Trojan.WinREG.Small.g

[Karter27]

Добрый день!

 

KES10 обнаруживает этот троян (C:\​TEMP\​abcdefghijkl4988692998477898991.reg) удаляет в итоге после лечения активного заражения, но потом появляется снова.

CollectionLog-2018.10.10-13.43.zip

Изменено 10 октября, 2018 пользователем Karter27

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\KOLTSO~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\koltsovsn58\LhJuOTfXUjy\KJnFZLmGURP.SHQkRd','');
 QuarantineFileF('C:\Users\koltsovsn58\LhJuOTfXUjy', '*.exe,*.dll,*.sys', false,'', 0, 0);
 RegKeyParamDel('HKEY_USERS','S-1-5-21-343850481-3258063914-3049239087-2370\Software\Microsoft\Windows\CurrentVersion\Run','PARWyqPzLsq','x32');
 DeleteFile('C:\Users\koltsovsn58\LhJuOTfXUjy\KJnFZLmGURP.SHQkRd','32');
 DeleteFile('C:\Users\koltsovsn58\LhJuOTfXUjy\KJnFZLmGURP.SHQkRd','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-343850481-3258063914-3049239087-2370\Software\Microsoft\Windows\CurrentVersion\Run','PARWyqPzLsq','x64');
 DeleteFile('C:\Users\KOLTSO~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteSchedulerTask('Digital Sites.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

Обратите внимание логи сделаны в терминальной сессии, сделайте новые логи из консоли.

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Karter27]

Прикладываю.

Сообщение от модератора SQ

Пожалуйста не прикрепляйте карантин к сообщаения.

CollectionLog-2018.10.10-14.47.zip

AdwCleanerS01.txt

[SQ]

Переделайте логи автологгера под учётной записью с правами администратора.


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Karter27]

Прилагаю:

CollectionLog-2018.10.10-15.27.zip

AdwCleanerC02.txt

[SQ]

Уточните пожалуйста, следующие записи Вам знакомы?
 

O4 - HKLM\..\Run: [Unattend0000000001{C31BC927-0EBE-4DBE-B3C4-91CF23989B52}] = C:\Windows\system32\net.exe user Temp /delete
O4 - HKLM\..\Run: [Unattend0000000002{A3151C6D-2523-4F2F-BCE5-7DA519A2C38B}] = c:\windows\setup\scripts\setupcomplete.bat

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Karter27]

Записи знакомы, можно удалить.

Addition.txt

FRST.txt

[SQ]

Удалять не нужно, спросил ради информации.


KJnFZLmGURP.SHQkRd - HEUR:Backdoor.Java.Generic
 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  File: C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
  File: C:\Windows\system32\drivers\mhflqwsi.sys
  Folder: C:\Users\koltsovsn58\LhJuOTfXUjy
  C:\Users\koltsovsn58\LhJuOTfXUjy
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Karter27]

Здравствуйте!

 

 

Fixlog.txt

[SQ]

Сообщите, что с проблемой?

[Karter27]

Наблюдаем, пока тишина.

А что за зверь HEUR:Backdoor.Java.Generic (not-a-virus?), как проник через kes и KVRT его не вычислил?

Только по .reg файлам в темпе детектился (Trojan.WinReg.Small.g)

[SQ]

А что за зверь HEUR:Backdoor.Java.Generic (not-a-virus?), как проник через kes и KVRT его не вычислил?

Это новая угроза, какой либо информации по нему нет,  пробуйте написать в тех. поддержку ЛК за деталями.

Также как и то каким образом он попал вам в систему.

 

Уточните пожалуйста если вы регулярно устанавливаете обновления Windows?

 

Только если проблем более не возникает выполните завершающие действия:

 

В завершение:

1.

• 
     
• Пожалуйста, запустите adwcleaner.exe
     
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
     
• Подтвердите удаление, нажав кнопку: Да.
  

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• 
    
• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
     
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
     
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
     
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
     
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
     
• Прикрепите этот файл к своему следующему сообщению.
  

 

 

 

[Karter27]

Проблема не повторяется. С обновлениями был затык.

Спасибо!