Trojan.Win64.Eroyee.amb

[vetal747]

Установлен антивирус Касперского. Он постоянно удаляет вирусы, но после перезагрузки они вновь лезут.

 

Прошу помочь

CollectionLog-2017.06.08-15.11.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\programdata\microsoft\windows\image\capcadf.tmp:ad:$DATA','');
 QuarantineFile('C:\Program Files (x86)\Ghiberk\reqaly.exe','');
 QuarantineFile('C:\Users\v.sergeeva\AppData\Local\terana\terana.dll','');
 QuarantineFile('C:\Users\v.sergeeva\AppData\Local\VNASRE\Snare.dll','');
 QuarantineFile('C:\Users\v.sergeeva\AppData\Roaming\WINSNARE\WinSnare.dll','');
 QuarantineFile('C:\Users\v.sergeeva\AppData\Local\glory\glory.dll','');
 TerminateProcessByName('c:\program files (x86)\bikaqrss\bikaq.exe');
 QuarantineFile('c:\program files (x86)\bikaqrss\bikaq.exe','');
 DeleteFile('c:\program files (x86)\bikaqrss\bikaq.exe','32');
 DeleteFile('C:\Users\v.sergeeva\AppData\Local\glory\glory.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\glory\Parameters','ServiceDll');
 DeleteFile('C:\Users\v.sergeeva\AppData\Roaming\WINSNARE\WinSnare.dll','32');
 DeleteFile('C:\Users\v.sergeeva\AppData\Local\VNASRE\Snare.dll','32');
 DeleteFile('C:\Users\v.sergeeva\AppData\Local\terana\terana.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel','64');
 DeleteFile('C:\Windows\system32\Tasks\Chhuiedreikay Center','64');
 DeleteFile('C:\Program Files (x86)\Ghiberk\reqaly.exe','32');
 DeleteFile('c:\programdata\microsoft\windows\image\capcadf.tmp:ad:$DATA','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[vetal747]

Скрипт выполнил, quarantine.zip отправил в адрес.

Прилагаю новый лог Autologger

 

 

KLAN-6376860264

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
capcadf.tmp:ad:$DATA
reqaly.exe
Snare.dll
glory.dll
bikaq.exe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=56002

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

CollectionLog-2017.06.08-16.36.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[vetal747]

Готово

.

FRST.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellExecuteHooks: No Name - {942E1874-A5AD-11E6-9048-64006A5CFC23} -  -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Tcpip\Parameters: [DhcpNameServer] 0.0.0.0
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1480060222&z=34468f3ef76c32bb1fedf55g5zfb3e2e1q3eao0oco&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1480060222&z=34468f3ef76c32bb1fedf55g5zfb3e2e1q3eao0oco&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1480060222&z=34468f3ef76c32bb1fedf55g5zfb3e2e1q3eao0oco&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1480060222&z=34468f3ef76c32bb1fedf55g5zfb3e2e1q3eao0oco&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
HKU\S-1-5-21-391302576-3253532352-4026852137-1161\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484041545&z=8e80214ca1c978292df6669g1z8b4zae1z8g5w6zcw&from=archer1028&uid=ST500DM002-1BD142_S2AMFF78
HKU\S-1-5-21-391302576-3253532352-4026852137-1161\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484041545&z=8e80214ca1c978292df6669g1z8b4zae1z8g5w6zcw&from=archer1028&uid=ST500DM002-1BD142_S2AMFF78
HKU\S-1-5-21-391302576-3253532352-4026852137-1161\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1480664053&z=05d4d47ae7487f9e504f49bg8z6b5e5q5q5z2e7wfc&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
HKU\S-1-5-21-391302576-3253532352-4026852137-1161\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1480664053&z=05d4d47ae7487f9e504f49bg8z6b5e5q5q5z2e7wfc&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1480060222&z=34468f3ef76c32bb1fedf55g5zfb3e2e1q3eao0oco&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1480060222&z=34468f3ef76c32bb1fedf55g5zfb3e2e1q3eao0oco&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1480060222&z=34468f3ef76c32bb1fedf55g5zfb3e2e1q3eao0oco&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1480060222&z=34468f3ef76c32bb1fedf55g5zfb3e2e1q3eao0oco&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
SearchScopes: HKU\S-1-5-21-391302576-3253532352-4026852137-1161 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1480664053&z=05d4d47ae7487f9e504f49bg8z6b5e5q5q5z2e7wfc&from=che0812&uid=ST500DM002-1BD142_S2AMFF78&q={searchTerms}
BHO-x32: No Name -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1488462734&z=3c8f91b40a6f3922e90cd61g5z4b5bcz5q5ofm9cbz&from=ggg0221&uid=ST500DM002-1BD142_S2AMFF78
FF ProfilePath: C:\Users\v.sergeeva\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\peas58gh.default\Profiles\peas58gh.default [not found] <==== ATTENTION
FF ProfilePath: C:\Users\v.sergeeva\AppData\Roaming\Firefox\Firefox\naweriweentcofise\Profiles\peas58gh.default\Profiles\peas58gh.default [not found] <==== ATTENTION
FF SearchPlugin: C:\Users\v.sergeeva\AppData\Roaming\Mozilla\Firefox\Profiles\peas58gh.default\searchplugins\5nkdc338.xml [2016-11-17]
FF SearchPlugin: C:\Users\v.sergeeva\AppData\Roaming\Mozilla\Firefox\Profiles\peas58gh.default\searchplugins\amisites.xml [2016-12-26]
FF SearchPlugin: C:\Users\v.sergeeva\AppData\Roaming\Mozilla\Firefox\Profiles\peas58gh.default\searchplugins\ourluckysites.xml [2017-06-01]
FF SearchPlugin: C:\Users\v.sergeeva\AppData\Roaming\Mozilla\Firefox\Profiles\peas58gh.default\searchplugins\startpageing123.xml [2017-03-30]
FF SearchPlugin: C:\Users\v.sergeeva\AppData\Roaming\Mozilla\Firefox\Profiles\peas58gh.default\searchplugins\xtbfxsae.xml [2016-12-22]
FF NewTab: Firefox\Firefox\Profiles\peas58gh.default -> hxxp://www.trotux.com/?z=2fc9981548fe0a4444007e2g8z3m1tec0q3b4bfqem&from=clc&uid=ST500DM002-1BD142_S2AMFF78&type=hp
FF Homepage: Firefox\Firefox\Profiles\peas58gh.default -> hxxp://www.searchinme.com/
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> backup.ftp", "127.0.0.1"
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> backup.ftp_port", 8080
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> backup.socks", "127.0.0.1"
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> backup.socks_port", 8080
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> backup.ssl", "127.0.0.1"
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> backup.ssl_port", 8080
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> ftp", "127.0.0.1"
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> ftp_port", 8080
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> http", "127.0.0.1"
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> http_port", 8080
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> no_proxies_on", ""
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> share_proxy_settings", true
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> socks", "127.0.0.1"
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> socks_port", 8080
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> socks_version", 4
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> ssl", "127.0.0.1"
FF NetworkProxy: Firefox\Firefox\Profiles\peas58gh.default -> ssl_port", 8080
FF SearchPlugin: C:\Users\v.sergeeva\AppData\Roaming\Firefox\Firefox\Profiles\peas58gh.default\searchplugins\5nkdc338.xml [2016-11-17]
FF SearchPlugin: C:\Users\v.sergeeva\AppData\Roaming\Firefox\Firefox\Profiles\peas58gh.default\searchplugins\startsearch.xml [2017-03-13]
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.ourluckysites.com/?type=sc&ts=1496313936&z=8a785166e9f5e7b0db5695fg6z6t5q5c1g9cbt8c0q&from=che0812&uid=ST500DM002-1BD142_S2AMFF78
CHR Extension: (Ultimate Discounter) - C:\Users\v.sergeeva\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2016-12-23]
CHR HKU\S-1-5-21-391302576-3253532352-4026852137-1161\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [njejanbdmdiolnclplphncklhcnjbgca] - hxxps://clients2.google.com/service/update2/crx
S2 3DM; C:\windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 3DM; C:\windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 Archer; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 BIT; C:\windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 BIT; C:\windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 CSHMDR; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 CSHMDR; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 glory; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 glory; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 GubedZL; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 GubZL; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 gwuorzge; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 gwuorzge; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 Kitty; C:\windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 Kitty; C:\windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 MSLN; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 MSLN; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 Rgutrerspy; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 Rgutrerspy; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 WinSAPSvc; C:\windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 WinSAPSvc; C:\windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
2017-06-01 13:45 - 2017-06-08 16:29 - 00000000 ____D C:\Users\v.sergeeva\AppData\Local\glory
2017-05-31 12:49 - 2017-06-05 16:13 - 00000000 ____D C:\Users\v.sergeeva\AppData\Local\terana
2017-05-31 12:49 - 2017-05-31 12:53 - 00000000 ____D C:\Program Files (x86)\Thberchdrlige
2017-05-23 16:59 - 2017-05-23 16:59 - 00000000 ____D C:\Users\v.sergeeva\AppData\Local\Yeahship
2017-05-10 16:50 - 2017-06-02 14:34 - 00000000 ____D C:\Users\Все пользователи\BIT
2017-05-10 16:50 - 2017-06-02 14:34 - 00000000 ____D C:\ProgramData\BIT
2017-05-10 09:16 - 2017-06-08 16:29 - 00000000 ____D C:\Users\v.sergeeva\AppData\Local\VNASRE
2017-04-26 16:51 - 2017-06-05 16:10 - 00000000 ____D C:\Users\v.sergeeva\AppData\Local\background_fault
2017-04-19 09:02 - 2017-04-19 18:01 - 00000000 ____D C:\Users\v.sergeeva\AppData\Local\3DM
2017-04-18 09:14 - 2017-05-05 16:32 - 00000000 ____D C:\Users\v.sergeeva\AppData\Local\Kitty
2017-04-17 12:49 - 2017-04-17 12:49 - 00000000 ____D C:\Windows\Update
2017-04-14 10:53 - 2017-04-14 10:53 - 00000000 ____D C:\Program Files (x86)\Terela
2017-04-12 14:29 - 2017-04-12 14:29 - 00000000 ____D C:\Program Files (x86)\Yeahship
2017-04-06 12:28 - 2017-04-17 16:13 - 00000000 ____D C:\Users\v.sergeeva\AppData\Roaming\SNARER
2017-04-05 16:06 - 2017-04-06 14:44 - 00000000 ____D C:\Users\v.sergeeva\AppData\Local\clean
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [360536]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450]
AlternateDataStreams: C:\ProgramData\Temp:58A5270D [122]
AlternateDataStreams: C:\Users\Все пользователи\Temp:58A5270D [122]
Task: {46ECAEE0-DDC7-4ADE-9E94-D16AF97A01E3} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) <==== ATTENTION
Task: {685A6403-5743-4DF2-9FE0-6A6A864CC973} - \Chhuiedreikay Center -> No File <==== ATTENTION
Task: {71A95115-742F-4D44-AEF2-B13586D01325} - \WinTOOL -> No File <==== ATTENTION
Task: {74ED540E-C2CF-4305-A0E7-4CD0B69DA4BA} - \BikaQ_FetchAndUpgrade_CanBeDel -> No File <==== ATTENTION
Task: {787FA2AB-0A94-4096-84A5-C5D1117249B8} - \Milimili -> No File <==== ATTENTION
Task: {B969CA4B-555E-468F-A99C-A1169DDFD014} - \Windows-PG -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[vetal747]

Все выполнил, файл Fixlog.txt прикрепил

Fixlog.txt

[thyrex]

Проблема решена?

[vetal747]

Спасибо за помощь. Проблема решена

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Скопируйте содержимое файла в свое следующее сообщение.