Помогите избавиться от MEM:Trojan.Win32.Cometer.gen

[Sudar]

Помогите вычистить заразу MEM:Trojan.Win32.Cometer.gen. KIS и KVRT не справляются.

1. Прошелся свежим KVRT.

2. После перезагрузки запустил AutoLogger (приложено).

 

CollectionLog-2021.06.25-16.19.zip

[SQ]

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O22 - Task (.job): (disabled) Восстановление сервиса обновлений Яндекс.Браузера.job - (no file)
O22 - Task (.job): (disabled) Системное обновление Браузера Яндекс.job - (no file)

Знакома ли вам следующая служба?

 

O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

 

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

 

 

[Sudar]

Цитата

O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

Это служебный клиент перекидывает данные из одной базы в другую.

 

Цитата

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксил.

KIS выдает новую вирусную запись: MEM:Trojan.Win32.SEPEH.gen

После перезагрузки KIS лечит, через некоторое время снова находит его в системной памяти.

Изменено 28 июня, 2021 пользователем Sudar

[Sudar]

KIS снова нашел MEM:Trojan.Win32.Cometer.gen

AdwCleaner[S13].txt

[SQ]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Sudar]

Проверка проведена через 30 минут после окончания лечения KIS.

Addition.txt FRST.txt

[SQ]

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   Start::
   CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
   CreateRestorePoint:
   CloseProcesses:
   File: D:\RK7\Rk7Manager_BIKO_SMR\rk7man.exe
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   Policies: C:\Users\Slava\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   Task: {1208F465-41A5-49D9-B0B1-4A5319D60DAC} - \GoogleUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
   Task: {1C5C2D73-8FCB-4D6D-BF05-0524FAFF152C} - \MicrosoftEdgeUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
   Task: {4FAA2443-599B-4FFD-A10A-A420446A319F} - \BjZKvdApgKcT -> Нет файла <==== ВНИМАНИЕ
   Task: {615162C7-4A70-43AD-A447-4DF91A57DECB} - \csrss -> Нет файла <==== ВНИМАНИЕ
   Task: {79D2CC23-3F54-4856-ABC8-A518B0E2690E} - \GoogleUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
   Task: {9BB72ECC-2ABC-4B4B-952F-C0AFEE4453DA} - \MicrosoftEdgeUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
   CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
   CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
   CHR HKLM-x32\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg]
   REG: reg query "HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv" /s
   File: C:\Windows\SysWOW64\rttranscrypt.dll
   ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
   FirewallRules: [{658AC80A-178A-4BCD-89CB-8BDF7CE87CDC}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
   FirewallRules: [{BB0B1327-7407-43AC-9775-AA84E582DD63}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
   FirewallRules: [{04A124B1-B770-4CCE-BEDE-E26F3FCD8DD1}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
   FirewallRules: [{4820E56F-86C2-4F03-9F65-66CEE5A875C5}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
   FirewallRules: [{DFCD9B6F-8ABB-4734-9B2B-011ADDB98FD3}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImage.exe => Нет файла
   FirewallRules: [{69FF2B8F-EDF8-4084-B99E-4747DAAB8F6B}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageHomeService.exe => Нет файла
   FirewallRules: [{2DE7552E-A131-4D5D-A057-31775D2B4FC7}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageLauncher.exe => Нет файла
   FirewallRules: [TCP Query User{2337231F-A80F-4A35-A71E-4B5D409A98ED}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
   FirewallRules: [UDP Query User{0D75702F-93A2-4030-A96D-C95ACF0541C8}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.) 

[Sudar]

После выполнения скрипта запустил TDSKiller - нашел объект. Выполнил удаление с перезагрузкой.

После перезагрузки выполнил проверку ещё раз -  объектов не обнаружено.

Fixlog.txt TDSSKiller.3.1.0.28_30.06.2021_10.10.28_log.txt TDSSKiller.3.1.0.28_30.06.2021_10.31.31_log.txt

[SQ]

Похоже был руткит.

10:25:36.0900 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Minimal\Ms7E5CFE6CApp - will be deleted on reboot
10:25:36.0901 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Network\Ms7E5CFE6CApp - will be deleted on reboot
10:25:37.0006 0x175c  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot
10:25:37.0067 0x175c  C:\Windows\System32\Ms7E5CFE6CApp.dll - will be deleted on reboot

Могли бы приложить новые логи FRST.

[Sudar]

Свежие логи FRST.

Addition.txt FRST.txt

[SQ]

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   Folder: C:\ProgramData\SecTaskMan
   CMD: Type C:\ProgramData\c
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\5c7940d0.sys => ""="Driver"
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\72611631.sys => ""="Driver"
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7E5CFE6C.sys => ""="Driver"
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\5c7940d0.sys => ""="Driver"
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\72611631.sys => ""="Driver"
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7E5CFE6C.sys => ""="Driver"
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

Сообщите, что с проблемой?

[Sudar]

Больше тревожные оповещения не приходят. Делаем вывод, что здоровье системы восстановлено. 

Fixlog.txt

[SQ]

Завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[Sudar]

SecurityCheck.txt

[SQ]

Ознакомьтесь со следующей информацией:
 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.8.3.1.21155 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.7.9.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64+32-bit (Remove or Repair) v.9.51 Внимание! Скачать обновления
Total Commander 6.03a v.6.03a Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.15.3.0.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46020 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 13.2.6 Basic v.13.2.6 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.21.6.0.616 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

На этом всё!