TrojanRootKit

[kdotq]

Здравствуйте.

Заразился 2ой ноутбук тем же что и в моей первой теме.

Только здесь еще и открываются разные ссылки. 

Отоброжает через Drweb TrojanRootkit, TrojanProxy и TrojanPWSStealer

Так же при включении mse отображает что вирусы найдены но как и drweb ничего с ними не делает, хотя пытается. 

 

CollectionLog-2018.10.11-19.03.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe');
 TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe');
 TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\leinn8ykfp.exe');
 TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe', '');
 QuarantineFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe', '');
 QuarantineFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe', '');
 QuarantineFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFileF('C:\Users\Margo\AppData\Roaming\EpicNet Inc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Margo\AppData\Roaming\YoutubeDownloader', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\windows\rss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe', '');
 DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe', '');
 DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\leinn8ykfp.exe', '');
 DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe', '');
 DeleteFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32');
 DeleteFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '64');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('C:\WINDOWS\rss\csrss.exe', '32');
 DeleteFile('C:\WINDOWS\rss\csrss.exe', '64');
 DeleteFileMask('C:\Users\Margo\AppData\Roaming\YoutubeDownloader', '*', true);
 DeleteFileMask('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\', '*', true);
 DeleteDirectory('C:\Users\Margo\AppData\Roaming\YoutubeDownloader');
 DeleteDirectory('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PatientFirefly', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PatientFirefly', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'chrome', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[kdotq]

[KLAN-8905150581]
В следующих файлах обнаружен вредоносный код:
cloudnet.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gen

В антивирусных базах информация по присланным вами файлам отсутствует:
csrss.exe

 

https://virusinfo.info/virusdetector/report.php?md5=7A344ADCF4823E01E862113DAB9D46E4

ClearLNK-2018.10.12_11.48.38.log

CollectionLog-2018.10.12-11.53.zip

Изменено 12 октября, 2018 пользователем kdotq

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('OGYxNTQ1MTdlN', 4);
 SetServiceStart('YmU1ZmI1MTVmY2Ey', 4);
 SetServiceStart('YmVjYzdkMzJiMTQ3', 4);
 StopService('OGYxNTQ1MTdlN');
 StopService('YmU1ZmI1MTVmY2Ey');
 StopService('YmVjYzdkMzJiMTQ3');
 QuarantineFile('C:\Program Files\YmU1ZmI1MTVmY2Ey\NTU2YzBhOG.exe', '');
 QuarantineFile('C:\WINDOWS\flezfl.fleuf', '');
 QuarantineFile('C:\Windows\system32\drivers\OGYxNTQ1MTdlN.sys', '');
 QuarantineFile('C:\WINDOWS\system32\tasks\OperaUpdateService', '');
 QuarantineFile('c:\windows\windefender.exe', '');
 DeleteFile('C:\Program Files\YmU1ZmI1MTVmY2Ey\NTU2YzBhOG.exe', '64');
 DeleteFile('C:\WINDOWS\flezfl.fleuf', '64');
 DeleteFile('C:\Windows\system32\drivers\OGYxNTQ1MTdlN.sys', '64');
 DeleteService('OGYxNTQ1MTdlN');
 DeleteService('YmU1ZmI1MTVmY2Ey');
 DeleteService('YmVjYzdkMzJiMTQ3');
 DeleteSchedulerTask('Microsoft\Windows\Setup\EOSNotify');
 DeleteSchedulerTask('Microsoft\Windows\Setup\Notifier');
 DeleteSchedulerTask('OperaUpdateService');
 DeleteSchedulerTask('YoutubeDownloader');
 DeleteSchedulerTask('YoutubeDownloader_upd');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TablacusApp2', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader_upd', 'x32');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,    

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.5 [http://dsrt.dyndns.org]
   v400c
   adddir %SystemDrive%\
   crimg

6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[kdotq]

[KLAN-8905651239]

 

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
flezfl.fleuf - not-a-virus:AdWare.Win32.Wajam.axxc

В антивирусных базах информация по присланным вами файлам отсутствует:
OperaUpdateService

В следующих файлах обнаружен вредоносный код:
windefender.exe - Trojan-Dropper.Win32.Agent.bjwkfq

 

 

 

DESKTOP-SRHO2U4_2018-10-12_13-43-03_v4.1.7z

[regist]

Сделайте ещё такой лог

 

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 

[kdotq]

.

TDSSKiller.3.1.0.17_12.10.2018_15.31.48_log.txt

[regist]

Удалите всё найденное в TDSSKiller, затем сделайте свежий образ uVS тем же способом.

+ до создания свежего образа.

Деисталируйте: CloudNet, MediaGet,

[kdotq]

не могу сделать образ, закрывается uvs при выполнении скрипта.

[regist]

 

 

Деисталируйте: CloudNet, MediaGet,

а это сделали?
Повторное сканирование TDSSKiller-ом, что-нибудь находит?

[kdotq]

сделал. 

да находит, 1 зараженный объект - windefender.exe

[regist]

Пролечите его и снова попробуйте собрать лог uVS.

[kdotq]

.

DESKTOP-SRHO2U4_2018-10-13_14-03-40_v4.1.7z

[regist]

Трудно лечить когда антивируса нет и ещё и инструкции не выполняют.

1) MediaGet - деинсталируйте.

2) Советую поставьте хотя бы или триальную версию антивируса на месяц или бесплатную kaspersky free.

3) После этого переделайте лог.

+ папку

C:\TDSSKILLER_QUARANTINE\

Заархивируйте в zip архив с паролем virus и отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

После этого эту папку удалите.

А также удалите папку

C:\USERS\MARGO\DESKTOP\AUTOLOGGER\AVZ\QUARANTINE\