Перейти к содержанию

Вирусы MEM:Rootkit.Win64.EquationDrug.a и MEM:Trojan.Win64.EquationDrug.gen


Рекомендуемые сообщения

Здравствуйте. Начну по порядку. С 6 марта (а возможно и раньше) начались проблемы с вирусами, их начал обнаруживать KIS 2015. Сначала касперский обнаружил C:\Windows\HhSm\Client.exe    HEUR:Trojan.Win32.Blouiroet.gen. В данной папке были ещё файлы, которые после лечения касперским, я удалил вручную т.к. они остались. Эти файлы:

  • debug.txt
  • parameters.ini
  • restart.bat
Содержание файла debug.txt (отрывок):
06.03.2018 21:00:58 | Running service HS ON-ME  [v. 78]...
06.03.2018 21:00:58 | -Service = C:\Windows\HhSm\Client.exe
06.03.2018 21:00:58 | -Loading C:\Windows\HhSm\parameters.ini...
 
Также был обнаружен в папке C:\windows\min\   вирус HostStore.exe и архив mainer.zip
В папке C:\ProgramData\     вирус temp1.exe
 
Позднее KIS 2015 начал обнаруживать вирус в System Memory сначала MEM:Rootkit.Win64.EquationDrug.a  позднее MEM:Trojan.Win64.EquationDrug.gen. Каспер лечит эти вирусы с перезагрузкой и лечит успешно, НО они появляются снова, с периодичностью 1-2 раза в сутки.
 
Всё происходит в следующей последовательности: Открываю браузер Google Chrome, после посещения нескольких сайтов (сайты доверенные) появляются сообщения "Заблокирован переход по вредоносной ссылке". Этих сообщений 5-10 с периодичностью. Спустя некоторое время в System Memory обнаруживается вирус.
 
Помогите решить данную проблему.

CollectionLog-2018.03.08-15.30.zip

Ссылка на сообщение
Поделиться на другие сайты

1) Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

2) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

3) Поставьте актуальную версию KIS, то есть KIS 18.

Ссылка на сообщение
Поделиться на другие сайты

Обновление установил, компьютер просканировал. Логи прилагаются.

 

Есть предположение что вирус мог попасть в систему через Гугл Хром т.к. недели 2 - 3 назад он как-то странно обновлялся.

FRST.txt

Addition.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

 

 


Есть предположение что вирус мог попасть в систему через Гугл Хром
И это неверное предположение. А правильная версия вирус проник через уязвимость (разработанной АНБ) в самом виндоус, а эту уязвимость уже давным давно закрыли через обновления. Так что если бы во время ставили обновления безопасности, то вирус к вам бы не залез.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    2018-03-08 16:21 - 2018-03-08 18:08 - 000002849 _____ C:\ProgramData\temp1.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 
Ссылка на сообщение
Поделиться на другие сайты

Сделано. Лог прикрепил.

 

Иногда (как например 5 минут назад) в браузере при переходе на страницу появляется проверка на "Я не робот" в которой нужно отметить картинки с дорожными знаками и т.п. Скажите, это нормально? И что делать если она будет возникать очень часто?

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Высылаю отчёт.

 

Сделано. Лог прикрепил.

 

Иногда (как например 5 минут назад) в браузере при переходе на страницу появляется проверка на "Я не робот" в которой нужно отметить картинки с дорожными знаками и т.п. Скажите, это нормально? И что делать если она будет возникать очень часто?

Не ответили

AdwCleanerS0.txt

Ссылка на сообщение
Поделиться на другие сайты

 

 


Не ответили
запрос этого лога и было ответом на это. А ответ зависел уже от него.

Если программы от Mail.Ru не используете, то удалите всё найденное.

 

По поводу капчи, она появляется на сайтах принадлежащих гуглу или на каких? По логам ничего плохого не видно.

Ссылка на сообщение
Поделиться на другие сайты

Если программы от Mail.Ru не используете, то удалите всё найденное.

Пользуюсь игровым центром и Warface. Утилита определила их как ПНП. Я по инерции нажал "Очистить". Сегодня обнаружил что игровой центр и соответственно Warface не запускаются. На официальном сайте прочитал что файлы с карантина можно восстановить и описано как это сделать. НО когда я захожу в управление карантином там ничего НЕТ, хотя папка Quarantine присутствует в папке с отчётами. Помогите решить эту проблему.

 

По поводу капчи, она появляется на сайтах принадлежащих гуглу или на каких?

Да принадлежащих Гуглу.

Ссылка на сообщение
Поделиться на другие сайты

Пробовал восстановить со включённым антивирусником и без него. Результат один: файлы на карантине не отображаются(((

 

adwcleaner_7.0.8.0

Ссылка на сообщение
Поделиться на другие сайты

 

 


файлы на карантине не отображаются(((
да эта бага текущей версии.

Так что либо переустанавливайте программы, либо вручную восстанавливайте.

А в следующий раз будьте внимательней и без указания ничего не удаляйте.

 

По поводу капчи, видать кто-то из под сети вашего провайдера рассылает спам. А так как сейчас экономят на IP адресах, то для гугла вы все на одном адреса. Решение после капчи не очищать кукисы и ближайшее время просить больше не будет. Больше ничего со своей стороны сделать не сможете.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Спасибо. Вроде всё нормально. Вирус в System Memory не находит, окошки с заблокированными переходами по вредоносным ссылкам не появляются. Пару вопросов по софту которым лечил: Можно ли и в дальнейшем пользоваться AVZ и скриптом в предыдущем посте для поиска критических уязвимостей в системе или он уже будет не актуален? И удалять ли все остальные утилиты?

Ссылка на сообщение
Поделиться на другие сайты

Можно ли и в дальнейшем пользоваться AVZ и скриптом в предыдущем посте

Можно.

 

удалять ли все остальные утилиты?

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.
Ссылка на сообщение
Поделиться на другие сайты
  • 2 years later...
08.03.2018 в 17:20, regist сказал:

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Приветствую тебя, друг!

А что делать, если после установки данного обновления система не запускается? И лишь вариант ее запустить - сделать восстановление.
Стоит отметить, что никаких обновлений не установлено вообще с момента первой установки Windows, в центре обновлений полностью отрублено обновление (к сожалению, в свое время это все делал не я, теперь лишь расхлебываю последствия)

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

В этом разделе по правилам в теме может отвечать только ТС или Консультант (Модератор).

 

Если подозреваете вирусы, создайте свою тему и выполните правила.

Если проблема только с системой, задайте вопрос в техническом разделе.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Mikhail_Absorber
      Добрый день!
      Возникает проблема с бесконечным сканированием, когда запускаю KVRT.
      На скриншоте - пример, на самом деле проверка System Memory продолжалась более 12 часов, и никуда не сдвинулась. Более того, когда пытаюсь завершить проверку - программа просто зависает.
      Подскажите, пожалуйста, в чем может быть проблема.


    • От Rarianth
      Вставил оперативную память на 4гб в компьютер, и почему то высвечивается 2гб. Пробовал вставлять в разные слоты.

    • От Sapfira
      Хотела проверить память Memtestom, но из-за большого объёма проверка получается очень медленной. За 3,5 часа прошло только 1,5 прохода, а надо не меньше 5-ти.
      Думаю, в следующий раз часов на 10-12 запустить, но что-то кажется, что всё равно мало проходов получится.
      Кто проверял 16 ГБ памяти, сколько времени уходит на 5-7 проходов?
    • От ArataKun
      Добрый день участники форума.
      У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение. Бывает, что оно не появляется сразу после загрузки, но если я запущу сканирование системной памяти, то предупреждение снова появится. Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
      Софт стоит следующий:
      Антивирус: Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows, версия 10.2.4.674
      ОС: Windows XP SP3 (Build 2600)
       
      Ругается на троян Trojan.Win32.Agent.gen
       
      Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.
       
       
      CollectionLog-2016.12.20-23.38.zip

    • От nikhopka
      Не могу удалить Trojan.Multi.GenAutorunWMI.a из оперативки сервера 2008R2, который круглосуточно в работе (мониторинг, можно только перезагружаться, отключать от сети - не вариант).
      После лечения через KVRT троян пропадает неделю и снова появляется. Также постоянно удаляется hosts.
      Что он делает я вроде выяснила: складывает биткоинмайнер smss.exe от "my star" в C:/Windows/Temp и запускает его, при чём тот начинает грузить 50%ЦП.
      Сам майнер заблочила штатными средствами.
       
      Пробовала чистить Malwarebytes, Cureit, KVRT, AVZ. На сервере был установлен MS Essential, который видел только майнер, в самой оперативке - ничего.
      CollectionLog-2020.03.22-20.18.zip
×
×
  • Создать...