57 - 2017-02-06 09:57 - 00000000 ____D C:\Users\vosheter\AppData\Local\{1ED7FDFE-364A-4E22-8838-694D0EBA3F11}
2017-02-03 15:07 - 2017-02-03 15:07 - 00000000 ____D C:\Users\vosheter\AppData\Local\{7BB6E080-2EC8-4B6F-88C4-0766149161CA}
2017-02-02 10:08 - 2017-02-02 10:08 - 00000000 ____D C:\Users\vosheter\AppData\Local\{8B47AB51-CE61-4349-84AF-4C4E4C44CA39}
2017-02-01 10:10 - 2017-02-01 10:10 - 00000000 ____D C:\Users\vosheter\AppData\Local\{74293A70-3A0A-478D-9402-A566173B12DA}
2017-01-31 10:02 - 2017-01-31 10:02 - 00000000 ____D C:\Users\vosheter\AppData\Local\{50845C14-BEBC-42BF-BA46-0F2BBBA2591F}
2017-01-30 09:57 - 2017-01-30 09:57 - 00000000 ____D C:\Users\vosheter\AppData\Local\{06332AF0-0764-4F3E-98D9-8ABE328AB682}
2017-01-27 10:11 - 2017-01-27 10:11 - 00000000 ____D C:\Users\vosheter\AppData\Local\{8205BE60-318C-4F2A-901A-18D09AE1D777}
2017-01-26 09:50 - 2017-01-26 09:50 - 00000000 ____D C:\Users\vosheter\AppData\Local\{CDA36897-6A47-40BF-833E-E2815FB6DDDF}
2017-01-25 10:17 - 2017-01-25 10:17 - 00000000 ____D C:\Users\vosheter\AppData\Local\{E758D0C8-81B6-40D7-AE8D-263111A5F453}
2017-01-24 10:03 - 2017-01-24 10:03 - 00000000 ____D C:\Users\vosheter\AppData\Local\{754CEF26-D6A8-4EDA-9AFF-0A52B4BEF340}
2017-01-23 10:02 - 2017-01-23 10:03 - 00000000 ____D C:\Users\vosheter\AppData\Local\{9868715A-53B1-44A2-8504-28C3E01FBF7B}
FirewallRules: [{24416196-B34F-48D1-803D-17A42A2093D5}] => (Allow) C:\Program Files\UBar\ubar.exe
2017-02-22 10:56 - 2017-02-22 15:58 - 03742208 _____ () C:\Windows\TEMP\gD73B.tmp
2017-02-22 10:56 - 2017-02-22 15:58 - 03530240 _____ () C:\Windows\TEMP\g1759.tmp
2017-02-20 17:41 - 2014-03-22 12:54 - 03081216 _____ () C:\ProgramData\364M55L15l530\364M55L15l530.dll
Task: {C0668446-6E9A-4B3D-9186-E1C005C1B1E4} - System32\Tasks\364M55L15l530 => Rundll32.exe "C:\ProgramData\364M55L15l530\364M55L15l530.dll",MLlyqZbF <==== ATTENTION
C:\Program Files\UBar\

EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

+ приложите логи AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[олежек]

готово.

Fixlog.txt

AdwCleanerS3.txt

Изменено 23 февраля, 2017 пользователем олежек

[Roman_Five]

удалите в AdfwCleaner

Найден параметр: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce [Wd]

что с проблемой?

[олежек]

запустил проверку KES все там же, и с разу же находится, запустил  AdfwCleaner, ни чего не находит, "сходил" в реестр по указанному пути руками пусто.

[Roman_Five]

 

 

"сходил" в реестр по указанному пути руками пусто.

руками не надо.
https://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

приложите лог MBAM/

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

[олежек]

 

"сходил" в реестр по указанному пути руками пусто.

руками не надо.

https://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

 

приложите лог MBAM/

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635256

 

 

про руки понятно, и понятно как делать, просто он не нашел ни чего, от того и "смотрел" руками.

 

MBAM после первой проверки ни чего не дат сохранить, только перезагрузка, нашел чего то 9 штук, после перезагрузки дал уже сохранить отчет, прилагаю его.

Malwarebytes.txt

[олежек]

вчера не один раз Malwarebytes находил, перезагружался, вечером уже довольно поздно на ночь запустил его еще один раз, и KES, ни чего не найдено. думаю что проблема решена, спасибо.

[Sandor]

Проделайте завершающие шаги:

1. Деинсталлируйте MBAM.

 

2.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

3.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.