Перейти к содержанию
Правила раздела

MEM:Trojan.Win64.EquationDrug.gen не хочет отправляться на тот свет

MyLittleJackal

Автор MyLittleJackal
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

MyLittleJackal

MyLittleJackal

Опубликовано
Опубликовано

Данный вирусняк, не смотря на попытки Касперского убить его с перезагрузкой, возвращается раз разом. Полная проверка не выявляет ничего серьезного.

Не могу загрузить отчеты с AL и AWD: "Загрузка пропущена (Ошибка IO)"

Если возможно - заберите их отсюда, пожалуйста: https://yadi.sk/d/_1oW1h6W3Zu84g   https://yadi.sk/i/Tg0S348Z3Zu8ET

 

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Удалите Driver Booster через установку программ в панели управления.

 

HiJackThis (из каталога autologger)профиксить

O22 - Task: Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\5.3.0\Scheduler.exe /scheduler
O22 - Task: Driver Booster SkipUAC (User) - C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DriverBooster.exe /skipuac
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

    move.gif

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
- Подготовьте лог AdwCleaner и приложите его в теме.
SQ

SQ

Опубликовано
Опубликовано

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

MyLittleJackal

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Удалил. Прикладываю лог.

https://yadi.sk/i/RkINAVuG3ZvNSX

SQ

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
MyLittleJackal

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

FRST: https://yadi.sk/i/iPgZaIqG3ZvPH7

Addition: https://yadi.sk/i/hRQZqQ3L3ZvPJD

 

На данный момент уведомления о вирусе от Касперского перестали появляться. Возможно, тему, если вы не против, можно закрыть.

SQ

SQ

Опубликовано
Опубликовано

На данный момент уведомления о вирусе от Касперского перестали появляться. Возможно, тему, если вы не против, можно закрыть.

Как хотите, если вдруг передумайте, то выполните следующее:

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
S3 iobit_monitor_server; C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win7_x64.sys [14680 2016-12-21] (IObit)
File: C:\Windows\System32\drivers\xspltspk.sys
Folder: C:\Users\User\AppData\Roaming\TEdit
Folder: C:\Users\User\AppData\Local\TEditXna
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\ProgramData\IObit
2018-08-05 19:35 - 2018-05-04 21:08 - 000000000 ____D C:\Program Files (x86)\IObit
2018-08-05 19:34 - 2018-05-04 21:09 - 000000000 ____D C:\Users\Все пользователи\ProductData
2018-08-05 19:34 - 2018-05-04 21:09 - 000000000 ____D C:\ProgramData\ProductData
AlternateDataStreams: C:\Users\Public\AppData:CSM [462]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
MyLittleJackal

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

 

На данный момент уведомления о вирусе от Касперского перестали появляться. Возможно, тему, если вы не против, можно закрыть.

Как хотите, если вдруг передумайте, то выполните следующее:

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
S3 iobit_monitor_server; C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win7_x64.sys [14680 2016-12-21] (IObit)
File: C:\Windows\System32\drivers\xspltspk.sys
Folder: C:\Users\User\AppData\Roaming\TEdit
Folder: C:\Users\User\AppData\Local\TEditXna
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
2018-08-06 02:31 - 2018-05-04 21:08 - 000000000 ____D C:\ProgramData\IObit
2018-08-05 19:35 - 2018-05-04 21:08 - 000000000 ____D C:\Program Files (x86)\IObit
2018-08-05 19:34 - 2018-05-04 21:09 - 000000000 ____D C:\Users\Все пользователи\ProductData
2018-08-05 19:34 - 2018-05-04 21:09 - 000000000 ____D C:\ProgramData\ProductData
AlternateDataStreams: C:\Users\Public\AppData:CSM [462]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Прикрепляю fixlog: https://yadi.sk/i/oWiskP2l3ZwJhu

MyLittleJackal

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

Проблема более себя не проявляла?

Проблема благополучно исчезла, за что я, собственно, премного благодарен. Тему, думаю, можно закрыть.

MyLittleJackal

MyLittleJackal

Опубликовано
  • Автор
Опубликовано

Проблема более себя не проявляла?

Спустя почти сутки она вновь проявила себя. Почему и как - черт его знает. Жаль, что трачу ваше время попусту, но, видать, вирус этот так просто не уйдет.

 

Скрин уведомления от Касперского: https://yadi.sk/i/qa2__sgA3Zwm5r

SQ

SQ

Опубликовано
Опубликовано

Похоже на то, что у Вас не установлены все критические обновления Windows, как это было указано консультантом regist. А также из-за того что Ваш ПК подключен на прямую к интернету, Ваша система уязвима к SMB. Ознакомьтесь также со статьей "Как защититься от вирусных атак WannaCry пользователям продуктов для бизнеса".
 

 

Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen.

Похоже злоумышлинники пытаются эксплуатировать уязвимость SMB. По хорошему, Вам бы не помешало бы закрыть SMB порты (139, 445) в Windows Firewall.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...