Троян Trojan.Multi.DNSChanger.a в System Memory не лечится

[Kolussik]

Здравствуйте. Помогите пожалуйста - не могу вылечить этот троян Trojan.Multi.DNSChanger.a в System Memory. Стоит Caspersky Crystal 3.0 при запуске видит этот троян, нажимаю - Лечить с перезагрузкой, происходит процесс якобы лечения, ноут перезапускается и все по новой - опять тот же троян в System Memory. Браузеры все удалил с ноутбука - проблема не ушла. Заранее благодарю.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Kolussik]

Правила прочитал. Спасибо. DrWebCureIt проверку делал - ничего не находит. Архив прикрепляю 

Вот архив

CollectionLog-2018.08.09-22.15.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Kolussik]

Сделал

Addition.zip

[thyrex]

AV: Microsoft Security Essentials (Disabled - Up to date) {641105E6-77ED-3F35-A304-765193BCB75F}

AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}

AV: Kaspersky CRYSTAL (Disabled - Up to date) {B41C7598-35F6-4D89-7D0E-7ADE69B4047B}

AS: Kaspersky CRYSTAL (Disabled - Up to date) {0F7D947C-13CC-4207-47BE-41AC12334EC6}

AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

AS: Microsoft Security Essentials (Disabled - Up to date) {DF70E402-51D7-30BB-99B4-4D23E83BFDE2}

AS: Avast Antivirus (Disabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}

FW: Kaspersky CRYSTAL (Disabled) {8C27F4BD-7F99-4CD1-5651-D3EB97674300}

Да еще и портабельный Trojan Remover + SUPERAntiSpyware.

Больше - не значит, надежнее. Оставьте только одно защитное решение.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-08-09 22:25 - 2015-01-18 12:25 - 000005510 _____ C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-6.job
2018-08-09 22:24 - 2015-01-18 12:24 - 000005498 _____ C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-6.job
2018-08-09 21:53 - 2014-02-14 19:53 - 000000292 _____ C:\Windows\Tasks\Digital Sites.job
2018-08-09 21:53 - 2013-11-10 15:53 - 000000292 _____ C:\Windows\Tasks\DigitalSite.job
2018-08-09 21:36 - 2015-05-28 17:37 - 000000518 _____ C:\Windows\Tasks\winter_sports_helper_service.job
2018-08-09 21:36 - 2015-01-18 12:26 - 000002438 _____ C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-5.job
2018-08-09 21:36 - 2015-01-18 12:26 - 000002102 _____ C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-2.job
2018-08-09 21:36 - 2015-01-18 12:25 - 000005510 _____ C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-7.job
2018-08-09 21:36 - 2015-01-18 12:25 - 000005176 _____ C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-11.job
2018-08-09 21:36 - 2015-01-18 12:25 - 000004150 _____ C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-3.job
2018-08-09 21:36 - 2015-01-18 12:24 - 000005162 _____ C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-7.job
2018-08-09 21:36 - 2015-01-18 12:24 - 000003092 _____ C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-1.job
2018-08-09 21:36 - 2015-01-18 12:24 - 000002426 _____ C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-5.job
2018-08-09 21:36 - 2015-01-18 12:23 - 000000968 _____ C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job
2018-08-09 21:36 - 2014-02-09 20:15 - 000000362 _____ C:\Windows\Tasks\AmiUpdXp.job
2018-08-05 23:44 - 2015-01-18 12:24 - 000000972 _____ C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job
2014-02-23 17:26 - 2014-02-23 17:26 - 000000006 _____ () C:\Users\Таня\AppData\Roaming\smw_inst
2014-09-01 11:18 - 2014-09-01 11:18 - 000001248 _____ () C:\Users\Таня\AppData\Roaming\VMUFVCI
Task: {0348474A-8627-419C-824F-482ADAC5B5A7} - \fc8c8697-be89-4d7a-bdba-3dbfbc36316a-7 -> No File <==== ATTENTION
Task: {05CF9041-3DE3-479C-B057-B72648D86B1C} - \fc8c8697-be89-4d7a-bdba-3dbfbc36316a-1 -> No File <==== ATTENTION
Task: {0D51EC72-4D8B-4EAA-99D9-2A7A80694648} - System32\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-7 => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-7.exe <==== ATTENTION
Task: {0ED1961C-CFF2-4093-B0C3-E6955A7F0B48} - \Digital Sites -> No File <==== ATTENTION
Task: {20C35220-67FB-4BF1-BEDA-7B417E3AE7BD} - \{16BE476A-A115-F0C1-CBF3-10477DAC65A9} -> No File <==== ATTENTION
Task: {2A6DB64C-354B-4854-B6BB-B071B4554B20} - System32\Tasks\DigitalSite => C:\Users\2106~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {393BD990-CCAA-48A8-A61D-BE4DE3DC3326} - System32\Tasks\winter_sports_helper_service => C:\Program Files (x86)\Winter Sports\winter_sports_helper_service.exe <==== ATTENTION
Task: {43F3BE25-9689-4DEB-B65A-338DEECE83FF} - \{1A5FBFB9-ADF4-0812-AFCA-85A1C180A10C} -> No File <==== ATTENTION
Task: {52437C6A-5840-426A-85D6-96CDF091881F} - \fc8c8697-be89-4d7a-bdba-3dbfbc36316a-6 -> No File <==== ATTENTION
Task: {546B4439-8C27-42B9-8270-43BBC0BA98D9} - \fc8c8697-be89-4d7a-bdba-3dbfbc36316a-5 -> No File <==== ATTENTION
Task: {563BBE5A-3097-4E48-95EC-E4C883233803} - System32\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-6 => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-6.exe <==== ATTENTION
Task: {6A38F99B-2EEA-4E29-B8CB-1D6C18BAE07B} - System32\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-3 => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-3.exe <==== ATTENTION
Task: {6EE5FCE5-D81C-45D8-8E85-D4B22C5D1144} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: {758F57A4-E82B-45C0-97B5-872FF25379CD} - System32\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-2 => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-2.exe <==== ATTENTION
Task: {7BDF1F48-EF92-41A4-8BE1-3C2D99A09C1B} - System32\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-11 => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-11.exe <==== ATTENTION
Task: {8F3AD780-5854-43F6-87CE-600BE9FC93F5} - \{EF67C9E6-58CC-7E4D-49D9-4BD7C4A95DC8} -> No File <==== ATTENTION
Task: {92FC8DDF-3D3A-4018-A519-84DC3D9762C2} - \{3CC955AB-4C16-0810-6B09-CF66F0F3C47F} -> No File <==== ATTENTION
Task: {9711DA74-A0FA-4679-8316-57589426BCFC} - \{366C55AD-81C7-E206-7C01-4288B37DAD81} -> No File <==== ATTENTION
Task: {AF2B34D4-706A-4D92-8F82-8C015B22220A} - \{447BF605-F3D0-41AE-03F3-9B0B37BDBFF9} -> No File <==== ATTENTION
Task: {C9175CE2-04DB-4CFF-8D4D-A0F42B376989} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: {CB1E32E2-2468-484E-80E9-4FB011F564D3} - \AmiUpdXp -> No File <==== ATTENTION
Task: {CC3A9347-8D35-4CB8-BAC5-6B5C65305415} - \{CC1B6CA0-7BB0-DB0B-D139-BF28CA88B7EF} -> No File <==== ATTENTION
Task: {D0F6F29C-BA5F-4C11-87FE-91F85BFA5FDC} - \{DF4F0BB6-68E4-BC1D-043B-58096438C476} -> No File <==== ATTENTION
Task: {DEB672E9-B52F-4882-96F5-EFBA64FCFAF5} - System32\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-5 => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-5.exe <==== ATTENTION
Task: {EDBEFDF8-7DBF-47E7-BC6B-E6049221ECCD} - System32\Tasks\UpdateAdmin => C:\Users\Таня\AppData\Local\UpdateAdmin\UpdateAdmin.exe <==== ATTENTION
Task: C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-11.job => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-11.exe <==== ATTENTION
Task: C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-2.job => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-2.exe <==== ATTENTION
Task: C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-3.job => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-3.exe <==== ATTENTION
Task: C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-5.job => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-5_user.job => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-6.job => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-6.exe <==== ATTENTION
Task: C:\Windows\Tasks\69f2b2d6-a663-4810-a4ae-78eb605ec039-7.job => C:\Program Files (x86)\CinemaP-1.8cV18.01\69f2b2d6-a663-4810-a4ae-78eb605ec039-7.exe <==== ATTENTION
Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Таня\AppData\Local\5523\Updater.exe <==== ATTENTION
Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\2106~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\2106~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-1.job => C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-codedownloader.exe <==== ATTENTION
Task: C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-10_user.job => C:\Program Files (x86)\SavePass 1.1\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-10.exe <==== ATTENTION
Task: C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-5.job => C:\Program Files (x86)\SavePass 1.1\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-5_user.job => C:\Program Files (x86)\SavePass 1.1\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-6.job => C:\Program Files (x86)\SavePass 1.1\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-6.exe <==== ATTENTION
Task: C:\Windows\Tasks\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-7.job => C:\Program Files (x86)\SavePass 1.1\fc8c8697-be89-4d7a-bdba-3dbfbc36316a-7.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\VMUFVCI.job => C:\Users\\AppData\Roaming\VMUFVCI.exe <==== ATTENTION
Task: C:\Windows\Tasks\winter_sports_helper_service.job => C:\Program Files (x86)\Winter Sports\winter_sports_helper_service.exe <==== ATTENTION
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{54EBD961-EED5-45EF-8868-AE46CF117781}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{6EE73994-F683-45C3-BAE6-D185C9060E09}: [NameServer] 82.163.143.176 82.163.142.178
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1421573271&from=obw&uid=TOSHIBAXMQ01ABD075_43OPT5NATXX43OPT5NAT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1421573271&from=obw&uid=TOSHIBAXMQ01ABD075_43OPT5NATXX43OPT5NAT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1421573271&from=obw&uid=TOSHIBAXMQ01ABD075_43OPT5NATXX43OPT5NAT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1421573271&from=obw&uid=TOSHIBAXMQ01ABD075_43OPT5NATXX43OPT5NAT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1421573271&from=obw&uid=TOSHIBAXMQ01ABD075_43OPT5NATXX43OPT5NAT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1421573271&from=obw&uid=TOSHIBAXMQ01ABD075_43OPT5NATXX43OPT5NAT&q={searchTerms}
HKU\S-1-5-21-3926186807-698642836-1269810113-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=14115&guid={C6661F33-C8D2-4057-84B5-8069133CEAA3}&i=
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha8982.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8982\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha7974.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha7974\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home2086.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home2086\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode5008.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5008\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release550.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release550\ff => not found
C:\Users\Таня\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp
CHR HKU\S-1-5-21-3926186807-698642836-1269810113-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3926186807-698642836-1269810113-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3926186807-698642836-1269810113-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dajmhpmjfoijlndfdgmapkbkmhnomdae] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5008\ch\MediaBuzzV1mode5008.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [kjfglgpdfbenackpkkbpmoaobpfdbfik] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release550\ch\RichMediaViewV1release550.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [oglnfecklphcffpjcmlkdodkablhbjmo] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home2086\ch\MediaWatchV1home2086.crx <not found>
S1 ibadzozm; \??\C:\Windows\system32\drivers\ibadzozm.sys [X]
S1 jwlrghhr; \??\C:\Windows\system32\drivers\jwlrghhr.sys [X]
AlternateDataStreams: C:\Users\Все пользователи\CLDShowX.ini:Update.CL [5122]
AlternateDataStreams: C:\Users\Все пользователи\Temp:CB0AACC9 [286]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Kolussik]

Прикрепляю файл 

Fixlog.txt

[thyrex]

Что с проблемой?

[Kolussik]

Вроде ушла. Спасибо

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Xiuss]

Забавная штука - этот троян. Упрямо меняет на моем компе IP DNS на 8.8.8.8 и 208.67.222.222. Что это? Отеческая забота??

Тоже не удаляется. Скажите, а почему я должен доверять сторонним программам для его удаления, если у меня установлен мировой лидер информационной безопасность KIS 2021.2.16.590(b).

[thyrex]

1 час назад, Xiuss сказал:

208.67.222.222

Cisco OpenDNS. Так что ни о каком трояне речи не идет.