Перейти к содержанию
Правила раздела

[РЕШЕНО] Подозрение на Rootkit - Backdoor:MSIL/RevengeRat.GA!MTB

Dombay

Автор Dombay
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Dombay Новичок

Dombay

Опубликовано
Опубликовано
Добрый день.

 

Прошу помощи.

 

Обнаружена угроза: Backdoor:MSIL/RevengeRat.GA!MTB

amsi: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

 

WIN10 X64 - вин дефендер ничего сделать не может.

 

Логи от AutoLogger, avz и FRST64 прилагаются.

 

FRST64.7z

CollectionLog-2020.01.26-08.53.zip

avz_log.txt.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\domsy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Net_Framework.js', '');
 QuarantineFile('C:\Users\Public\Net_Framework.js', '');
 DeleteFile('C:\Users\domsy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Net_Framework.js', '64');
 DeleteFile('C:\Users\Public\Net_Framework.js', '32');
 DeleteFile('C:\Users\Public\Net_Framework.js', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetWork', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetWork', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
 

Компьютер перезагрузится

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Ссылка на комментарий
Поделиться на другие сайты
Dombay Новичок

Dombay

Опубликовано
  • Автор
Опубликовано

Файл quarantine.zip отправил.

Но KLAN пока не получал.


MD5 карантина: D693FA49BF1773F37E0D8F683BDD9729

 

https://virusinfo.info/virusdetector/report.php?md5=D693FA49BF1773F37E0D8F683BDD9729

 

https://virusinfo.info/showthread.php?t=224413

CollectionLog-2020.01.29-06.35.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {3b646a4f-2111-11ea-b549-902b341da115} - "D:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {c37efd8c-1974-11ea-b546-902b341da115} - "D:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {c37efdc6-1974-11ea-b546-902b341da115} - "D:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {c37f004d-1974-11ea-b546-902b341da115} - "D:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {d6b57d13-3d4e-11ea-b558-902b341da115} - "F:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {d6b57d28-3d4e-11ea-b558-902b341da115} - "F:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {3b646a4f-2111-11ea-b549-902b341da115} - "D:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {c37efd8c-1974-11ea-b546-902b341da115} - "D:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {c37efdc6-1974-11ea-b546-902b341da115} - "D:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {c37f004d-1974-11ea-b546-902b341da115} - "D:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {d6b57d13-3d4e-11ea-b558-902b341da115} - "F:\Setup.exe" 
HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {d6b57d28-3d4e-11ea-b558-902b341da115} - "F:\Setup.exe" 
Task: {EFDB97DB-799A-49E5-A7BC-71613CC3C8B8} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\explorer.exe /NOUACCHECK
AlternateDataStreams: C:\Program Files (x86)\Intertops Poker:MID [81]
AlternateDataStreams: C:\Program Files (x86)\Juicy Stakes 2.0:MID [81]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Заданные страницы в Хроме настраивали самостоятельно? Если нет, удалите лишние. (chrome://settings/onStartup)

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Это флешка, там ничего нет 100%

"Фиксится" не флешка, а следы её монтирования в системе.

 

2 покерных клиента

Скриптом очищаются альтернативные потоки, а не сами файлы. Так что выполняйте.
Ссылка на комментарий
Поделиться на другие сайты
  • 3 недели спустя...
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Завершаем:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Malwarebytes, версия 3.8.3.2965 v.3.8.3.2965 Внимание! Скачать обновления

 

--------------------------- [ OtherUtilities ] ----------------------------

GPL Ghostscript v.9.26 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

NVIDIA GeForce Experience 2.11.4.125 v.2.11.4.125 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45574 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

µTorrent 3.5.5 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Shockwave Player 12.3 v.12.3.5.205 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

------------------------------- [ Browser ] -------------------------------

Opera Stable 66.0.3515.72 v.66.0.3515.72 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------

JDownloader 2 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Serega11Rus
      [РЕШЕНО] Не удаляется Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Serega11Rus
      Здравствуйте. Скорее всего поймал троян-майнер. Комп в режиме ожидания нагружает ЦП, при включении диспетчера задач, процессор со 100% нагрузки падает моментально на 3-6%. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.02-12.36.zip
    • Aleksandr Korolev
      Вирус шифровальщик ContiCrypt.MFP!MTB
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • Milink
      Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...