Trojan.win32.Genome.amzxw. Trijan-Downloader.win.32.Brontok.c

[Хитаров_Тимур]

Добрый день! Я уже создавал тему по данной проблеме https://forum.kasperskyclub.ru/index.php?showtopic=54669&hl=. Все симптомы  те же : Блокирует диспетчер, черный экран (пока через диспетчер задач не запустишь explorer), и при вызове командной строки или выполнения команды в км сроке автоматичесская перезагрузка. Почитал описания трояна (Brontok) совпадает по всем пунктам, только вот откуда он снова выполз.

Отличия только в том что на данный момент чтобы ничего лишнего не удалить или не стереть я выполнил только указанные в правилах раздела действия. А именно: 1.Проверил Rescue Disk Касперский. Который нашел около 49 вирусов. Из разновидностей только две (Trojan.win32.Genome.amzxw. И Trijan-Downloader.win.32.Brontok.c). 2. Запустил сборщика логов (лог прилагается).

 

P.S. Текст письма предыдущей темы.

 

Здравствуйте! Помогите, объясните. Windows 7 В последнее время он очень долго делает любые действия от загрузки ОС до открытия файлов и папок. а теперь...

после приветствия и ввода пароля появляется пустой черный экран с единственным указателем мыши.

Через запуск диспетчера задач - новая задача - explorer.exe рабочий стол естественно появляется но... 1. Реестр заблокирован администратором. 2. И толи при запуске regedit то ли при запуске cmd  с правами администратора или возможно через некоторое время после ввода новой задачи (explorer.exe) ноутбук перезагружается.

В безопасном режиме та же годня. AVZ выполнил пункты раздела восстановления системы 5, 8, 11, 16, 17. и вуаля реестр разблокирован и пока что ничего не перезагружалось.

Помогите понять что где нужно поправить если это возможно и удалить (если это вирус) вирус начисто.

I-Worm/Brontok - AVG на другом пк определил вирус на флешке (скидывал на флешку лог)

CollectionLog-2017.06.28-11.00.zip

Изменено 28 июня, 2017 пользователем Хитаров_Тимур

[regist]

Здравствуйте!

 

Да, это классический пример бронтока

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com', '');
 DeleteFile('C:\Windows\Tasks\At1.job', '32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(8);
 ExecuteRepair(13);
 ExecuteRepair(17);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[regist]

@Хитаров_Тимур, не надо тут публиковать ничего вирусного! Ваше сообщение удалил.

Всё что нужно и так видно по логам, если что надо будет дополнительно попрошу.

[Хитаров_Тимур]

@regist, Извините, не знал.

[Хитаров_Тимур]

Сделал по инструкции. Но "Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь" Через форму не получилось провести. Пишет Ошибка при установлении защищённого соединения

Во время загрузки страницы соединение с сервером было сброшено.

    Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена.
    Пожалуйста, свяжитесь с владельцами веб-сайта и проинформируйте их об этой проблеме. когда нажимаю загрузить.

 

Сообщение касперского:

 

Благодарим за обращение в Антивирусную Лабораторию
Присланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.
В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=56231

Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Могу прикрепить сюда если необходимо.)))

CollectionLog-2017.06.28-14.21.zip

Изменено 28 июня, 2017 пользователем Хитаров_Тимур

[regist]

 

 

Через форму не получилось провести. Пишет Ошибка

закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.
 

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Хитаров_Тимур]

Отчет скана.

Scanin.txt

[regist]

1) Удалите всё в MBAM.

 

2) Меняйте все пароли, в первую очередь от почты.

[Хитаров_Тимур]

Я правильно понял удалить? Или карантин?

[regist]

Удалить и поместить в карантин это одно и тоже в контексте MBAM.

[Хитаров_Тимур]

Сделал. На этом всё?

[regist]

1) "Пофиксите" в HijackThis:

O20 - Winlogon Notify: cpcsp -  (file missing)
O20 - Winlogon Notify: itcwlnp -  (file missing)

 

2) MBAM деинсталируйте.

 

3) Пройдитесь утилитой Malwarebytes Clean Tool 3.1.0.1014.

 

4) Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Хитаров_Тимур]

К сожалению не дошел до этого. Установил Аваст и установил один из пакетов обновления безопасности, удалил MBAM. Перезагрузка и черный экран. Пробовал в безопасном, заходит. Отключил командой msconfig автозагрузки вдруг что то мешает тоже не помогло.

Что посоветуете? Откат системы?

Изменено 29 июня, 2017 пользователем Хитаров_Тимур

[regist]

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 

[Хитаров_Тимур]

В общем я сделал много чего, по делу или нет не уверен. Если вкратце то поставил все предложенные обновления (программа SecurityCheck by glax24 & Severnyj) Windows. Так обновления которые были в сделанном от вашего скрипта лог файле (4) Выполните скрипт в AVZ при наличии доступа в интернет Кроме тех что выдало ошибки (Error не найдено).

 

(3) Пройдитесь утилитой Malwarebytes Clean Tool 3.1.0.1014.) Этой программкой тоже прошелся. Все 4 пункта выполнил.

 

То что система не загружалась - мешал Аваст. Вернее с чем то не ладил и система то ли не загружалась вовсе толи делала это очень долго.

На всякий случай я прикреплю повторный лог и повторное выполнение скрипта в АВЗ. Уже второй раз заражается всё тем же вирусом, хочется быть уверенным что его не осталось)))

И благодарю вас за помощь! Спасибо большое!

 

CollectionLog-2017.06.29-18.52.zip

avz_log.txt