Перейти к содержанию

[РЕШЕНО] MEM:Trojan


Рекомендуемые сообщения

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://istart.webssearches.com/web/?type=ds&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://istart.webssearches.com/web/?type=ds&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{59A21E14-8B96-420E-950A-FB37381BBAD5}: [URL] = http://www.mysearchresults.com/search?c=3513&t=07&q={searchTerms} - Search Here
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C631A4E-C31A-4087-84D4-C0C08EA5F625}: [URL] = http://websearch.ask.com/redirect?client=ie&tb=W3I4&o=41648006&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=^A9K&apn_dtid=^YYYYYY^YY^RU&apn_uid=31677442-9A37-42B2-A6C2-5F9112F11AFB&apn_sauid=C30D1ABD-33E1-4A67-B799-7449C822F480 - Ask Search
O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)
O22 - Task: DTChk - C:\Users\Public\Util\DTChk.exe (file missing)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)
O22 - Task: {EC43F568-71AD-427E-97D0-FBF58E7D3F45} - C:\WINDOWS\system32\pcalua.exe -a C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe -c  -ptid=exp

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('ibinldr');
 SetServiceStart('ibinldr', 4);
 QuarantineFile('C:\Users\Public\Util\DTChk.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\ibinldr.sys','');
 DeleteSchedulerTask('{EC43F568-71AD-427E-97D0-FBF58E7D3F45}');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму



- Подготовьте лог AdwCleaner и приложите его в теме.
 

Ссылка на комментарий
Поделиться на другие сайты

Всё сделал по вашей инструкции.

Лог AdwCleaner нужен или это не обязательно?

Желательно, так как лечение не закончено.

 

%SystemRoot%\System32\drivers\ibinldr.sys - Trojan.Win64.Winsecsrv.h

 

P.S. В карантине обнаружено новое вредоносное ПО, которое в ближайщее время будет добавлена в антивирусные сигнатуры.

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-4240674445-931442869-4162643105-1000\...\Policies\Explorer: []
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {17AAFD8A-0D4B-4E53-B6A2-996F635ED281} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {24996FB5-41F2-4BF1-BD2D-78B189A1DB17} - \WPD\SqmUpload_S-1-5-21-4240674445-931442869-4162643105-1000 -> No File <==== ATTENTION
    Task: {6DB4253F-4E64-418D-8B40-102427FA71B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    Task: {9034E7FF-B999-4AC3-B6E4-2C5A823E302B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
    Task: {997B6537-902D-4679-8D00-4A921524592A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {A39E05E9-6292-4240-B16C-DE7A3E18E5D9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {BC003F2B-645F-400F-BD9E-B6B5BF504164} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {C7039046-B9E2-4663-ACDF-BE643D999DA9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {C9FEDB68-B4E8-411C-98F7-35A25A345C43} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
    Task: {D01E098D-8427-4EC2-9769-1A7C91BDDFB1} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    Task: {E09D1D83-E440-4AA3-BD55-B415F5A8F4FC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {EF078913-B4CB-42DE-8AAE-701F3DCD826A} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
    Task: {F4F7E5FD-0DFA-436B-AA57-464F3B4BAAB8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {F9E1C103-D9C1-469E-BB4F-4F94E100F96E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
    Toolbar: HKU\S-1-5-21-4240674445-931442869-4162643105-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    FF HKLM\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
    FF HKLM-x32\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
    CHR HKLM-x32\...\Chrome\Extension: [echeiocnbggcacegkopjcllmaglbocni] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    File: C:\Program Files (x86)\BCL Technologies\easyConverter SDK 3\Common\becldr.exe
    Folder: C:\ProgramData\fb
    File: C:\WINDOWS\system32\AutoUpdate.exe
    HKU\S-1-5-21-4240674445-931442869-4162643105-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    FirewallRules: [{AB65FF1B-7F57-4BE5-9FB4-C99F9EA8B3EF}] => (Allow) %ProgramFiles%\Zune\Zune.exe No File
    FirewallRules: [{C2BF5BAF-C755-4345-9D0F-B180C11E859E}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{2C3C1484-B092-40B0-B97F-2237E7CEACDE}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{663A8EBD-9EB1-4D99-942A-1CB622DFA4FD}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{D05D367F-3F9B-4652-BDC0-FB57BE55AE46}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{98AEAF5B-BDD4-4C2A-BC1B-018BFBE0CE0B}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{03210738-5B21-4EA2-8E47-13CAB91A816D}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{2DB4FF48-C4F2-4427-A149-1DBBB9F5C339}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{524C07C1-C471-47D2-9B12-6226FB2B6E50}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    Zip: C:\ProgramData\fb\Help.dll;C:\WINDOWS\system32\AutoUpdate.exe
    C:\ProgramData\fb
    File: C:\WINDOWS\system32\AutoUpdate.exe
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • m1pod
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • wastezxc
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • dlitsov
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
×
×
  • Создать...