Вирусы MEM:Rootkit.Win64.EquationDrug.a и MEM:Trojan.Win64.EquationDrug.gen

[Рэклесс 0]

Здравствуйте. Начну по порядку. С 6 марта (а возможно и раньше) начались проблемы с вирусами, их начал обнаруживать KIS 2015. Сначала касперский обнаружил C:\Windows\HhSm\Client.exe    HEUR:Trojan.Win32.Blouiroet.gen. В данной папке были ещё файлы, которые после лечения касперским, я удалил вручную т.к. они остались. Эти файлы:

• debug.txt
• parameters.ini
• restart.bat

Содержание файла debug.txt (отрывок):

06.03.2018 21:00:58 | Running service HS ON-ME  [v. 78]...

06.03.2018 21:00:58 | -Service = C:\Windows\HhSm\Client.exe

06.03.2018 21:00:58 | -Loading C:\Windows\HhSm\parameters.ini...

 

Также был обнаружен в папке C:\windows\min\   вирус HostStore.exe и архив mainer.zip

В папке C:\ProgramData\     вирус temp1.exe

 

Позднее KIS 2015 начал обнаруживать вирус в System Memory сначала MEM:Rootkit.Win64.EquationDrug.a  позднее MEM:Trojan.Win64.EquationDrug.gen. Каспер лечит эти вирусы с перезагрузкой и лечит успешно, НО они появляются снова, с периодичностью 1-2 раза в сутки.

 

Всё происходит в следующей последовательности: Открываю браузер Google Chrome, после посещения нескольких сайтов (сайты доверенные) появляются сообщения "Заблокирован переход по вредоносной ссылке". Этих сообщений 5-10 с периодичностью. Спустя некоторое время в System Memory обнаруживается вирус.

 

Помогите решить данную проблему.

CollectionLog-2018.03.08-15.30.zip

[regist 563]

1) Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

2) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

3) Поставьте актуальную версию KIS, то есть KIS 18.

[Рэклесс 0]

Обновление установил, компьютер просканировал. Логи прилагаются.

 

Есть предположение что вирус мог попасть в систему через Гугл Хром т.к. недели 2 - 3 назад он как-то странно обновлялся.

FRST.txt

Addition.txt

Shortcut.txt

[regist 563]

 

 

Есть предположение что вирус мог попасть в систему через Гугл Хром

И это неверное предположение. А правильная версия вирус проник через уязвимость (разработанной АНБ) в самом виндоус, а эту уязвимость уже давным давно закрыли через обновления. Так что если бы во время ставили обновления безопасности, то вирус к вам бы не залез.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  2018-03-08 16:21 - 2018-03-08 18:08 - 000002849 _____ C:\ProgramData\temp1.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Рэклесс 0]

Сделано. Лог прикрепил.

 

Иногда (как например 5 минут назад) в браузере при переходе на страницу появляется проверка на "Я не робот" в которой нужно отметить картинки с дорожными знаками и т.п. Скажите, это нормально? И что делать если она будет возникать очень часто?

Fixlog.txt

[regist 563]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Рэклесс 0]

Высылаю отчёт.

 

Сделано. Лог прикрепил.

 

Иногда (как например 5 минут назад) в браузере при переходе на страницу появляется проверка на "Я не робот" в которой нужно отметить картинки с дорожными знаками и т.п. Скажите, это нормально? И что делать если она будет возникать очень часто?

Не ответили

AdwCleanerS0.txt

[regist 563]

 

 

Не ответили

запрос этого лога и было ответом на это. А ответ зависел уже от него.

Если программы от Mail.Ru не используете, то удалите всё найденное.

 

По поводу капчи, она появляется на сайтах принадлежащих гуглу или на каких? По логам ничего плохого не видно.

[Рэклесс 0]

Если программы от Mail.Ru не используете, то удалите всё найденное.

Пользуюсь игровым центром и Warface. Утилита определила их как ПНП. Я по инерции нажал "Очистить". Сегодня обнаружил что игровой центр и соответственно Warface не запускаются. На официальном сайте прочитал что файлы с карантина можно восстановить и описано как это сделать. НО когда я захожу в управление карантином там ничего НЕТ, хотя папка Quarantine присутствует в папке с отчётами. Помогите решить эту проблему.

 

По поводу капчи, она появляется на сайтах принадлежащих гуглу или на каких?

Да принадлежащих Гуглу.

[Рэклесс 0]

Пробовал восстановить со включённым антивирусником и без него. Результат один: файлы на карантине не отображаются(((

 

adwcleaner_7.0.8.0

[regist 563]

 

 

файлы на карантине не отображаются(((

да эта бага текущей версии.

Так что либо переустанавливайте программы, либо вручную восстанавливайте.

А в следующий раз будьте внимательней и без указания ничего не удаляйте.

 

По поводу капчи, видать кто-то из под сети вашего провайдера рассылает спам. А так как сейчас экономят на IP адресах, то для гугла вы все на одном адреса. Решение после капчи не очищать кукисы и ближайшее время просить больше не будет. Больше ничего со своей стороны сделать не сможете.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Рэклесс 0]

Спасибо. Вроде всё нормально. Вирус в System Memory не находит, окошки с заблокированными переходами по вредоносным ссылкам не появляются. Пару вопросов по софту которым лечил: Можно ли и в дальнейшем пользоваться AVZ и скриптом в предыдущем посте для поиска критических уязвимостей в системе или он уже будет не актуален? И удалять ли все остальные утилиты?

[Sandor 845]

Можно ли и в дальнейшем пользоваться AVZ и скриптом в предыдущем посте

Можно.

 

удалять ли все остальные утилиты?

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

[Amney 0]

08.03.2018 в 17:20, regist сказал:

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Приветствую тебя, друг!

А что делать, если после установки данного обновления система не запускается? И лишь вариант ее запустить - сделать восстановление.
Стоит отметить, что никаких обновлений не установлено вообще с момента первой установки Windows, в центре обновлений полностью отрублено обновление (к сожалению, в свое время это все делал не я, теперь лишь расхлебываю последствия)

[Sandor 845]

Здравствуйте!

 

В этом разделе по правилам в теме может отвечать только ТС или Консультант (Модератор).

 

Если подозреваете вирусы, создайте свою тему и выполните правила.

Если проблема только с системой, задайте вопрос в техническом разделе.