Удаление Trojan.Multi.WMIRun.a

[bombezne]

Добрый день!

Помогите удалить троянца Trojan.Multi.WMIRun.a. KES 10 видит, что он сидит в System Memory, но удалить не может. DR Web CureIt и Adwcleaner не помогли. Каким образом подхватили троян не могу сказать.   

CollectionLog-2017.06.03-16.28.zip

Изменено 3 июня, 2017 пользователем bombezne

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[bombezne]

логи прикрепил

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) ProxyServer = http=127.0.0.1:1080 - сами прописывали?

 

3) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [Friendly Pinger] D:\SFpinger\FPinger.exe  (file missing) (HKCU) (2016/08/27)
O4 - MSConfig\startupreg: [HP LaserJet 400 MFP M425 Series Fax] C:\Program Files (x86)\HP\Digital Imaging\Fax\Fax Driver 0.6 Base\hppfaxprintersrv.exe "HP LaserJet 400 MFP M425 Series Fax" (file missing) (HKLM) (2016/08/27)
O4 - MSConfig\startupreg: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe (file missing) (HKLM) (2016/08/27)
O4 - MSConfig\startupreg: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60 (file missing) (HKLM) (2016/08/27)
O4 - MSConfig\startupreg: [StatusAlerts] C:\Program Files (x86)\HP\StatusAlerts\bin\HPStatusAlerts.exe /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on /tmcp:on (file missing) (HKLM) (2016/08/27)
O4-32 - HKLM\..\RunServicesOnce: [11121] Command.com /C C:\Windows\Command\Move.exe /Y C:\AUTOUP~1.TMP C:\Windows\DOWNLO~1\AutoUpdateATL.dll (file missing)
O4-32 - HKLM\..\RunServicesOnce: [18415] Command.com /C C:\Windows\Command\Move.exe /Y C:\1AAUTO~1.TMP C:\Windows\system32\1aAutoUpdateCommon.dll (file missing)
O4-32 - HKLM\..\RunServicesOnce: [2935] Command.com /C C:\Windows\Command\Move.exe /Y C:\AUTOUP~1.TMP C:\Windows\DOWNLO~1\AutoUpdateATL.dll (file missing)

 

4) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

[bombezne]

1) Готово. http://virusinfo.info/virusdetector/report.php?md5=F40F3DB6DEB1AB99387DD9806F0AEDE0

 

2) Да, сам прописывал. Но сейчас уже этот прокси не актуален.

 

3) Пофиксил.

 

4) Полный образ автозапуска сделал. 

 

1-34_2017-06-03_20-13-37.7z

[regist]

Выполните скрипт в uVS

 

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref HTTP=127.0.0.1:1080
delref HTTP=127.0.0.1:2080
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
apply

restart

сделайте свежий образ автозапуска.

[bombezne]

скрипт выполнил, образ автозапуска прикрепил

1-34_2017-06-03_21-58-25.7z

[regist]

что с проблемой?

[bombezne]

Прогнал полную проверку, KES10 больше не ругается. Проблема решена, БОЛЬШОЕ СПАСИБО!!! Я так понимаю заражены были файлы обновлений Google Chrome? 

[regist]

Нет, это бесфайловая малварь. А от гугла просто хвосты оставшиеся после обновления до новой версии почистили.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.