Фэйковые системные файлы на диске C:

[Максим Кудрин]

Здравствуйте, уважаемые посетители и знатоки форума. Сразу к делу - поймал я троян, называющийся "windowsfix", после установки начали запускаться неизвестные установки, и где-то на тридцатой комп повис- пришлось перезапустить. Борюсь с этим трояном уже несколько недель: проходился по ПК всеми возможными антивирусами: ASC, IMF, AVZ, SpyHunter 4-5, CCleaner. Побил всяких неприятных wup'ов и им подобных, но осталась проблема - на диске C: лежат скрытые папки 6MSKndo3bGb4nFJx и X2L3bfQdORpxeMiI (Ну, понятно, они так сами себя назвали.), в которых находятся фейковые копии блокнота, проводника, папок System32 и SysWOW64. С первыми двумя разобрался, как удалить остальное - без понятий, т.к. при удалении появляется сообщение "Операция не может быть завершена так как эти файл или папка открыты в другой программе". Пытался пихать их в карантин AVZ - не лезут, из безопасного режима также не удаляются, прошу вашей помощи.

ОС: Windows 7 Ultimate x64

[akoK]

Доброй ночи. Давайте начнем с логов

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Максим Кудрин]

Доброй ночи. Давайте начнем с логов

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Да, конечно. Сканирование через KVR полтора часа проводилось, но с логами побыстрее вышло.

CollectionLog-2019.01.24-14.21.zip

Изменено 24 января, 2019 пользователем Максим Кудрин

[akoK]

Комбофикс запускали?
 
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('MjFjNWE', 4);
 QuarantineFile('C:\Users\User\AppData\Local\Temp\Rar$EXa0.169\tunngle-5-8-8.exe','');
 QuarantineFile('C:\Windows\rss\csrss.exe','');
 QuarantineFile('MjFjNWE.sys','');
 DeleteFile('MjFjNWE.sys','64');
 DeleteFile('C:\Windows\rss\csrss.exe','64');
 DeleteFile('C:\Users\User\AppData\Local\Temp\Rar$EXa0.169\tunngle-5-8-8.exe','64');
 DeleteSchedulerTask('{CEFE2C90-3D07-6415-2233-9EF3A4BF8372}');
 DeleteSchedulerTask('{EF468710-F2A5-245D-695F-7364CDBC0D00}');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('SidebarExecute');
 DeleteService('MjFjNWE');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

 
Компьютер перезагрузится. 
 
После перезагрузки, выполните такой скрипт:
 
 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

 
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
 

O4 - MSConfig\startupreg: Adobe ARM [command] = (HKLM) (2017/09/10) (no file)

 
 
 

Сканирование через KVR

KVRT? Если да, то  зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
 

• Запустите AVZ.
• Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
• В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
• Закачайте полученный архив, как описано на этой странице
• Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

 

• Скачайте AdwCleaner
• и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.
• Подробнее читайте в этом руководстве.

Изменено 24 января, 2019 пользователем akoK
Ох этот редактор

[Максим Кудрин]

Да, комбофик запускал, если что-то от него нужно - скажите. А вот с AVZ такая шняга вылезла

И ещё сбрасываю репорт KVRT
Ну и AdwCleaner тоже

Reports.zip

AdwCleanerS00.txt

Изменено 24 января, 2019 пользователем Максим Кудрин

[thyrex]

А вот с AVZ

Потому что запускать нужно AVZ из папки с Autologger

[Максим Кудрин]

 

А вот с AVZ

Потому что запускать нужно AVZ из папки с Autologger

 

Ага, спасибо - помогло. Уже отправил письмо на newvirus@kaspersky.com. Жду ответа, потом пришлю сюда.

Ответ пришёл. Проблемы две: первая - в письме говорится, что на архиве стоит пароль, хотя его на нём нет, вторая - когда я решил посмотреть, откуда на архиве появился пароль, то увидел, что в самом архиве вообще нет файлов.

[akoK]

И в папке с датой пусто? Значит не попало ничего.

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Настройки отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 24 января, 2019 пользователем akoK

[Максим Кудрин]

Всё сделал, как вы сказали, вот все  логи.

FRST.txt

Addition.txt

AdwCleanerC00.txt

[akoK]

SpyHunter и программы от Iobit деинсталлируйте

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

 

Скачайте OTCleanIt, запустите, нажмите Clean up.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  VirusTotal: C:\Windows\sed.exe;C:\Windows\grep.exe;C:\Windows\zip.exe;C:\Windows\MjI2OTN.exe
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  BootExecute: autocheck autochk * sh4native 7099
  Toolbar: HKU\S-1-5-21-2689985204-820680964-1279707097-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
  S4 sppuinotify; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
  S4 sppuinotify; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
  S3 catchme; \??\C:\combofix-17-5-4-132656c\catchme.sys [X]
  S3 esgiguard; \??\C:\Program Files\SpyHunter\esgiguard.sys [X]
  2019-01-08 15:56 - 2019-01-18 22:11 - 000000000 ____D C:\X2L3bfQdORpxeMiI
  2019-01-05 01:07 - 2019-01-14 21:24 - 000000000 ____D C:\6MSKndo3bGb4nFJx
  2019-01-04 23:06 - 2019-01-04 23:07 - 000000000 ____D C:\sh5ldr
  2019-01-03 10:41 - 2019-01-03 11:39 - 000001024 _____ C:\Users\Все пользователи\appdata.dat
  2019-01-03 10:41 - 2019-01-03 11:39 - 000001024 _____ C:\ProgramData\appdata.dat
  2019-01-03 10:31 - 2019-01-24 13:57 - 000000000 ____D C:\Program Files\MjFjNWE
  2019-01-03 10:10 - 2019-01-03 10:10 - 000000000 ____D C:\Users\Все пользователи\{93A486E0-9CA1-48DD-D981-5EC4D9660795}
  2019-01-03 10:10 - 2019-01-03 10:10 - 000000000 ____D C:\Users\Все пользователи\{924153C1-4980-4938-F854-BBC5F8B3E294}
  2019-01-03 10:10 - 2019-01-03 10:10 - 000000000 ____D C:\ProgramData\{93A486E0-9CA1-48DD-D981-5EC4D9660795}
  2019-01-03 10:10 - 2019-01-03 10:10 - 000000000 ____D C:\ProgramData\{924153C1-4980-4938-F854-BBC5F8B3E294}
  2019-01-03 10:08 - 2019-01-23 22:17 - 001326592 _____ C:\Windows\mohspixsvhhjlkqxnu.moh
  BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restored successfully
  Task: {DDB213E7-5469-406D-89B2-56964307B464} - System32\Tasks\{D201824E-7SP1-4321-8GH5-LA32311B16CA} => C:\Users\User\AppData\Roaming\E3B8~1\Precomp\precomp.exe <==== ATTENTION
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [432]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [432]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
  AlternateDataStreams: C:\Users\User\Application Data:NT [40]
  AlternateDataStreams: C:\Users\User\Application Data:NT2 [432]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [432]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
  AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
  FirewallRules: [{FD2F20B7-B13A-47D0-8B3E-06B605FF765D}] => (Allow) LPort=80
  FirewallRules: [{5F5436E2-164C-4B8B-BD97-C3FF269AAFC4}] => (Allow) LPort=443
  FirewallRules: [{5E3AB0B4-E1E9-452D-8B74-D32E89F2482F}] => (Allow) LPort=20010
  FirewallRules: [{3F43F140-8058-4A6A-8631-4E1D1C53B43B}] => (Allow) LPort=3478
  FirewallRules: [{462AC0BE-CA66-4C9F-85BB-172425C5ACB2}] => (Allow) LPort=7850
  FirewallRules: [{E6BFC202-4C45-482E-8FE4-11BDC190D1D1}] => (Allow) LPort=7852
  FirewallRules: [{DDBDFBD7-89E7-48F5-AADB-A486DC73AE9A}] => (Allow) LPort=7853
  FirewallRules: [{AEB8FE2D-B655-4DD7-9448-8530D50578CF}] => (Allow) LPort=27022
  FirewallRules: [{112D6F50-E369-4370-87D3-75FC966B911C}] => (Allow) LPort=6881
  FirewallRules: [{D139DA3B-9501-43AE-AECD-E2DBF92956F4}] => (Allow) LPort=33333
  FirewallRules: [{5A3B5388-54C3-4697-8BEB-CA4F0D406C21}] => (Allow) LPort=20443
  FirewallRules: [{47796A1C-8F49-4347-8D79-2C8A1280097B}] => (Allow) LPort=8090
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Запустите стандартную проверку https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/лог прикрепите

[Максим Кудрин]

Извините, что пропал - ПК пару раз отказывался включаться, что-то там с boot/BCD. Но сканирования провёл, логи прилагаю, однако лог sfc мне не очень нравится.

Fixlog.txt

sfc.log

[Максим Кудрин]

Какую штуку сегодня заметил. Полетели у меня файлы mvscp100, mvscp120, mvscr120, т.е. игры типа Wicher 3 не запускались, но когда я скачал эти файлы отдельно и закинул в папку с игрой, она заработала, но некоторые другие игры выдают ошибку Internal error 0x06: Systen error. Создание папки Steam в общих документах не помогло. Эти проблемы возникли после одного из сканирований, возможно FRST, но точно не знаю. Без понятий теперь как с этой ошибкой расправиться.

UPD: Ещё заметил, что при установке игр появляется ошибка "Access violation at adress 00408E8F in module 'setup.tmp'. Read of adress 00000000"

Изменено 26 января, 2019 пользователем Максим Кудрин

[akoK]

FRST второй раз запускали, не видно, что удалялось. И лог sfc пустой. У вас очень много файлов не проходят проверку по базам MS. Windows случаем не сборка?

 

mvscp100, mvscp120, mvscr120

Это от распространяемых пакетов Visual C++ для Visual Studio, нужно установить версии (ориентировочно) с 2017 - 2010

[Максим Кудрин]

FRST второй раз запускали, не видно, что удалялось. И лог sfc пустой. У вас очень много файлов не проходят проверку по базам MS. Windows случаем не сборка?

 

mvscp100, mvscp120, mvscr120

Это от распространяемых пакетов Visual C++ для Visual Studio, нужно установить версии (ориентировочно) с 2017 - 2010

 

Сборка, 7601. KMS Loader на мою систему не работает, а остальным я не доверяю.

Изменено 26 января, 2019 пользователем Максим Кудрин

[akoK]

boot/BCD

Да, я включал средства восстановления Windows

https://support.microsoft.com/ru-ru/help/2004518/error-message-when-you-start-windows-7-the-windows-boot-configuration(эта ошибка?)