Удалить троян

[defanew]

Здравствуйте! У меня периодически KIS находит и сообщает о трояне workerDLL.dll. На текущую сессию удаляет, но через день снова то же сообщение. Как найти и обезвредить генератор трояна?

[thyrex]

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

[defanew]

Лог.

Пардон, вот лог.

CollectionLog-2018.08.25-14.46.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\TEMP\svchost.exe','');
 QuarantineFile('C:\Program Files\youtub~1\updater.exe','');
 DeleteFile('C:\Windows\winstart.bat','32');
 DeleteFile('C:\Program Files\youtub~1\updater.exe','32');
 DeleteFile('C:\TEMP\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[regist]

@defanew, добавлю, что если вы прописывали DNS гугла, то правильно прописывать:

8.8.8.8 и 8.8.4.4, а не 4.4.4.4 как вы прописали себе.

[defanew]

Какая последовательность действий? Я нулевой юзер. Как мне выполнить скрипт?

 

Я, как легко догадаться, даже если бы захотел, не мог бы прописать DNS гугла. Я даже не вполне понимаю, о чем речь.

Прочитал, сделал.

 

Результат загрузки

Файл сохранён как 180825_105235_quarantine_5b8134f37140b.zip

Размер файла 483238

MD5 53c084191d6f63fb453bfda209d6e428

Файл закачан, спасибо!

 

 

CollectionLog-2018.08.25-18.04.zip

[regist]

 

 

Как мне выполнить скрипт?

Выполните скрипт в AVZ (Файл - Выполнить скрипт) - кликабельно, по ссылке написано подробней.

 

 

не мог бы прописать DNS гугла. Я даже не вполне понимаю, о чем речь.

для того чтобы в системе удалить их

"Пофиксите" в HijackThis

O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6C934D-6340-4166-BF6F-703FAB1A5F8D}: [NameServer] = 4.4.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6C934D-6340-4166-BF6F-703FAB1A5F8D}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6A6C934D-6340-4166-BF6F-703FAB1A5F8D}: [NameServer] = 4.4.4.4
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6A6C934D-6340-4166-BF6F-703FAB1A5F8D}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)

и эти же DNS у вас в роутере прописаны, чтобы там прописать рекомендованные провайдером позвоните в его тех. поддержку и попросите чтобы они вам их там исправили.

[defanew]

а на что влияет "неправильный" DNS? Это же к трояну не относится?

[regist]

 

 

а на что влияет "неправильный" DNS?

у вас там два, основной прописан правильно от гугла. А второй с ошибкой, не проверял, но скорее всего через него вообще интернет не будет работать (а для работы просто используется первый). А также могут быть недоступны опции в личном кабинете провайдера (зависит от провайдера) и скорость интернета быть медленнее.

 

 

Это же к трояну не относится?

В общем-то не относится, но если вы или с вашего разрешения никто не прописывал, то возможно за вас это сделал вирус.

 

Но это мы отошли от темы. Ссылку как выполнить скрипт выше дал. Выполняйте рекомендации thyrex.
Это же к трояну не относится?

[defanew]

Скрипты я выполнил, ответ дал там же, где спрашивал, на всякий случай повторю: 
Результат загрузки:
 

Результат загрузки

Файл сохранён как 180825_105235_quarantine_5b8134f37140b.zip

Размер файла 483238

MD5 53c084191d6f63fb453bfda209d6e428

Файл закачан, спасибо!

(это сообщение загрузчика)

файл нового лога прикреплен

Да, кстати, роутер не провайдера, мой. Мне все равно к провайдеру обращаться?

CollectionLog-2018.08.25-18.04.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[defanew]

Выполнено, сообщение KIS приложено.

frstr.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3942278910-3976999344-1728389208-1000 -> No Name - {1392B8D2-5C05-419F-A8F6-B9F15A596612} -  No File
Toolbar: HKU\S-1-5-21-3942278910-3976999344-1728389208-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
Toolbar: HKU\S-1-5-21-3942278910-3976999344-1728389208-1000 -> Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" No File
Toolbar: HKU\S-1-5-21-3942278910-3976999344-1728389208-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (Quick Searcher) - C:\Users\ДмитрийФ\AppData\Roaming\Mozilla\Firefox\Profiles\kcr4sfv3.default\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 [2017-10-25]
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKU\S-1-5-21-3942278910-3976999344-1728389208-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3942278910-3976999344-1728389208-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
S2 AdsService; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2018-08-25 17:17 - 2018-08-25 17:17 - 000000000 ____D C:\Windows\system32\xmr
2017-10-25 00:46 - 2017-10-25 23:14 - 000000005 _____ () C:\Users\ДмитрийФ\AppData\Roaming\a.txt
2017-10-25 19:17 - 2017-10-25 19:17 - 000000000 _____ () C:\Users\ДмитрийФ\AppData\Local\installer.dat
2017-10-25 19:17 - 2017-10-25 19:21 - 000930816 _____ () C:\Users\ДмитрийФ\AppData\Local\po.db
Task: {0FE2877E-7141-4242-8E4B-09147762DD39} - \gastproffite -> No File <==== ATTENTION
Task: {127BFB96-748A-4EBC-820E-12A485E283DE} - System32\Tasks\86649910c541d7527423cf39de2a3169 => sc start 86649910c541d7527423cf39de2a3169 <==== ATTENTION
Task: {1FDBA633-7EC2-4B15-9453-DF284B6B5A69} - \okagncigkfokplmopeninonbibkmpogi -> No File <==== ATTENTION
Task: {39AF42D2-0269-4B87-85CE-E38A40C528EA} - \{715EA743-51E1-49BC-BEEE-E7BCC355AD2D} -> No File <==== ATTENTION
Task: {3E610B4F-250E-44B0-80D7-6254CF7F8F29} - \gastproffite2 -> No File <==== ATTENTION
Task: {507050A6-601A-400F-B055-B83C59D7A8B1} - \Optimize Start Menu Cache Files-S-FW -> No File <==== ATTENTION
Task: {6826D103-9EB9-4538-A803-A5EE2B1C1DF5} - \Microsoft\Windows\Wininet\sscore -> No File <==== ATTENTION
Task: {6C079B6E-CB4A-4AC3-B4FE-AEB51860422E} - \8713d67ad2539d38bbf6eceaac6bbf07 -> No File <==== ATTENTION
Task: {7AA47B71-841C-4CBE-B894-C72DAC328E41} - \Optimize Start Menu Cache Files-S-TQ -> No File <==== ATTENTION
Task: {7F0BF632-D3B9-41CD-ABC5-8EA66BFC2E95} - \Microsoft\Windows\handles\id -> No File <==== ATTENTION
Task: {BAF539C7-C510-4A54-A2DE-A417C250C865} - \{4391456E-C30D-402F-84AB-876B1E204C31} -> No File <==== ATTENTION
Task: {D09C8825-1B35-4D90-8121-B6FF62F885FA} - \WeeklyWeather2 -> No File <==== ATTENTION
Task: {EC1ADCF3-96A8-4015-8AAE-FA962CAE25DB} - \WeeklyWeather -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[defanew]

Есть.

Файл fixlist.txt исчез - так и надо?

Fixlog.txt

[thyrex]

Файл fixlist.txt исчез - так и надо?

На его месте и появился файл лога.

 

Что с проблемой?