Kuriyama.exe, kru.exe - ловятся антивирусом, но возвращаются снова

[Mef137]

Здравствуйте. Ни с того ни с сего антивирус поймал на распаковке архив 778899.exe, прописавшийся по адресу С:\Program Data\AppData. Там же обнаружил ещё два файла - sourse.exe и kru.exe. Запустил проверку, вычистил эту папку, но вскоре снова сработала тревога. Несколько этапов проверок и чисток последовательно выявили следующих гадов (взято из отчёта MalwareBytes):

 

- C:\PROGRAMDATA\WINDOWSSYSTEM.EXE (который и отображался в процессах как Kuriyama.exe)

- C:\WINDOWS\SYSTEM32\TASKS\Windows\WindowsRun

- C:\WINDOWS\SYSTEM32\TASKS\Windows\RecoveryProgram

 

А также следующие строки реестра - все по адресу HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\:

 

\TREE\Windows\RecoveryProgram
\TASKS\{52AE225D-123B-4647-9A7B-A7D927640DD7}
\PLAIN\{52AE225D-123B-4647-9A7B-A7D927640DD7}
\TREE\Windows\WindowsRun
\TASKS\{A0DCFEEA-4824-4A14-A431-DAD1A3E27DCA}
\PLAIN\{A0DCFEEA-4824-4A14-A431-DAD1A3E27DCA}

 

В автозагрузке также периодически прописывается некий SystemRecovery c непонятным символом в графе команда (подозреваю, что это неправильно отображающийся японский иероглиф).

 

 

Все процессы и файлы своевременно ловятся и лечатся, но продолжают возвращаться по кругу. Причину не помогли устранить ни CureIt, ни MalwareBytes. Изначально пользовался стандартным антивирем Windows, но решил попробовать Kaspersky Total Security. Процесс обнаружения и лечения стал более эстетичным, но не более того.

 

Надеюсь на помощь, заранее благодарю.

 

 

 

CollectionLog-2017.12.27-22.51.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Mef137]

Готово.

FRST.7z

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S3 dcdbas; system32\DRIVERS\dcdbas64.sys [X]
S1 jeiputhq; \??\C:\Windows\system32\drivers\jeiputhq.sys [X]
S1 otnyhjpr; \??\C:\Windows\system32\drivers\otnyhjpr.sys [X]
Task: {2A4142D2-88A6-4AEB-9403-7F69533CC317} - \MicrosoftServis -> No File <==== ATTENTION
Task: {52AE225D-123B-4647-9A7B-A7D927640DD7} - \Windows\RecoveryProgram -> No File <==== ATTENTION
Task: {A0DCFEEA-4824-4A14-A431-DAD1A3E27DCA} - \Windows\WindowsRun -> No File <==== ATTENTION
Task: {DC971E53-5E77-40A6-8F37-892682BAB33F} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {F82C9BB9-6DF7-4B40-B44D-214F7147F249} - \System Idle -> No File <==== ATTENTION
Task: {0565C271-7FDD-4485-AE60-20DEA9344C99} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Mef137]

Готово.

Fixlog.txt

[thyrex]

Проблема на данный момент не проявляется?

[Mef137]

Прогнал быструю проверку MalwareBytes и выявил один Trojan.Agent.TslLnk по адресу C:\Users\Alex\AppData\Roaming\Windows\SYSTEM IDLE.EXE (раньше тоже иногда выскакивала). Поместил в карантин, удалил и перезагрузился. Новые проверки ничего не выявили - может быть случайный недобиток оставался?

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Mef137]

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 28.12.2017 21:45:24

Path starting: C:\Users\Alex\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Alex

VersionXML: 4.80is-19.12.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 06.11.2015 10:49:42

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe

Системный диск: C: ФС: [NTFS] Емкость: [118.9 Гб] Занято: [59.6 Гб] Свободно: [59.3 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18617 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен (Уровень 2)

Автоматическое обновление отключено

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138910 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3156016 Внимание! Скачать обновления

HotFix KB3156019 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3170455 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2016 x86 v.16.0.4266.1001

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Total Security (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Total Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Total Security (включен и обновлен)

Windows Defender (включен и устарел)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Total Security v.18.0.0.405

Kaspersky Secure Connection v.18.0.0.405

-------------------------- [ SecurityUtilities ] --------------------------

Malwarebytes, версия 3.3.1.2183 v.3.3.1.2183

Secunia PSI (3.0.0.11005) v.3.0.0.11005

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.40 v.7.40.103 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^

Java SE Development Kit 7 Update 76 v.1.7.0.760 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u152-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.19.0.0.241 Внимание! Скачать обновления

Adobe Flash Player 21 ActiveX v.21.0.0.242 Внимание! Скачать обновления

Adobe Flash Player 27 NPAPI v.27.0.0.183 Внимание! Скачать обновления

Adobe Acrobat Reader DC - Russian v.18.009.20050

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 57.0.2 (x64 ru) v.57.0.2

Mozilla Firefox 55.0.2 (x86 ru) v.55.0.2 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\Mozilla Firefox\firefox.exe v.57.0.2.6549

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 18.0.0\avp.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 18.0.0\avpui.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksde.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe v.18.0.0.405

C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.0.0.1284

Malwarebytes Service (MBAMService) - Служба работает

C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.1.0.595

Защитник Windows (WinDefend) - Служба работает

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.4f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

 

Сегодняшние проверки Касперским и MalwareBytes ничего необычного не выявили. Пока похоже на успех.

[thyrex]

Выполните рекомендованное. Только перед установкой обновлений для системы рекомендую создать точку восстановления, на всякий случай. Чтобы была возможность откатить изменения.