Trojan.Multi.CertStor.a

[alex_moore]

Ребята, привет!

 

Проблема с этим трояном. Стоит касперский фри, выдает постоянно, что нашел его, перегружается, но потом сообщение опять выскакивает.

 

Логи прикрепляю.

 

Надеюсь на вашу помощь.

CollectionLog-2018.01.19-14.27.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\moore\AppData\Roaming\threatdatabase\tdget.exe', '');
 QuarantineFile('C:\windows\TEMP\g27AC.tmp.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Threat Base Loader" /F', 0, 15000, true);
 DeleteFile('C:\Users\moore\AppData\Roaming\threatdatabase\tdget.exe', '32');
 DeleteFile('C:\windows\TEMP\g27AC.tmp.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'LAPTOP-J0DE1C72');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O7 - Policy: [Untrusted Certificate] Fix all items from the log

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[alex_moore]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\moore\AppData\Roaming\threatdatabase\tdget.exe', '');
 QuarantineFile('C:\windows\TEMP\g27AC.tmp.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Threat Base Loader" /F', 0, 15000, true);
 DeleteFile('C:\Users\moore\AppData\Roaming\threatdatabase\tdget.exe', '32');
 DeleteFile('C:\windows\TEMP\g27AC.tmp.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'LAPTOP-J0DE1C72');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O7 - Policy: [Untrusted Certificate] Fix all items from the log

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

В hijack пофиксил, карантин отправил.

 

Ответ:

-------------

KLAN-7539557010

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

 

No information about the specified files can be found in the antivirus databases:

tdget.exe

g27AC.tmp.exe

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

----------------

 

Новые логи прикрепляю.

Спасибо!

CollectionLog-2018.01.19-15.24.zip

[Sandor]

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

 

 

Затем:

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[alex_moore]

Готово, лог прикладываю.

LAPTOP-J0DE1C72_2018-01-19_15-52-09.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  ;---------command-block---------
  delref %SystemDrive%\USERS\MOORE\APPDATA\ROAMING\\THREATDATABASE\TDGET.EXE
  delref %SystemDrive%\USERS\MOORE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\GUEST PROFILE\EXTENSIONS\PBDPAJCDGKNPENDPMECAFMOPKNEFAFHA\1.1.3\QUICK SEARCHER
  delref %SystemDrive%\USERS\MOORE\APPDATA\ROAMING\\THREATDATABASE\\TDGET.EXE
  apply
  
  zoo %SystemRoot%\TEMP\G7416.TMP.EXE
  bl 87159F834A1B7822670E24CC1DFCEAED 209408
  addsgn BA6F9BB2BD0949720B9C2D754C2164FBDA75303AC9A957FB69E38D3789E5B8B336A819573E1D1682D4952A454616B6EFC505E8721D5178962473A4EF8F85E653 8 Win64:Malware-gen [Avast] 7
  
  chklst
  delvir
  
  regt 14
  czoo
  deltmp
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

 

Соберите и прикрепите свежий лог uVS.

[alex_moore]

Файл отправил на почту, лог прикрепляю.

 

Поражаюсь вашим знаниям ))

 

 

LAPTOP-J0DE1C72_2018-01-19_17-28-25.7z

[Sandor]

У Вас установлена Malwarebytes, версия 3.3.1.2183

 

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

[alex_moore]

странное дело.

Изначально при запуске mbam выскакивала блокировка в целях защиты, при попытке запуска от администратора вообще ничего не происходит

проблема возникла еще во время установки malware, сразу выкинулась блокировка администратора. Запустил установку от имени администратора через командную сторку, тогда установка прошла.

 

При попытке запуска либо блокировка win, либо если через администратора запускать ничего не открывает.

Посмотрел инструкции здесь https://safezone.cc/threads/problemy-s-malwarebytes-anti-malware-i-sposoby-ix-reshenija.11321/

 

Rkill не помог, ветка реестра тоже.

Запустилось все только через хамелеон. Поставился malware с очень странным языком 2.2.1.1043, еле изменил язык на русский

 

Лог из него выгрузился в таком виде. Надеюсь, подойдет.

1222.zip

Изменено 19 января, 2018 пользователем alex_moore

[regist]

1)- выполните такой скрипт в AVZ

begin
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Windows\Temp\g7D00.tmp.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ пришлите на почту , укажите  в письме ссылку на тему, в которой просили прислать файлы.


2) Удалите в MBAM всё кроме

Trojan.Wdfload.TskLnk, C:\Program Files\WebDEA Movie Converter\WebDEA Movie Converter.dll, , [54ae8838eacd49ed1d63e6c711ef49b7], 
Adware.Tuto4PC, C:\Program Files (x86)\Multitimer\Multitimer.exe, , [d32f9a264275b08605e945db35cb16ea], 

если эти файлы не знакомы, то их тоже удалите.

[alex_moore]

Скрипт выполнил, файл отправил.

 

В mbam удалил все, в том числе и два указанных файла.

 

Спасибо!

[Sandor]

Соберите свежий CollectionLog с помощью Автологера.

[alex_moore]

Готово.

 

Пока никаких проявлений не видно.

CollectionLog-2018.01.20-17.58.zip

[regist]

1) "Пофиксите" в HijackThis:

O1 - Hosts: Reset contents to default
O2 - HKLM\..\BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\OCHelper.dll (file missing)
O2-32 - HKLM\..\BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll (file missing)
O2-32 - HKLM\..\BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files (x86)\Microsoft Office\root\Office16\GROOVEEX.DLL (file missing)
O8 - HKCU\..\Extra context menu item: E&xport to Microsoft Excel - C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O8 - HKCU\..\Extra context menu item: Se&nd to OneNote - C:\Program Files (x86)\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing)
O9 - Extra 'Tools' menuitem: Lync Click to Call - HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\OCHelper.dll (file missing)
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\ONBttnIELinkedNotes.dll (file missing)
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\ONBttnIE.dll (file missing)
O9 - Extra button: Lync Click to Call - HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\OCHelper.dll (file missing)
O9 - Extra button: OneNote Lin&ked Notes - HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\ONBttnIELinkedNotes.dll (file missing)
O9 - Extra button: Send to OneNote - HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\ONBttnIE.dll (file missing)
O9-32 - Extra 'Tools' menuitem: Lync Click to Call - HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll (file missing)
O9-32 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll (file missing)
O9-32 - Extra 'Tools' menuitem: Se&nd to OneNote - HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIE.dll (file missing)
O9-32 - Extra button: Lync Click to Call - HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll (file missing)
O9-32 - Extra button: OneNote Lin&ked Notes - HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll (file missing)
O9-32 - Extra button: Send to OneNote - HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIE.dll (file missing)
O21-32 - ShellIconOverlayIdentifiers: Microsoft SkyDrive Pro Icon Overlay 1 (ErrorConflict) - {8BA85C75-763B-4103-94EB-9470F12FE0F7} - C:\Program Files (x86)\Microsoft Office\root\Office16\GROOVEEX.DLL (file missing)
O21-32 - ShellIconOverlayIdentifiers: Microsoft SkyDrive Pro Icon Overlay 2 (SyncInProgress) - {CD55129A-B1A1-438E-A425-CEBC7DC684EE} - C:\Program Files (x86)\Microsoft Office\root\Office16\GROOVEEX.DLL (file missing)
O21-32 - ShellIconOverlayIdentifiers: Microsoft SkyDrive Pro Icon Overlay 3 (InSync) - {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} - C:\Program Files (x86)\Microsoft Office\root\Office16\GROOVEEX.DLL (file missing)
O22 - Task: (disabled) \Fujitsu\StatusPanelSwitch\ShowDialogToRestartSuspendPrevention - "C:\Program Files\Fujitsu\StatusPanelSwitch\StatusPanelSwitch.exe /ShowRestartingModeDialog (file missing)
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload mininterval:2880 (file missing)
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload (file missing)
O22 - Task: \Microsoft\Office\Office Automatic Updates - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe /update SCHEDULEDTASK displaylevel=False (file missing)
O22 - Task: \Microsoft\Office\Office ClickToRun Service Monitor - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe /WatchService (file missing)
O22 - Task: \Microsoft\Office\OfficeBackgroundTaskHandlerLogon - C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe (file missing)
O22 - Task: \Microsoft\Office\OfficeBackgroundTaskHandlerRegistration - C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe (file missing)

 

2) Сделайте свежие логи Автотологером.

[alex_moore]

Сделано.

 

CollectionLog-2018.01.20-19.18.zip