trojan.multi.gen.autorunproc.a и inu.exe

[LegionCommander]

Здравствуйте! Встретился со следующей проблемой: Kaspersky Internet Security 2017 не может удалить trojan.multi.gen.autorunproc.a, он стабильно возвращается в системную память, в которой его Касперский и обнаруживает. Также периодически всплывает среди угроз некий inu.exe, его Касперский пытался удалить уже 2 раза - не вышло, видимо.
Их действие на систему мне не совсем понятно, они пытаются запустить какое-то приложение, которое останавливает сам Windows, говоря, что оно не подходит под систему. Также постоянно пытается открыться какая-то ссылка, которую блокирует Касперский.
 

CollectionLog-2018.09.09-16.04.zip

Изменено 9 сентября, 2018 пользователем LegionCommander

[SQ]

Здравствуйте,


- Подготовьте лог AdwCleaner и приложите его в теме.
 

[LegionCommander]

Пишет, что ничего не нашёл.
 

AdwCleanerS00.txt

Изменено 9 сентября, 2018 пользователем LegionCommander

[SQ]

Заархивируйте в zip пожалуйста следующие папки с паролем infected (важно не удаляйте пожалуйста эти папки до результатов анализа)

C:\ProgramData\Msvisual
C:\ProgramData\Ocxtmv

 этот архив загрузите пожалуйста через данную форму

В имени архива не должно быть символов кириллицы.

 

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[LegionCommander]

Архив отправил, необходимые действия с FRST сделал. Вот файлы.
 

Addition.txt

FRST.txt

[SQ]

Отправили на анализ указанный вами архив.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

• CreateRestorePoint:
  CloseProcesses:
  File: C:\Program Files (x86)\SCM\SCM.exe
  Folder: C:\Program Files (x86)\SCM
  File: C:\Windows\SysWOW64\timeout.exe
  (TeamViewer GmbH) C:\ProgramData\Ocxtmv\fgs.exe
  HKU\S-1-5-21-1196827045-3143132174-1136586130-1001\...\Run: [McvService] => C:\ProgramData\Msvisual\mcs\mcs.exe [1740766 2018-08-21] ()
  HKU\S-1-5-21-1196827045-3143132174-1136586130-1001\...\Run: [Ocxsvc] => C:\ProgramData\Ocxtmv\ocx.exe [1748142 2018-08-21] ()
  FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File]
  FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1228198.dll [No File]
  CHR Extension: (Tampermonkey) - C:\Users\VLAD\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2018-08-12]
  File: C:\Program Files (x86)\Bluetooth Suite\adminservice.exe
  S2 TermService; C:\WINDOWS\System32\svchost.exe [51288 2018-04-12] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  S2 TermService; C:\WINDOWS\SysWOW64\svchost.exe [44520 2018-04-12] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  2018-09-09 19:34 - 2018-09-09 19:34 - 007791468 _____ C:\ProgramData\ProgramData.zip
  File: C:\Users\VLAD\AppData\Roaming\fdf.exe
  Zip: C:\Users\VLAD\AppData\Roaming\fdf.exe;C:\Users\VLAD\AppData\Local\Temp\BiVr8qk4JYd5.exe;C:\Users\VLAD\AppData\Local\Temp\gLNHU9lV7FQq.exe;C:\Users\VLAD\AppData\Local\Temp\tFhwisgixO70.exe
  Folder: C:\Users\VLAD\ncftp
  Folder: C:\Users\VLAD\AppData\LocalLow\HakJak Productions LLC
  2018-09-07 16:40 - 2018-09-07 16:40 - 011448502 _____ () C:\Users\VLAD\AppData\Local\Temp\BiVr8qk4JYd5.exe
  2018-09-03 16:23 - 2018-09-03 16:23 - 002916996 _____ () C:\Users\VLAD\AppData\Local\Temp\gLNHU9lV7FQq.exe
  2018-09-03 20:04 - 2018-09-03 20:04 - 002483897 _____ () C:\Users\VLAD\AppData\Local\Temp\tFhwisgixO70.exe
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
  ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} =>  -> No File
  AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

[LegionCommander]

Не могу найти в AdwCleaner что-либо, что он предлагает удалить.

[SQ]

Не могу найти в AdwCleaner что-либо, что он предлагает удалить.

Пропустите пожалуйста это, строка ошибочно попала в шаблон ответа.

[LegionCommander]

Карантин загрузил, вот fixlog.
Если что, то ещё до проведения последних манипуляций с FRST Касперский снова обнаружил троян в памяти, я его не трогал. После проведения манипуляций в FRST Касперский всё ещё помнил о наличии вируса. Это нормально?

 

Fixlog.txt

Изменено 9 сентября, 2018 пользователем LegionCommander

[SQ]

Где лог fixlog.txt?

[LegionCommander]

Прошу прощения, забыл нажать на кнопку после прикрепления. Исправил.

[SQ]

Антивирус какую угрозу выявил в памями? Давайте времено уберем подозрительные каталоги в карантин.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  C:\Users\VLAD\AppData\Roaming\fdf.exe
  C:\ProgramData\Msvisual
  C:\ProgramData\Ocxtmv
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[LegionCommander]

Антивирус выявил trojan.multi.genproc.a.
Действия с FRST сделал.

 

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[LegionCommander]

Готово!

MSI_2018-09-10_00-05-56.7z