Перейти к содержанию
Правила раздела

Помогите избавиться от MEM:Trojan.Win32.Cometer.gen

Sudar

Автор Sudar
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sudar

Sudar

Опубликовано
Опубликовано

Помогите вычистить заразу MEM:Trojan.Win32.Cometer.gen. KIS и KVRT не справляются.

1. Прошелся свежим KVRT.

2. После перезагрузки запустил AutoLogger (приложено).

 

CollectionLog-2021.06.25-16.19.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 

O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O22 - Task (.job): (disabled) Восстановление сервиса обновлений Яндекс.Браузера.job - (no file)
O22 - Task (.job): (disabled) Системное обновление Браузера Яндекс.job - (no file)

Знакома ли вам следующая служба?

  

O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

 

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.


 

 

Sudar

Sudar

Опубликовано
  • Автор
Опубликовано (изменено)
Цитата 


O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

Это служебный клиент перекидывает данные из одной базы в другую.

 

Цитата

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксил.

KIS выдает новую вирусную запись: MEM:Trojan.Win32.SEPEH.gen

После перезагрузки KIS лечит, через некоторое время снова находит его в системной памяти.

Изменено пользователем Sudar
SQ

SQ

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
SQ

SQ

Опубликовано
Опубликовано
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код:: 
    Start::
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
File: D:\RK7\Rk7Manager_BIKO_SMR\rk7man.exe
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Slava\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1208F465-41A5-49D9-B0B1-4A5319D60DAC} - \GoogleUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
Task: {1C5C2D73-8FCB-4D6D-BF05-0524FAFF152C} - \MicrosoftEdgeUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
Task: {4FAA2443-599B-4FFD-A10A-A420446A319F} - \BjZKvdApgKcT -> Нет файла <==== ВНИМАНИЕ
Task: {615162C7-4A70-43AD-A447-4DF91A57DECB} - \csrss -> Нет файла <==== ВНИМАНИЕ
Task: {79D2CC23-3F54-4856-ABC8-A518B0E2690E} - \GoogleUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
Task: {9BB72ECC-2ABC-4B4B-952F-C0AFEE4453DA} - \MicrosoftEdgeUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
CHR HKLM-x32\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg]
REG: reg query "HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv" /s
File: C:\Windows\SysWOW64\rttranscrypt.dll
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
FirewallRules: [{658AC80A-178A-4BCD-89CB-8BDF7CE87CDC}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{BB0B1327-7407-43AC-9775-AA84E582DD63}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{04A124B1-B770-4CCE-BEDE-E26F3FCD8DD1}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{4820E56F-86C2-4F03-9F65-66CEE5A875C5}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{DFCD9B6F-8ABB-4734-9B2B-011ADDB98FD3}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImage.exe => Нет файла
FirewallRules: [{69FF2B8F-EDF8-4084-B99E-4747DAAB8F6B}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageHomeService.exe => Нет файла
FirewallRules: [{2DE7552E-A131-4D5D-A057-31775D2B4FC7}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageLauncher.exe => Нет файла
FirewallRules: [TCP Query User{2337231F-A80F-4A35-A71E-4B5D409A98ED}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
FirewallRules: [UDP Query User{0D75702F-93A2-4030-A96D-C95ACF0541C8}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.) 

Sudar

Sudar

Опубликовано
  • Автор
Опубликовано

После выполнения скрипта запустил TDSKiller - нашел объект. Выполнил удаление с перезагрузкой.

После перезагрузки выполнил проверку ещё раз -  объектов не обнаружено.

Fixlog.txt TDSSKiller.3.1.0.28_30.06.2021_10.10.28_log.txt TDSSKiller.3.1.0.28_30.06.2021_10.31.31_log.txt

SQ

SQ

Опубликовано
Опубликовано

Похоже был руткит. 

10:25:36.0900 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Minimal\Ms7E5CFE6CApp - will be deleted on reboot
10:25:36.0901 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Network\Ms7E5CFE6CApp - will be deleted on reboot
10:25:37.0006 0x175c  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot
10:25:37.0067 0x175c  C:\Windows\System32\Ms7E5CFE6CApp.dll - will be deleted on reboot

Могли бы приложить новые логи FRST.

SQ

SQ

Опубликовано
Опубликовано
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
CloseProcesses:
Folder: C:\ProgramData\SecTaskMan
CMD: Type C:\ProgramData\c
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\5c7940d0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\72611631.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7E5CFE6C.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\5c7940d0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\72611631.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7E5CFE6C.sys => ""="Driver"
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

Сообщите, что с проблемой?

Sudar

Sudar

Опубликовано
  • Автор
Опубликовано

Больше тревожные оповещения не приходят. Делаем вывод, что здоровье системы восстановлено. 

Fixlog.txt

SQ

SQ

Опубликовано
Опубликовано

Завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

SQ

SQ

Опубликовано
Опубликовано

Ознакомьтесь со следующей информацией:
 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.8.3.1.21155 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.7.9.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64+32-bit (Remove or Repair) v.9.51 Внимание! Скачать обновления
Total Commander 6.03a v.6.03a Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.15.3.0.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46020 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 13.2.6 Basic v.13.2.6 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.21.6.0.616 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

На этом всё!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Gaspi
      trojan:win64/disguisedxmrigminer
      Автор Gaspi
      Защита винды нашла его но не может его удалить, как избавиться от него? trojan:win64/disguisedxmrigminer
    • ahahahxdd
      помощь в удалении Trojan[dropper]:Python/Wacatac.C9nj
      Автор ahahahxdd
      По дурости открыл данную вещь без виртуальной машины, через x64dbg:
      https://www.virustotal com/gui/file/e450b7efc8b429b618d2d22a074a3dd55c07b451eef315e0e20be7d9054ef18c
      https://cloud.mail ru/public/kbre/tjmmsWNDM

      CollectionLog-2026.01.06-20.25.zip
      Успел уже сделать откат в точку восстановления винды
      В сэндбоксе было подключение TCP 130.12.181.70:7000

       
    • Kirill_Pavlov
      Самовосстанавливающиеся после удаления с помощью KVRT: HEUR:Trojan.Multi.GenBadur.genw и HEUR:HackTool.VBS.KeySender.gen
      Автор Kirill_Pavlov
      Первый вирус обнаружен после скачивания игры F1_2022 (уже удалил) с сайта ***. Второй, предположительно, после того как скачал атомик харт (тоже уже удалил), но сайт не помню точно. Удаляю с помощью KVRT, а после перезагрузки они опять появляются. Второй файл пытался удалить вручную, но видимо что-то не то сделал). Заранее большое спасибо!
      CollectionLog-2025.12.27-10.13.zip
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте ссылки на варез
    • A11
      Trojan.Win64.Torero.b
      Автор A11
      Здравствуйте, есть ли у кого-нибудь информация об этом трояне?
×
×
  • Создать...