Троян

[Arts-Museum]

Добрый день, антивирус KES 10 периодически выдает сообщение, что троянская программа kido пытается получить доступ к системе, антивирус предлагает лечить с перезагрузкой, но это не помогает, kidokiller также не дала результата. Прошу помощи в удалении.

CollectionLog-2017.03.22-15.48.zip

Addition.txt

FRST.txt

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\bib.GMII\AppData\Roaming\LoadLeader\Updater.exe', '');
 DeleteFile('C:\Windows\Tasks\At1.job', '32');
 DeleteFile('C:\Windows\Tasks\At10.job', '32');
 DeleteFile('C:\Windows\Tasks\At11.job', '32');
 DeleteFile('C:\Windows\Tasks\At12.job', '32');
 DeleteFile('C:\Windows\Tasks\At13.job', '32');
 DeleteFile('C:\Windows\Tasks\At14.job', '32');
 DeleteFile('C:\Windows\Tasks\At15.job', '32');
 DeleteFile('C:\Windows\Tasks\At16.job', '32');
 DeleteFile('C:\Windows\Tasks\At18.job', '32');
 DeleteFile('C:\Windows\Tasks\At19.job', '32');
 DeleteFile('C:\Windows\Tasks\At2.job', '32');
 DeleteFile('C:\Windows\Tasks\At20.job', '32');
 DeleteFile('C:\Windows\Tasks\At22.job', '32');
 DeleteFile('C:\Windows\Tasks\At23.job', '32');
 DeleteFile('C:\Windows\Tasks\At24.job', '32');
 DeleteFile('C:\Windows\Tasks\At25.job', '32');
 DeleteFile('C:\Windows\Tasks\At26.job', '32');
 DeleteFile('C:\Windows\Tasks\At27.job', '32');
 DeleteFile('C:\Windows\Tasks\At28.job', '32');
 DeleteFile('C:\Windows\Tasks\At29.job', '32');
 DeleteFile('C:\Windows\Tasks\At3.job', '32');
 DeleteFile('C:\Windows\Tasks\At30.job', '32');
 DeleteFile('C:\Windows\Tasks\At31.job', '32');
 DeleteFile('C:\Windows\Tasks\At32.job', '32');
 DeleteFile('C:\Windows\Tasks\At33.job', '32');
 DeleteFile('C:\Windows\Tasks\At34.job', '32');
 DeleteFile('C:\Windows\Tasks\At35.job', '32');
 DeleteFile('C:\Windows\Tasks\At36.job', '32');
 DeleteFile('C:\Windows\Tasks\At38.job', '32');
 DeleteFile('C:\Windows\Tasks\At39.job', '32');
 DeleteFile('C:\Windows\Tasks\At4.job', '32');
 DeleteFile('C:\Windows\Tasks\At40.job', '32');
 DeleteFile('C:\Windows\Tasks\At41.job', '32');
 DeleteFile('C:\Windows\Tasks\At42.job', '32');
 DeleteFile('C:\Windows\Tasks\At43.job', '32');
 DeleteFile('C:\Windows\Tasks\At44.job', '32');
 DeleteFile('C:\Windows\Tasks\At5.job', '32');
 DeleteFile('C:\Windows\Tasks\At6.job', '32');
 DeleteFile('C:\Windows\Tasks\At7.job', '32');
 DeleteFile('C:\Windows\Tasks\At8.job', '32');
 DeleteFile('C:\Windows\Tasks\At9.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (bib)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_bib" /F', 0, 15000, true);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

 

Loadleader - эта программа вам знакома?

 

+ этот компьютер в сетке находится?

Изменено 22 марта, 2017 пользователем regist

[Arts-Museum]

Да, компьютер в локальной сети, Loadleader удалил.

KLAN-5998733480

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

Updater.exe

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2017.03.23-10.55.zip

Addition.txt

FRST.txt

[regist]

1) Поставьте пароль на этот компьютер.

 

2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Task: {1263778B-41A8-46DF-A638-2DEAFCDF46EF} - System32\Tasks\At1 => Rundll32.exe qfnqgo.qiw,hlbrfp <==== ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-1202660629-1085031214-682003330-1168 -> {5116ABB1-AA25-464F-904E-3CE02D16797D} URL = 
CHR HKU\S-1-5-21-1202660629-1085031214-682003330-1168\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1202660629-1085031214-682003330-1168\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1202660629-1085031214-682003330-1168\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR StartupUrls:  "hxxp://mail.ru/cnt/10445" 
HKU\S-1-5-21-1202660629-1085031214-682003330-1168\...\Run: [LoadLeader] => C:\Users\bib.GMII\AppData\Roaming\LoadLeader\Updater.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

3) Групповые политики как понимаю настраивали сами?

 

Unlimited Free VPN - Hola - советую удалить это расширение.

 

Стартовая — Яндек - если сами не ставили, тоже.

 

4)

Да, компьютер в локальной сети

Ищите в ней заражённый компьютер, с которого лезет зараза на этот.

 

5)

Loadleader удалил.

А ставили его сами или понятия не имеете откуда он взялся?