mem:trojan.win32.sepeh.gen

[Виктор Тучков]

Здравствуйте.

На ПК установлен KES 10. Выгружал его по необходимости на пару часов. За это время успел словить Трояна mem:trojan.win32.sepeh.gen. Сидит в памяти, не удаляется. 

Прикрепляю логи.

Помогите, плиз.

CollectionLog-2018.12.04-09.38.zip

[SQ]

Здравствуйте,

Знакома ли Вам:

O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft -
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates -

Удалите Lavasoft (webcompanion) через установку программ в панели управления.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t_k5qMBQV9RSw5WAvy76ipL-WC57mZUXtNHH_COurRKLA1dCRPW3G7fQzsBsxUXc8m4L64T8OAqMW0pQ8BxaxQBDtEHIauCyx9TdvRwJvctSObFyYu-WHisD3MvjXCZYf71j9uTUsWCnb7IRFwN0FQvdbiQfNGagQ4UezuT2mLdv0nS9KUA,,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t_k5qMBQV9RSw5WAvy76ipL-WC57mZUXtNHH_COurRKLA1dCRPW3G7fQzsBsxUXc8m4L64T8OAqMW0pQ8BxaxQBDtEHIauCyx9TdvRwJvctSObFyYu-WHisD3MvjXCZYf71j9uTUsWCnb7IRFwN0FQvdbiQfNGagQ4UezuT2mLdv0nS9KUA,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_756_181203&q={searchTerms} - Ad-Aware SecureSearch
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [SuggestionsURL_JSON] = http://suggestqueries.google.com/complete/search?output=firefox&client=firefox&qu={searchTerms} - Search the web
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t_k5qMBQV9RSw5WAvy76ipL-WC57mZUXtNHH_COurRKLA1dCRPW3G7fQzsBsxUXc8m4L64T8OAqMW0pQ8BxaxQBDtEHIauCyx9TdvRwJvctSObFyYu-WHisD3MvjXCZYf71j9uTUsWCnb7IRFwN0FQvdbiQfNGagQ4UezuT2mLdv0nS9KUA,,&q={searchTerms} - Search the web
O2 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - (no file)
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - (no file)
O4 - MSConfig\startupreg: AdobeAAMUpdater-1.0 [command] = (HKLM) (2015/06/02) (no file)
O4 - MSConfig\startupreg: MegaFon_MegaFonInternet [command] = (HKLM) (2017/08/28) (no file)
O4 - MSConfig\startupreg: QIP Internet Guardian [command] = (HKCU) (2015/06/02) (no file)
O4 - MSConfig\startupreg: QuickTime Task [command] = (HKLM) (2015/06/02) (no file)
O4 - MSConfig\startupreg: Raptr [command] = (HKLM) (2015/06/02) (no file)
O4 - MSConfig\startupreg: Zona [command] = (HKCU) (2017/03/02) (no file)
O4 - MSConfig\startupreg: iTunesHelper [command] = (HKLM) (2015/06/02) (no file)
O23 - Service R2: ZjA0ZTRhZDY1YmQwZDlh - C:\Windows\system32\rundll32.exe C:\Windows\yoctnhbbrciatwn.aoct quT

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('ZjA0ZTRhZDY1YmQwZDlh');
 DeleteService('ZjA0ZTRhZDY1YmQwZDlh');
 QuarantineFile('NAUpdate.sys','');
 QuarantineFile('C:\Windows\yoctnhbbrciatwn.aoct','');
 DeleteFile('C:\Windows\yoctnhbbrciatwn.aoct','32');
 DeleteFile('C:\Windows\yoctnhbbrciatwn.aoct','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Web Companion','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму


- Подготовьте лог AdwCleaner и приложите его в теме.

Убедитесь, что у Вас установлены обновления закрывающие уязвимость SMB.
KB4012212
KB4012215

 

[Виктор Тучков]

Отслаю лог AdwCleaner. KES перестал находить троян в памяти.

AdwCleanerS00.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Виктор Тучков]

Удалил

Удалил

AdwCleanerC00.txt

[SQ]

А где лог удаления AdwCleaner ?

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Виктор Тучков]

Большое спасибо)))

[SQ]

Большое спасибо)))

Вы хотите на этом закончить?

[Виктор Тучков]

Я подумал, что на AdwCleaner все)))) Продолжаю

Отсылаю))

и Addition.txt

FRST.txt

Addition.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR HKU\S-1-5-21-1801674531-1417001333-2140603275-2780\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - <no Path/update_url>
  CHR HKU\S-1-5-21-1801674531-1417001333-2140603275-2780\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-1801674531-1417001333-2140603275-2780\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2012-09-23]
  CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
  File: C:\Program Files (x86)\Windows Kits\8.0\App Certification Kit\fussvc.exe
  File: C:\Microsoft Visual Studio\Common\Tools\VS-Ent98\Vanalyzr\varpc.exe
  File: C:\Program Files\Windows Defender\mpsvc.dll
  S2 NAUpdate; no ImagePath
  File: C:\Windows\MjJmY2U.exe
  Zip: C:\Windows\MjJmY2U.exe;C:\Windows\uninstaller.dat
  File: C:\Windows\java.dll
  Task: {1321004D-53E0-4D98-9962-FC319091ADF2} - \Microsoft\Windows\Multimedia\u -> No File <==== ATTENTION
  Task: {F85B1C80-3BCE-499B-B4A8-BE92A81AEC50} - \Microsoft\Windows\Multimedia\m -> No File <==== ATTENTION
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму.

[Виктор Тучков]

Загрузил ))))

[Sandor]

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Еще это, пожалуйста.

[Виктор Тучков]

сорри

Fixlog.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  C:\Windows\MjJmY2U.exe
  C:\Windows\uninstaller.dat
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Пришел ответ от ЛК касаемо первого карантина:

New malicious software was found in the attached file. Its detection will be included in the next update.
C:\Windows\yoctnhbbrciatwn.aoct - Trojan.Win32.Agentb.jhvc

[SQ]

Пришел новый ответ от ЛК касаемо последнего карантина:
 

New malicious software was found in the attached file. Its detection will be included in the next update.
MjJmY2U.exe - Trojan-Downloader.Win32.Adload.rgmd
uninstaller.dat - Trojan.Win32.Agentb.bxlf