Пытается просочиться Trojan.Win32.Loskad.klu ака Win32/GenKryptik.BCTT

[Vad_n]

Доброго времени суток.

При попытке скачать файл через Opera, происходит подмена ссылки на (для безопасности любопытствующих переименовал начало, дабы ссыль была неактивной): 

ХТТПС*doc-00-08-docs.googleusercontent.com/docs/securesc/v74mm0tj1dn0394uc55dlgi93jarumg9/u30eg5qdn3r39187vo2cd5it4agakmjo/1510308000000/01303065628888443223/01651350294764194657/0B9LoZJsi4jp9Y2ZEeElnNEhXcUE?e=download&x-session-id=481ff9a1-23bd-4608-a2a7-086c8bd751ee

После чего прилетает архивчик archive-14-b69.zip или archive-0e-08f.zip и т.п. с упакованной заразой (описание): 

https://www.virustotal.com/ru/file/7e4cfb078da5355bc4699594b6cd8e0af70eb84977af0b18515c9c1c95d7b624/analysis/1510042817/

 

Kaspersky Virus Removal Tool и ESET утверждают, что на эту тему с системой все нормально.

CollectionLog-2017.11.10-18.10.zip

Изменено 10 ноября, 2017 пользователем Vad_n

[thyrex]

Выполните скрипт в AVZ

begin
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
 DeleteFile('C:\Windows\system32\Tasks\curl','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\curls','64');
 DeleteFile('C:\Windows\system32\Tasks\sysnet','64');
 DeleteFile('C:\Users\Администратор\AppData\Local\sysnet\sysnet.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Профиксите в HiJack из папки Autologger

begin
O17 - HKLM\System\CSS\Services\Tcpip\..\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: NameServer = 82.202.226.203

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Vad_n]

Выполнил как Вы рекомендовали.

Выполнение скрипта > Запуск HiJack от админа > Выполнение скрипта > Перерезагрузка > Отключение ESET и сбор логов.

 

З/Ы: Браузеры пока не тестировал на скачку.

CollectionLog-2017.11.10-19.22.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Vad_n]

Готово.

FRST.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
Tcpip\Parameters: [DhcpNameServer] 200.0.0.3 88.77.8.8 8.8.8.8
Tcpip\..\Interfaces\{72797DB2-84F7-4B72-BFF8-0FF1FF0AB6C4}: [DhcpNameServer] 200.0.0.3 88.77.8.8 8.8.8.8
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1400956979&from=cor&uid=ST3200827A_4ND3TBH4XXXX4ND3TBH4&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1400956979&from=cor&uid=ST3200827A_4ND3TBH4XXXX4ND3TBH4&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1400956979&from=cor&uid=ST3200827A_4ND3TBH4XXXX4ND3TBH4&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1400956979&from=cor&uid=ST3200827A_4ND3TBH4XXXX4ND3TBH4&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2102} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=113&systemid=102&v=a12349-249&apn_uid=3995294123454433&apn_dtid=BND102&o=APN10646&apn_ptnrs=AG7&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2102} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=113&systemid=102&v=a12349-249&apn_uid=3995294123454433&apn_dtid=BND102&o=APN10646&apn_ptnrs=AG7&q={searchTerms}
BHO-x32: No Name -> {251ef57c-0612-478c-978e-c86d3879caa4} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM-x32 - No Name - {251ef57c-0612-478c-978e-c86d3879caa4} -  No File
FF Extension: (TS Magic Player) - C:\Users\Администратор\AppData\Roaming\ACEStream\extensions\firefox\magicplayer@torrentstream.org [2014-09-14] [not signed]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml [2014-05-01]
CHR HKU\S-1-5-21-1797198668-3430559304-1541924516-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\836D~1\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2016-08-05]
CHR HKU\S-1-5-21-1797198668-3430559304-1541924516-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kpckgflgdapkpabemgkielbefdildaio] - C:\Users\Администратор\AppData\Roaming\ACEStream\extensions\chrome_new\magicplayer.crx <not found>
CHR HKU\S-1-5-21-1797198668-3430559304-1541924516-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
ContextMenuHandlers6: [jZip] -> [CC]{E677C7AD-2B66-4539-AA29-3771A1CFEDA9} =>  -> No File
ContextMenuHandlers1: [jZip] -> {E677C7AD-2B66-4539-AA29-3771A1CFEDA9} =>  -> No File
Task: {02820170-0ED1-40CD-9A72-C780353BAC0F} - \sysnet -> No File <==== ATTENTION
Task: {A3F7860E-51DE-40A4-A598-1ADE8880FB55} - \curl -> No File <==== ATTENTION
Task: {B1F2C1A8-06F9-4837-A91F-80183861EA42} - \curls -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:0348410E [150]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [130]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:0348410E [150]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [130]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
FirewallRules: [TCP Query User{7B7FADC1-8CA8-4E73-8E0F-A677404E0C8F}C:\users\администратор\appdata\roaming\acestream\player\ace_player.exe] => (Allow) C:\users\администратор\appdata\roaming\acestream\player\ace_player.exe
FirewallRules: [UDP Query User{FC9C53C4-2AF1-4329-823B-889BCEFA5A1B}C:\users\администратор\appdata\roaming\acestream\player\ace_player.exe] => (Allow) C:\users\администратор\appdata\roaming\acestream\player\ace_player.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Vad_n]

Исполнено! 

Fixlog.txt

[thyrex]

Проблема решена?

[Vad_n]

Уважаемый @thyrex, проблема решена!

Большое спасибо!

Всех благ!

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Vad_n]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 11.11.2017 13:46:40

Path starting: C:\Users\Администратор\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Администратор

VersionXML: 4.74is-05.11.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) HomeBasic Lang: Russian(0419)

Дата установки ОС: 14.12.2012 12:35:06

Статус лицензии: Windows® 7, HomeBasic edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe

Системный диск: C: ФС: [NTFS] Емкость: [1862.9 Гб] Занято: [1388.5 Гб] Свободно: [474.4 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 10.0.9200.16899 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен (Уровень 3)

Автоматическое обновление отключено

Дата установки обновлений: 2017-11-10 00:01:06

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

---------------------------- [ Antivirus_WMI ] ----------------------------

ESET Internet Security (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

ESET Файервол (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

ESET Internet Security (включен и обновлен)

Windows Defender (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

ESET Security v.11.0.144.0

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.50907.0

TeamViewer 11 v.11.0.66695 Внимание! Скачать обновления

VLC media player v.2.2.6

Архиватор WinRAR

OpenOffice.org 3.4.1 v.3.41.9593 Внимание! Скачать обновления

TeamViewer 11 (TeamViewer) - Служба остановлена

--------------------------------- [ IM ] ----------------------------------

Viber v.6.1.0.1623

Skype™ 7.37 v.7.37.103 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 111 (64-bit) v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 27 ActiveX v.27.0.0.183

Adobe Flash Player 27 NPAPI v.27.0.0.183

Adobe Flash Player 27 PPAPI v.27.0.0.183

Adobe Acrobat Reader DC - Russian v.17.012.20098

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 56.0.2 (x64 ru) v.56.0.2

Opera Stable 49.0.2725.34 v.49.0.2725.34 [+]

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Opera\49.0.2725.34\opera.exe v.49.0.2725.34

------------------ [ AntivirusFirewallProcessServices ] -------------------

C:\Program Files\ESET\ESET Security\egui.exe v.10.2.143.0

ESET Service (ekrn) - Служба работает

C:\Program Files\ESET\ESET Security\ekrn.exe v.10.2.143.0

Защитник Windows (WinDefend) - Служба работает

---------------------------- [ UnwantedApps ] -----------------------------

Ace Stream Media 2.2.4-next v.2.2.4-next Внимание! Нежелательное ПО. Описание программы.

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Установите указанные обновления и на этом закончим. Ace Stream Media удалите через Установку программ

[Vad_n]

Ок.

Плюс, я так понял на "Гостя" поставить пароль. Пройтись программой CCleaner (предполагаю, что не лишнее). И после всех вышеописанных процедур обновить Windows через службу автоматических обновлений и создать контрольную точку восстановления.

Еще раз Спасибо.

Изменено 11 ноября, 2017 пользователем Vad_n

[AlanStar]

Уважаемый thyrex, у меня на рабочем компьютере та же проблема с Win32/GenKryptik.AHZG.

Очень прошу, помогите с этой проблемой.

   

Addition.txt

FRST.txt

[Sandor]

@AlanStar, здравствуйте!

 

Создайте свою тему и выполните Порядок оформления запроса о помощи