Перейти к содержанию

Вирусы MEM:Rootkit.Win64.EquationDrug.a и MEM:Trojan.Win64.EquationDrug.gen


Рекомендуемые сообщения

Здравствуйте. Начну по порядку. С 6 марта (а возможно и раньше) начались проблемы с вирусами, их начал обнаруживать KIS 2015. Сначала касперский обнаружил C:\Windows\HhSm\Client.exe    HEUR:Trojan.Win32.Blouiroet.gen. В данной папке были ещё файлы, которые после лечения касперским, я удалил вручную т.к. они остались. Эти файлы:

  • debug.txt
  • parameters.ini
  • restart.bat
Содержание файла debug.txt (отрывок):
06.03.2018 21:00:58 | Running service HS ON-ME  [v. 78]...
06.03.2018 21:00:58 | -Service = C:\Windows\HhSm\Client.exe
06.03.2018 21:00:58 | -Loading C:\Windows\HhSm\parameters.ini...
 
Также был обнаружен в папке C:\windows\min\   вирус HostStore.exe и архив mainer.zip
В папке C:\ProgramData\     вирус temp1.exe
 
Позднее KIS 2015 начал обнаруживать вирус в System Memory сначала MEM:Rootkit.Win64.EquationDrug.a  позднее MEM:Trojan.Win64.EquationDrug.gen. Каспер лечит эти вирусы с перезагрузкой и лечит успешно, НО они появляются снова, с периодичностью 1-2 раза в сутки.
 
Всё происходит в следующей последовательности: Открываю браузер Google Chrome, после посещения нескольких сайтов (сайты доверенные) появляются сообщения "Заблокирован переход по вредоносной ссылке". Этих сообщений 5-10 с периодичностью. Спустя некоторое время в System Memory обнаруживается вирус.
 
Помогите решить данную проблему.

CollectionLog-2018.03.08-15.30.zip

Ссылка на сообщение
Поделиться на другие сайты

1) Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

2) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

3) Поставьте актуальную версию KIS, то есть KIS 18.

Ссылка на сообщение
Поделиться на другие сайты

Обновление установил, компьютер просканировал. Логи прилагаются.

 

Есть предположение что вирус мог попасть в систему через Гугл Хром т.к. недели 2 - 3 назад он как-то странно обновлялся.

FRST.txt

Addition.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

 

 


Есть предположение что вирус мог попасть в систему через Гугл Хром
И это неверное предположение. А правильная версия вирус проник через уязвимость (разработанной АНБ) в самом виндоус, а эту уязвимость уже давным давно закрыли через обновления. Так что если бы во время ставили обновления безопасности, то вирус к вам бы не залез.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    2018-03-08 16:21 - 2018-03-08 18:08 - 000002849 _____ C:\ProgramData\temp1.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 
Ссылка на сообщение
Поделиться на другие сайты

Сделано. Лог прикрепил.

 

Иногда (как например 5 минут назад) в браузере при переходе на страницу появляется проверка на "Я не робот" в которой нужно отметить картинки с дорожными знаками и т.п. Скажите, это нормально? И что делать если она будет возникать очень часто?

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Высылаю отчёт.

 

Сделано. Лог прикрепил.

 

Иногда (как например 5 минут назад) в браузере при переходе на страницу появляется проверка на "Я не робот" в которой нужно отметить картинки с дорожными знаками и т.п. Скажите, это нормально? И что делать если она будет возникать очень часто?

Не ответили

AdwCleanerS0.txt

Ссылка на сообщение
Поделиться на другие сайты

 

 


Не ответили
запрос этого лога и было ответом на это. А ответ зависел уже от него.

Если программы от Mail.Ru не используете, то удалите всё найденное.

 

По поводу капчи, она появляется на сайтах принадлежащих гуглу или на каких? По логам ничего плохого не видно.

Ссылка на сообщение
Поделиться на другие сайты

Если программы от Mail.Ru не используете, то удалите всё найденное.

Пользуюсь игровым центром и Warface. Утилита определила их как ПНП. Я по инерции нажал "Очистить". Сегодня обнаружил что игровой центр и соответственно Warface не запускаются. На официальном сайте прочитал что файлы с карантина можно восстановить и описано как это сделать. НО когда я захожу в управление карантином там ничего НЕТ, хотя папка Quarantine присутствует в папке с отчётами. Помогите решить эту проблему.

 

По поводу капчи, она появляется на сайтах принадлежащих гуглу или на каких?

Да принадлежащих Гуглу.

Ссылка на сообщение
Поделиться на другие сайты

Пробовал восстановить со включённым антивирусником и без него. Результат один: файлы на карантине не отображаются(((

 

adwcleaner_7.0.8.0

Ссылка на сообщение
Поделиться на другие сайты

 

 


файлы на карантине не отображаются(((
да эта бага текущей версии.

Так что либо переустанавливайте программы, либо вручную восстанавливайте.

А в следующий раз будьте внимательней и без указания ничего не удаляйте.

 

По поводу капчи, видать кто-то из под сети вашего провайдера рассылает спам. А так как сейчас экономят на IP адресах, то для гугла вы все на одном адреса. Решение после капчи не очищать кукисы и ближайшее время просить больше не будет. Больше ничего со своей стороны сделать не сможете.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Спасибо. Вроде всё нормально. Вирус в System Memory не находит, окошки с заблокированными переходами по вредоносным ссылкам не появляются. Пару вопросов по софту которым лечил: Можно ли и в дальнейшем пользоваться AVZ и скриптом в предыдущем посте для поиска критических уязвимостей в системе или он уже будет не актуален? И удалять ли все остальные утилиты?

Ссылка на сообщение
Поделиться на другие сайты

Можно ли и в дальнейшем пользоваться AVZ и скриптом в предыдущем посте

Можно.

 

удалять ли все остальные утилиты?

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.
Ссылка на сообщение
Поделиться на другие сайты
  • 2 years later...
08.03.2018 в 17:20, regist сказал:

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Приветствую тебя, друг!

А что делать, если после установки данного обновления система не запускается? И лишь вариант ее запустить - сделать восстановление.
Стоит отметить, что никаких обновлений не установлено вообще с момента первой установки Windows, в центре обновлений полностью отрублено обновление (к сожалению, в свое время это все делал не я, теперь лишь расхлебываю последствия)

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

В этом разделе по правилам в теме может отвечать только ТС или Консультант (Модератор).

 

Если подозреваете вирусы, создайте свою тему и выполните правила.

Если проблема только с системой, задайте вопрос в техническом разделе.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Peter15
      От Peter15
      Послали сюда после лечения. 
      Что это может быть? Или памяти реально мало для такого ноута (HP 8470P)?
    • Peter15
      От Peter15
      Всего стоит 8 Гб. Пробовал открывать страницу на Ру-Борде в режиме "версии для печати" (остальных пользователей разлогинил), потом нажимаю сочетание для поиска на странице. Поиск идёт еле-еле, практически не идёт, при этом забивается вся память, браузер при этом особо не реагирует на манипуляции. Через некоторое время память сама освобождается примерно до 1,6 Гб и после этого снова начинает забиваться. Может ли это быть связанным с заражением?
      CollectionLog-2024.01.09-01.48.zip
    • Elenaaa
      От Elenaaa
      При быстрой проверке смутило то, что появилась кнопка "устранить" рядом с System Memory. Безопасно ли нажимать, и что вообще происходит в данной ситуации, если нажать?

    • anariel_m
      От anariel_m
      Начала очень быстро заполняться память диска С на ноутбуке, которой и так было немного, но в общем сейчас она вылетает в ноль с 2-3гб за минут 5-10. Скан malware и Microsoft security сначала ничего не дал вообще, потом Касперский нашел два трояна (Trojan.Multi.GenAutorunTask.c и HEUR:Trojan.Multi.GenBadur.gena), первый из них в системной памяти. Тот, который в памяти, он мог только лечить (считает, что вылечил), второй удалил. Повторное сканирование нашло ещё два вируса на диске D, их не было в первый раз, их вроде удалил. Под конец microsoft security тоже увидел какой-то троян, тоже удалил. Третье сканирование Касперским не нашло ничего, но память всё ещё забивается до нуля за 5 минут. 

      Буду очень благодарна за помощь.
      CollectionLog-2022.10.19-20.01.zip
    • Sapfira
      От Sapfira
      Несколько дней назад стала происходить полная жуть с системой. Стали постоянно падать вкладки браузера или полностью весь браузер (Firefox), по нескольку раз за день выскакивали синие экраны с ошибкой Memory Management (пару раз были с другими ошибками), постоянно повреждались системные файлы, которые с трудом чинились. А повреждались они после каждой перезагрузки компьютера. И с каждым днём всё хуже и хуже
      По всем этим симптомам определила, что возможны неполадки с оперативной памятью, но так как пока нет возможности проверить её Мемтестом, просканировала её программой ОССТ и сразу при запуске посыпались кучи ошибок, за 7 минут, 400 ошибок набежало и дальше бы набегали, просто тест остановила.

       
      Уже решила, что как только появится возможность воспользоваться Мемтестом, проверю ещё им, но в последние 2 дня, вроде как всё само наладилось. Вчера только один раз за день появился синий экран, браузер ни разу не упал, а системные файла легко починились. Сегодня, вообще никаких проблем нет, ни синих экранов, ни падений браузера, а системные файлы все целые. Снова запустила тест памяти в ОССТ и за 27 минут не появилось ни одной ошибки.

       
      И что это было? Понятно, что что-то с ОЗУ было, но сама она никак не могла починиться, если бы была битая. Есть ли теперь смысл прогонять Мемтестом?
       
       
×
×
  • Создать...