[РЕШЕНО] MEM:Trojan

[СергейА]

Касперский Интернет Секьюрити не может удалить Trojan.Win32.SEPEH.gen

Лечение перезагрузкой не помогает.

CollectionLog-2019.06.22-22.18.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://istart.webssearches.com/web/?type=ds&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://istart.webssearches.com/web/?type=ds&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{59A21E14-8B96-420E-950A-FB37381BBAD5}: [URL] = http://www.mysearchresults.com/search?c=3513&t=07&q={searchTerms} - Search Here
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C631A4E-C31A-4087-84D4-C0C08EA5F625}: [URL] = http://websearch.ask.com/redirect?client=ie&tb=W3I4&o=41648006&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=^A9K&apn_dtid=^YYYYYY^YY^RU&apn_uid=31677442-9A37-42B2-A6C2-5F9112F11AFB&apn_sauid=C30D1ABD-33E1-4A67-B799-7449C822F480 - Ask Search
O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)
O22 - Task: DTChk - C:\Users\Public\Util\DTChk.exe (file missing)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)
O22 - Task: {EC43F568-71AD-427E-97D0-FBF58E7D3F45} - C:\WINDOWS\system32\pcalua.exe -a C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe -c  -ptid=exp

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('ibinldr');
 SetServiceStart('ibinldr', 4);
 QuarantineFile('C:\Users\Public\Util\DTChk.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\ibinldr.sys','');
 DeleteSchedulerTask('{EC43F568-71AD-427E-97D0-FBF58E7D3F45}');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму



- Подготовьте лог AdwCleaner и приложите его в теме.
 

[СергейА]

Всё сделал по вашей инструкции.

Лог AdwCleaner нужен или это не обязательно?

[SQ]

Всё сделал по вашей инструкции.

Лог AdwCleaner нужен или это не обязательно?

Желательно, так как лечение не закончено.

 

%SystemRoot%\System32\drivers\ibinldr.sys - Trojan.Win64.Winsecsrv.h

 

P.S. В карантине обнаружено новое вредоносное ПО, которое в ближайщее время будет добавлена в антивирусные сигнатуры.

 

 

 

[СергейА]

Отправляю лог AdwCleaner

Файлы, которые обнаружил AdwCleaner, можно удалить?

AdwCleanerS00.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[СергейА]

Отчёт после удаления выслал.

Что ещё делать?

AdwCleanerC01.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[СергейА]

Что вы будите делать с отчётом  Farbar Recovery Scan Tool ?

[Sandor]

Анализировать и на основании анализа дадим вам скрипт лечения.

[СергейА]

Отправлю после 19-00. Я сейчас за другим компом.

[СергейА]

Отправил два отчёта

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-4240674445-931442869-4162643105-1000\...\Policies\Explorer: []
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {17AAFD8A-0D4B-4E53-B6A2-996F635ED281} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {24996FB5-41F2-4BF1-BD2D-78B189A1DB17} - \WPD\SqmUpload_S-1-5-21-4240674445-931442869-4162643105-1000 -> No File <==== ATTENTION
  Task: {6DB4253F-4E64-418D-8B40-102427FA71B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {9034E7FF-B999-4AC3-B6E4-2C5A823E302B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  Task: {997B6537-902D-4679-8D00-4A921524592A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {A39E05E9-6292-4240-B16C-DE7A3E18E5D9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {BC003F2B-645F-400F-BD9E-B6B5BF504164} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  Task: {C7039046-B9E2-4663-ACDF-BE643D999DA9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  Task: {C9FEDB68-B4E8-411C-98F7-35A25A345C43} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
  Task: {D01E098D-8427-4EC2-9769-1A7C91BDDFB1} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
  Task: {E09D1D83-E440-4AA3-BD55-B415F5A8F4FC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {EF078913-B4CB-42DE-8AAE-701F3DCD826A} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
  Task: {F4F7E5FD-0DFA-436B-AA57-464F3B4BAAB8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {F9E1C103-D9C1-469E-BB4F-4F94E100F96E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
  Toolbar: HKU\S-1-5-21-4240674445-931442869-4162643105-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
  FF HKLM\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
  FF HKLM-x32\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
  CHR HKLM-x32\...\Chrome\Extension: [echeiocnbggcacegkopjcllmaglbocni] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
  File: C:\Program Files (x86)\BCL Technologies\easyConverter SDK 3\Common\becldr.exe
  Folder: C:\ProgramData\fb
  File: C:\WINDOWS\system32\AutoUpdate.exe
  HKU\S-1-5-21-4240674445-931442869-4162643105-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  FirewallRules: [{AB65FF1B-7F57-4BE5-9FB4-C99F9EA8B3EF}] => (Allow) %ProgramFiles%\Zune\Zune.exe No File
  FirewallRules: [{C2BF5BAF-C755-4345-9D0F-B180C11E859E}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
  FirewallRules: [{2C3C1484-B092-40B0-B97F-2237E7CEACDE}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
  FirewallRules: [{663A8EBD-9EB1-4D99-942A-1CB622DFA4FD}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
  FirewallRules: [{D05D367F-3F9B-4652-BDC0-FB57BE55AE46}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
  FirewallRules: [{98AEAF5B-BDD4-4C2A-BC1B-018BFBE0CE0B}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
  FirewallRules: [{03210738-5B21-4EA2-8E47-13CAB91A816D}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
  FirewallRules: [{2DB4FF48-C4F2-4427-A149-1DBBB9F5C339}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
  FirewallRules: [{524C07C1-C471-47D2-9B12-6226FB2B6E50}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[СергейА]

Отправил Fixlog

При сохранении fixlist.txt забыл выставить юникод, Сохранил в ANCI.

Это имеет значение? Надо переделать?

Fixlog.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  Zip: C:\ProgramData\fb\Help.dll;C:\WINDOWS\system32\AutoUpdate.exe
  C:\ProgramData\fb
  File: C:\WINDOWS\system32\AutoUpdate.exe
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму