Apple Push в засаде (UDS:DangerousObject.Multi.Generic)

[Sandor]

Пока в MBAM ничего не удаляйте.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\SysWOW64\Microsoft\Protect\S-1-73-90\RB_1.3.20.70.exe', '');
 DeleteSchedulerTask('\Microsoft\Windows\Google\GoogleUpdateTaskMachineUP');
 DeleteFile('C:\Windows\SysWOW64\Microsoft\Protect\S-1-73-90\RB_1.3.20.70.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[ArtyomYurakov]

1. Выключил Брандмауэр, KAV и Malwarebytes.

2. Во время выполнения скрипта в окне AVZ промелькнуло сообщение "Ошибка карантина..." и что-то связанное с прямым чтением из C:\Windows\SysWOW64...

3. После перезагрузки появилось окно такого содержания: Заголовок: "Kaspersky Free: avpui.exe - Ошибка приложения" Текст: "Исключение неизвестное программное исключение (0xe06d7363) в приложении по адресу 0x75784dbd." Отчёт об ошибке был отправлен на сервер.

4. Созданный файл quarantine.zip (34кб) был отправлен сообщением с темой "quarantine.zip" по адресу newvirus@kaspersky.com в 11:14 UTC. Жду ответа.

5. Поведение "Apple Push" без изменений.

CollectionLog-2020.04.17-18.41.zip

[Sandor]

Поведение "Apple Push" без изменений

Проверьте в безопасном режиме с поддержкой сети.

[ArtyomYurakov]

В безопасном режиме с поддержкой сети подключиться удалось только через Wi-Fi модем YOTA. Но, поскольку KAV сообщает об ограничении функций защиты, требуя перезагрузки, я не могу однозначно сказать о том, что загрузка в безопасном режиме влияет или не влияет на поведение вируса.

 

Изменено 17 апреля, 2020 пользователем ArtyomYurakov

[ArtyomYurakov]

Повторная проверка Malwarebytes показала, что число объектов увеличилось с 7 до 11. Оставил там, где лежат.

Mwb4_scan2.txt

[Sandor]

я не могу однозначно сказать о том, что загрузка в безопасном режиме влияет или не влияет на поведение вируса.

Тогда проверьте в режиме чистой загрузки:

Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.

Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Аналогичным образом можно поступить на вкладке Автозагрузка.

 

На отчет MBAM пока не смотрите. Скорее всего это ложное срабатывание.

[ArtyomYurakov]

1. Отключение служб не повлияло на поведение "Apple Push" - по прежнему пытается открывать опасные веб-адреса с интервалом 15 минут.

 

2. Ответа от newvirus@kaspersky.com не приходило.

[Sandor]

Посмотрим ещё так:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[ArtyomYurakov]

Готово.

 

 

STUDIOZERO_2020-04-18_22-25-48_v4.1.8.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
  ;Target OS: NTv6.3
  v400c
  BREG
  deltmp
  ;---------command-block---------
  bl 37ABBC3DCAFD7DCAB078947243AB18CC 67896
  zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-73-90\RB_1.3.20.70.EXE
  delall %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-73-90\RB_1.3.20.70.EXE
  bl B05A13AF2DB1318086C64EEAEB19C2CD 8707776
  zoo %SystemDrive%\PROGRAM FILES (X86)\WINDOWSWORD\WINWORD.EXE
  delall %SystemDrive%\PROGRAM FILES (X86)\WINDOWSWORD\WINWORD.EXE
  apply
  
  czoo
  regt 28
  regt 29
  
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

 

Соберите ещё раз контрольный образ автозапуска.

[ArtyomYurakov]

1. Защитное ПО отключил.

2. Выполнил скрипт в uVS. Компьютер перезагрузился.

3. Запустил uVS для сборки образа.

 

[Sandor]

"Apple Push" - по прежнему пытается

Что сейчас с этим?

[ArtyomYurakov]

С момента выполнения последней инструкции прошло 5 часов.

За всё это время KAV не выдал ни одного сообщения об активности "Apple Push".

 

[ArtyomYurakov]

1. Выполнена полная проверка KAV.

 

Обнаруженный объект (файл) помещен на карантин

Файл: C:\Windows\SysWOW64\downlevel\S-1-5-65\Riched32.dll

Название объекта: Trojan.Win64.DllHijack.bg

 

Оставил там, где лежит.

 

2. Сообщений об активности "Apple Push" - нет.

KAV-checklog.txt

[Sandor]

Обнаруженный объект (файл) помещен на карантин

Странно, в логах его не было видно.

 

Давайте проверим уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.