Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

MEM:Trojan.Win64.EquationDrug.gen не хочет отправляться на тот свет

MyLittleJackal

Автор MyLittleJackal
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

MyLittleJackal Новичок

MyLittleJackal

Опубликовано
Опубликовано

Данный вирусняк, не смотря на попытки Касперского убить его с перезагрузкой, возвращается раз разом. Полная проверка не выявляет ничего серьезного.

Не могу загрузить отчеты с AL и AWD: "Загрузка пропущена (Ошибка IO)"

Если возможно - заберите их отсюда, пожалуйста: https://yadi.sk/d/_1oW1h6W3Zu84g   https://yadi.sk/i/Tg0S348Z3Zu8ET

 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Удалите Driver Booster через установку программ в панели управления.

 

HiJackThis (из каталога autologger)профиксить

O22 - Task: Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\5.3.0\Scheduler.exe /scheduler
O22 - Task: Driver Booster SkipUAC (User) - C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DriverBooster.exe /skipuac
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

    move.gif

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
- Подготовьте лог AdwCleaner и приложите его в теме.
Ссылка на комментарий
Поделиться на другие сайты
MyLittleJackal Новичок

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

Собственно, прикреплять файлы я вновь не могу по причине, указанной выше. Скинул линк на ЯД. Заранее прошу прощения за возможные неудобства.
LNK: https://yadi.sk/i/FLl8TW5D3ZuygN
ADW: https://yadi.sk/i/kvmysnoX3Zuyww

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты
MyLittleJackal Новичок

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Удалил. Прикладываю лог.

https://yadi.sk/i/RkINAVuG3ZvNSX

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
MyLittleJackal Новичок

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

FRST: https://yadi.sk/i/iPgZaIqG3ZvPH7

Addition: https://yadi.sk/i/hRQZqQ3L3ZvPJD

 

На данный момент уведомления о вирусе от Касперского перестали появляться. Возможно, тему, если вы не против, можно закрыть.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

На данный момент уведомления о вирусе от Касперского перестали появляться. Возможно, тему, если вы не против, можно закрыть.

Как хотите, если вдруг передумайте, то выполните следующее:

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
S3 iobit_monitor_server; C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win7_x64.sys [14680 2016-12-21] (IObit)
File: C:\Windows\System32\drivers\xspltspk.sys
Folder: C:\Users\User\AppData\Roaming\TEdit
Folder: C:\Users\User\AppData\Local\TEditXna
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\ProgramData\IObit
2018-08-05 19:35 - 2018-05-04 21:08 - 000000000 ____D C:\Program Files (x86)\IObit
2018-08-05 19:34 - 2018-05-04 21:09 - 000000000 ____D C:\Users\Все пользователи\ProductData
2018-08-05 19:34 - 2018-05-04 21:09 - 000000000 ____D C:\ProgramData\ProductData
AlternateDataStreams: C:\Users\Public\AppData:CSM [462]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
MyLittleJackal Новичок

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

 

На данный момент уведомления о вирусе от Касперского перестали появляться. Возможно, тему, если вы не против, можно закрыть.

Как хотите, если вдруг передумайте, то выполните следующее:

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
S3 iobit_monitor_server; C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win7_x64.sys [14680 2016-12-21] (IObit)
File: C:\Windows\System32\drivers\xspltspk.sys
Folder: C:\Users\User\AppData\Roaming\TEdit
Folder: C:\Users\User\AppData\Local\TEditXna
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\ProgramData\IObit
2018-08-05 19:35 - 2018-05-04 21:08 - 000000000 ____D C:\Program Files (x86)\IObit
2018-08-05 19:34 - 2018-05-04 21:09 - 000000000 ____D C:\Users\Все пользователи\ProductData
2018-08-05 19:34 - 2018-05-04 21:09 - 000000000 ____D C:\ProgramData\ProductData
AlternateDataStreams: C:\Users\Public\AppData:CSM [462]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Прикрепляю fixlog: https://yadi.sk/i/oWiskP2l3ZwJhu

Ссылка на комментарий
Поделиться на другие сайты
MyLittleJackal Новичок

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

Проблема более себя не проявляла?

Проблема благополучно исчезла, за что я, собственно, премного благодарен. Тему, думаю, можно закрыть.

Ссылка на комментарий
Поделиться на другие сайты
MyLittleJackal Новичок

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

Проблема более себя не проявляла?

Спустя почти сутки она вновь проявила себя. Почему и как - черт его знает. Жаль, что трачу ваше время попусту, но, видать, вирус этот так просто не уйдет.

 

Скрин уведомления от Касперского: https://yadi.sk/i/qa2__sgA3Zwm5r

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@MyLittleJackal, Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212.

 

после этого проверьте проблему снова.
И в будущем не забывайте своевременно обновляться.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Похоже на то, что у Вас не установлены все критические обновления Windows, как это было указано консультантом regist. А также из-за того что Ваш ПК подключен на прямую к интернету, Ваша система уязвима к SMB. Ознакомьтесь также со статьей "Как защититься от вирусных атак WannaCry пользователям продуктов для бизнеса".
 

 

Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen.

Похоже злоумышлинники пытаются эксплуатировать уязвимость SMB. По хорошему, Вам бы не помешало бы закрыть SMB порты (139, 445) в Windows Firewall.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...